Tak Aman, Bank-Bank Jerman Tinggalkan OTP Berbasis SMS
Otentikasi melalui SMS OTP | image: Bruce Mars (pexels.com)
Frankfurt, Cyberthreat.id - Sejumlah bank di Jerman mengumumkan rencana untuk meninggalkan one-time passcode (OTP) berbasis SMS. OTP ini merupakan metode otentikasi dan verifikasi transaksi dimana bank akan mengirimkan passcode kepada nasabah melalui SMS. Metode ini dianggap tidak aman.
Postbank berencana akan meninggalkan OTP dengan SMS pada Agustus, Raiffeisen Bank dan Volsbank pada September. Deutsche Bank dan Commerzbank juga berencana serupa namun belum mengumumkan waktunya. Bank lainnya seperti DKB dan N26 tidak pernah menggunakan teknologi OTP berbasis SMS. Begitu laporan handelsblatt.com pada 11 Juli.
Alasan utama bank-bank Jerman meninggalkan OTP SMS adalah peraturan Uni Eropa yang lahir pada 2015 dan akan berlaku pada 14 September 2019. Peraturan baru itu merevisi soal pembayaran online di Uni Eropa dan sekaligus menerbitkan Payment Services Directive (PSD) ke-2. Menurut PSD2 ini, bank harus memiliki mekanisme otentikasi yang kuat atau strong customer authentication (SCA). Setiap kegiatan finansial dan komersial yang terkait konsumen di Eropa mesti menaati mekanisme SCA. Sejauh ini baru bank-bank Jerman yang bergerak mengikuti jadwal implementasi PSD2.
European Banking Authority (EBA) telah mengkaji PSD2 dan menerbitkan standar teknisnya. Dan menurut EBA, sebagian besar penerapan OTP berbasis SMS tidak sesuai standar SCA.
Ketaatan penerapan SMS OTP terhadap SCA berdasarkan dokumen EBA | image: zdnet.com
Gerakan meninggalkan OTP berbasis SMS ini sudah diperkirakan sejak lama. Maklum, teknologi OTP berbasis SMS sudah berusia 30 tahun lebih dan dianggap ketinggalan zaman serta kurang fleksibel. Nasabah sering berganti nomor telepon dan OTP bisa saja dikirimkan ke nomor lama Anda yang mungkin sudah dipegang orang lain. Masalah lainnya, teknologi ini punya kelemahan.
Selama bertahun-tahun, industri keamanan siber sudah menyerukan peringatan terhadap kelemahan OTB berbasis SMS yang tidak kunjung ditutupi. Kelemahannya ada pada protokol SS7 yang digunakan semua jaringan mobile telephony. Hacker bisa memanfaatkan kelemahan ini untuk membajak nomor handphone bahkan tanpa diketahui oleh operator selular. Agensi keamanan siber Jerman, BSI, pada Mei 2017 telah memperingatkan bahwa hacker bisa mencegat pengiriman kode yang dikirim melalui SMS.
Sejatinya, SMS tidak pernah aman dan sebaiknya tidak digunakan secara luas, kata para pakar. Memang two-factor authentication (2FA) direkomendasikan namun, setelah "username dan password" sebagai faktor pertama, SMS bukanlah "faktor kedua" yang bisa diandalkan. Para pakar menyarankan aplikasi otentikator atau token keamanan berbasis hardware sebagai pengganti SMS OTP.[]
Artikel terkait:
Ketika OTP Berbasis SMS Tak Lagi Sakti Lindungi Uang Kita
