2 Juni 2023
Mela Abesamis selalu menganggap dirinya berhati-hati dalam hal keamanan siber. Dia sangat paham tentang serangan phishing dan taktik penipuan umum lainnya, serta cara mengetahuinya. Dia juga terbiasa menerima One-Time Passcode (OTP) dari banknya, yang dikirim melalui SMS ke perangkat selulernya untuk mengautentikasi identitasnya.
Namun, pada bulan Desember 2020, Mela menerima pesan dari banknya yang mengatakan bahwa 50.025 peso Filipina (sekitar $950) telah dipindahkan dari rekeningnya ke rekening Mark Nagoyo. Ini adalah indikasi pertama dan satu-satunya yang dia terima bahwa uang telah ditransfer. Ia belum pernah mendengar nama Mark Nagoyo, ia tentu saja belum melakukan pembayaran, dan ia tidak menerima kode sandi sekali pakai selama transaksi.
Dia tidak sendirian. Lebih dari 700 pemilik rekening terkena dampak penipuan. Dalam bahasa Filipina, kata "nagoyo" berarti membodohi seseorang.
Empat orang akhirnya didakwa atas penipuan tersebut. Para penipu telah menggunakan kombinasi teknik rekayasa sosial dan phishing untuk mengambil detail login bank dan nomor ponsel ratusan warga. Dengan ini, mereka dapat mencegat SMS OTP dan menguras rekening bank orang-orang.
Bank telah membayar kembali jumlah yang terdampak, namun hal ini tidak sepenuhnya mengimbangi pengalaman traumatis para korban.
Otentikasi OTP: Apa Masalahnya?
Ini hanya satu contoh bagaimana otentikasi OTP yang dikompromikan menjadi semakin sulit bagi para peretas yang semakin canggih. Tampaknya autentikasi OTP tidak lagi sesuai dengan tujuannya sebagai metode keamanan. Namun, mereka tetap menjadi proses verifikasi yang umum untuk organisasi di seluruh dunia.
Artikel ini membahas risiko keamanan yang ada pada autentikasi OTP. Artikel ini membahas bagaimana para peretas dapat mengganggu proses tersebut, dan mengusulkan alternatif yang lebih aman dan lebih mudah diakses untuk verifikasi identitas.
Apa yang dimaksud dengan Otentikasi OTP?
Jika Anda pernah menggunakan perbankan online, kemungkinan besar Anda telah menyelesaikan autentikasi OTP.
OTP (One-Time Passcode) adalah kode yang dibuat oleh komputer yang dikirimkan melalui email, Short Message Service (SMS), atau token perangkat keras. Kode ini berfungsi sebagai bentuk otentikasi atau verifikasi bahwa Anda adalah orang yang Anda katakan karena Anda memiliki perangkat Anda.
Anda kemudian memasukkan kode dari SMS Anda ke dalam kolom online untuk mendapatkan akses ke situs web atau aplikasi tertentu. Kode tersebut akan kedaluwarsa dalam waktu yang terbatas.
Otentikasi OTP sering digunakan sebagai metode otentikasi multi-faktor (MFA) dan memenuhi persyaratan apa yang Anda miliki faktor jaminan.
Autentikasi multi-faktor memerlukan dua atau lebih elemen berikut ini:
- Pengetahuan: sesuatu yang hanya diketahui oleh pengguna - misalnya kata sandi atau PIN
- Kepemilikan: sesuatu yang hanya dimiliki oleh pengguna - misalnya, ponsel atau token
- Warisan: sesuatu yang dimiliki pengguna - misalnya, biometrik
Kedua faktor tersebut juga harus independen satu sama lain. Tujuannya adalah untuk mempersulit orang yang tidak berwenang mengakses akun melalui keamanan berlapis.
Dalam kasus OTP, 'apa yang Anda miliki' adalah perangkat seluler Anda.
Jenis Utama Otentikasi OTP:
- Otentikasi SMS OTP: Kode sandi satu kali dikirim ke perangkat seluler Anda melalui pesan teks.
- TOTP (Kode Sandi Sekali Pakai Berbasis Waktu): Anda diinstruksikan untuk membuka aplikasi pengautentikasi di mana Anda akan menemukan kode sandi. Anda diberi waktu 30-60 detik untuk memasukkan kode sandi ke situs web, aplikasi, atau portal yang ingin Anda akses sebelum kode sandi tersebut kedaluwarsa.
- Token perangkat keras: Perangkat fisik (bukan ponsel) yang menampilkan kode sandi sekali pakai yang memungkinkan Anda mengakses situs web, aplikasi, atau portal.
Apa Saja Risiko Keamanan Otentikasi OTP?
Masalah mendasar dengan otentikasi OTP adalah bahwa ia hanya memenuhi apa yang Anda miliki faktor otentikasi (atau dikenal sebagai faktor kepemilikan). Apa yang Anda miliki - baik itu ponsel atau token perangkat keras Anda - dapat hilang, dicuri, atau disusupi.
Risiko keamanan autentikasi SMS OTP
Seperti yang ditunjukkan pada kasus di Filipina, peretas tidak perlu mencuri ponsel Anda untuk membobol autentikasi SMS OTP. Bahkan, mereka tidak perlu berada di dekat Anda.
Pesan teks tidak dienkripsi, dan pesan tersebut terkait dengan nomor telepon Anda, bukan dengan perangkat tertentu. Di bawah ini adalah dua jenis serangan umum yang memungkinkan peretas mencegat otentikasi SMS OTP:
- Pertukaran SIM. Penipu mengambil informasi pribadi dari korban, baik melalui phishing atau rekayasa sosial. Mereka menggunakan rincian ini untuk meyakinkan penyedia telepon agar mengalihkan nomor tersebut ke perangkat mereka. SMS OTP kemudian dikirim ke penyerang, memungkinkan mereka untuk memverifikasi dan menyelesaikan aktivitas.
- Cacat SS7. SS7 (Signaling System No. 7) adalah protokol yang memfasilitasi semua aktivitas ponsel, termasuk pesan SMS. Masalahnya, protokol ini memiliki cacat desain yang berarti peretas dapat mencegat panggilan dan pesan SMS.
Ketika protokol SS7 penyedia jaringan seluler berhasil disusupi, penyerang memiliki akses ke banyak data pribadi pengguna. Yang paling penting, mereka dapat mencegat pesan SMS dan panggilan telepon.
Hal ini tidak hanya memungkinkan penyerang untuk mengautentikasi aktivitas penipuan menggunakan OTP, tetapi juga memungkinkan mereka melakukannya dalam skala besar.
Di Jerman pada tahun 2017, para penipu mengkompromikan protokol 02 Telefonica SS7 dan mencegat SMS OTP. Hal ini menyebabkan sejumlah pemegang rekening bank yang tidak disebutkan jumlahnya memiliki dana yang dihapus dari rekening mereka.
Risiko Keamanan Otentikasi TOTP
Otentikasi berbasis TOTP dan aplikasi menawarkan keamanan yang lebih baik daripada SMS. Fakta bahwa OTP terus berubah dan tidak ditautkan ke nomor telepon Anda membuat penyerang lebih sulit untuk membobolnya.
Meskipun demikian, otentikasi TOTP tidak sepenuhnya tanpa kekurangan. Sebagai contoh:
- Kerentanan perangkat. Otentikasi TOTP masih hanya memenuhi persyaratan apa yang Anda miliki faktor autentikasi yang Anda miliki. Tidak peduli seberapa terenkripsi OTP-nya, kenyataannya perangkat Anda bisa berisiko. Perangkat seluler bisa hilang atau dicuri.
Hal ini menimbulkan pertanyaan apakah otentikasi OTP benar-benar dapat diklasifikasikan sebagai MFA. Jika seorang penyerang mencuri ponsel Anda, melakukan suatu aktivitas (seperti melakukan pembayaran online), dan kemudian menggunakan aplikasi autentikator OTP Anda untuk mengesahkannya - dapatkah kita mengatakan bahwa mereka menggunakan banyak faktor? Bagaimanapun juga, semuanya terjadi pada perangkat yang sama.
Di sisi lain, Otentikasi wajah iProov adalah keluar dari band - a jenis otentikasi yang menggunakan saluran komunikasi terpisah, atau 'band'. Teknologi iProov mengasumsikan bahwa perangkat telah disusupi sehingga otentikasi diproses secara aman dan pribadi di cloud. Otentikasi iProov tidak bergantung pada perangkat yang digunakan. Bahkan jika aktor jahat memiliki akses penuh ke perangkat orang lain, proses otentikasi tetap aman.
Apakah Otentikasi OTP Menawarkan Pengalaman Pengguna yang Ketinggalan Zaman?
Pandemi global memaksa banyak orang untuk melakukan aktivitas sehari-hari dari jarak jauh. Hal ini menyebabkan melonjaknya permintaan akan pengalaman pengguna yang cepat, mudah, dan inklusif.
Namun, pengalaman yang diberikan oleh autentikasi OTP memiliki kekurangan. Kami akan membahasnya di sini.
Proses aktif
Proses aktif dalam hal ini berarti pengguna harus melakukan sesuatu agar aktivitas dapat berjalan. Mengenai otentikasi OTP, ini berarti mengambil ponsel atau token keras Anda.
Hal ini dapat membuat jengkel. Anda mungkin tidak membawa perangkat Anda setiap saat. Oleh karena itu, Anda diharuskan untuk mengambilnya untuk menyelesaikan aktivitas, sehingga menambah gesekan pada pengalaman pengguna.
Hal ini terutama terjadi pada TOTP. Sifat sensitif terhadap waktu dari proses verifikasi ini dapat mengakibatkan kode sandi satu kali kedaluwarsa sebelum Anda dapat menggunakannya. Sering kali, pengguna menjadi sangat jengkel dengan prosedur ini sehingga mereka meninggalkan seluruh aktivitas.
Ketergantungan pada sinyal telepon
Otentikasi OTP bergantung pada asumsi bahwa Anda memiliki sinyal telepon atau akses ke internet. Jika tidak, maka tidak akan berfungsi. Dengan SMS OTP, tidak adanya sinyal yang kuat dapat menunda kode sandi, yang berarti Anda harus menunggu untuk menyelesaikan aktivitas.
Katakanlah Anda mencoba membeli tiket pesawat dengan segera, atau Anda memiliki anggota keluarga yang benar-benar dalam kesulitan dan membutuhkan uang. Anda memulai transaksi secara online, dan SMS OTP dikirimkan kepada Anda, tetapi Anda tidak memiliki sinyal telepon.
Anda tidak menerima OTP dan tidak memiliki cara lain untuk melakukan pembelian atau mentransfer dana untuk membantu anggota keluarga Anda.
Kurangnya inklusivitas
Terakhir, otentikasi OTP salah mengasumsikan bahwa semua orang memiliki akses ke perangkat seluler. Tidak semua orang punya. Pandemi global memaksa semua orang - pemilik ponsel atau tidak - untuk melakukan layanan akses dari jarak jauh.
Mengapa Verifikasi Biometrik Merupakan Alternatif yang Lebih Baik Untuk Otentikasi OTP?
Sedangkan otentikasi OTP memenuhi persyaratan apa yang Anda miliki faktor otentikasi, verifikasi biometrik menggunakan apa yang Anda miliki verifikasi. Artinya, verifikasi ini menggunakan karakteristik yang melekat pada diri Anda, seperti wajah, untuk memverifikasi identitas Anda.
Meskipun kode sandi sekali pakai bisa hilang atau dicuri, tidak ada yang bisa mencuri wajah Anda. Dengan demikian, autentikasi biometrik dapat menawarkan metode yang lebih aman bagi organisasi untuk memverifikasi pengguna terhadap ID yang dikeluarkan pemerintah (yang umumnya menggunakan foto wajah) untuk memvalidasi mereka selama selama proses orientasi dan pendaftaran.
Bagaimana Liveness Dibandingkan dengan Otentikasi OTP?
Seperti yang telah dinyatakan sebelumnya, karakteristik yang melekat pada diri Anda, seperti wajah Anda, tidak dapat dicuri. Tetapi mereka bisa disalin. Penyerang dapat menampilkan topeng, gambar, atau rekaman korban ke kamera untuk memalsukan proses autentikasi.
Di sinilah liveness berperan penting. Deteksi keaktifan menggunakan teknologi biometrik untuk memverifikasi bahwa pengguna online adalah orang yang benar-benar hidup. Otentikasi OTP tidak dapat memberikan tingkat jaminan seperti itu. Mark Nagayo bukanlah orang sungguhan, tetapi para penipu dapat memverifikasi ratusan transaksi menggunakan kredensial yang dicuri.
Apa Perbedaan Verifikasi Wajah Biometrik dengan Otentikasi OTP?
Deteksi kehidupan menggunakan verifikasi wajah untuk memastikan bahwa itu adalah orang yang tepat dan orang yang nyata - dua lapisan keamanan yang tidak dapat dicapai oleh otentikasi OTP.
Namun, deteksi kehidupan tidak dapat memverifikasi apakah seseorang sedang melakukan verifikasi saat ini. Solusi biometrik berbasis sains iProov, di sisi lain, bisa. Hal ini dilakukan dengan iProov's Flashmark™, yang menerangi wajah pengguna jarak jauh dengan urutan warna yang unik dan acak yang tidak dapat diputar ulang atau dimanipulasi secara sintetis, sehingga mencegah pemalsuan.
Tidak seperti otentikasi SMS OTP - yang menggunakan jaringan telepon yang dapat dikompromikan untuk mengirimkan kode sandi - iProov adalah teknologi berbasis cloudyang berarti pertahanannya tersembunyi dari penyerang, sehingga lebih sulit bagi penyerang untuk mencegat data penting.
Seperti yang telah dibahas, otentikasi OTP gagal memberikan pengalaman pengguna yang mudah, sebagian besar karena memaksa pengguna ke dalam proses aktif. Sementara itu, IPK sepenuhnya pasif. Dengan menggunakan perangkat apa pun yang memiliki kamera depan (ponsel, laptop, kios), pengguna hanya perlu melihat ke arah kamera dan otentikasi akan dilakukan untuk mereka. Otentikasi bekerja tanpa bergantung pada kemampuan kognitif karena tidak ada instruksi yang rumit untuk dibaca, dipahami, atau dieksekusi.
Jika Anda ingin membuat proses orientasi atau autentikasi pelanggan online Anda lebih aman dan mudah, serta ingin mendapatkan manfaat dari autentikasi biometrik, minta demo di sini.
