Mengapa tidak boleh memberikan OTP ke orang lain?

Maria Rosari Dwi Putri

Istilah kata sandi satu kali (one-time password/OTP) akhir-akhir sering dibicarakan, salah satunya sejak penipuan oleh pihak yang mengatasnamakan ojek daring terhadap penyanyi Maia Estianty.

Maia melalui media sosial menceritakan peretas, yang menyamar menjadi pengemudi ojek dan mengambil pesanan layanan antar-makanan. Pelaku mengaku mengalami kendala dan meminta Maia mengirim OTP agar bisa menyelesaikan pesanan.

CEO NTT Ltd Indonesia, perusahaan yang bergerak di keamanan siber, Hendra Lesmana, menilai posisi OTP, di dunia nyata, ibarat kunci tambahan untuk mengamankan rumah.

"Perlakukan seperti itu," kata Hendra ketika memberikan pemahaman soal OTP.

OTP merupakan perlindungan ekstra, autentikasi banyak faktor (multifactor authentication), untuk sebuah platform, biasanya diberikan melalui pesan singkat di ponsel (SMS) atau surat elektronik (surel atau email). Pengguna diminta memasukkan OTP untuk masuk aplikasi (login) aplikasi ojek daring, meski pun sudah memasukkan kata kunci sebagai tambahan keamanan.

Ia mengemukakan, pada umumnya OTP hanya berlaku dalam batas waktu tertentu, misalnya lima menit, setelah lewat batas waktu, pengguna bisa meminta OTP yang baru kepada penyelenggara platform.

Hendra mengibaratkan platform yang akan dibuka seperti alamat rumah di dunia nyata, pengguna harus tahu aplikasi atau situs apa yang akan dibuka.

Untuk membuka rumah, atau dalam hal ini login platform, pengguna harus memiliki kunci, yaitu kata sandi dan OTP.

Dalam kasus Maia Estianty, dia tidak memberikan OTP yang diminta, namun, dia mengikuti permintaan si penipu untuk mengklik kode berawalan *21*, yang merupakan fitur untuk meneruskan panggilan atau call forward. Peretas mendapatkan akses ke panggilan dan SMS dari ponsel korban, termasuk kode OTP yang diterima Maia saat penipu akan masuk ke akun ojek daringnya.

Baca juga: Serangan siber kini pakai "bot", bukan lagi peretas

Baca juga: Mobil terkoneksi internet jadi target peretasan

Baca juga: Prediksi ancaman kejahatan siber finansial tahun 2020