Bagaimana Cara Kerja OTP dan Kenali Jenis-Jenis OTP Berikut Ini!

Peningkatan serangan siber di dunia maya membuat kita perlu menaikkan standar keamanan, khususnya yang terkait dengan kebutuhan login pengguna. Sebagai pemilik bisnis, kamu harus bisa memastikan akun pelangganmu aman untuk digunakan. Salah satu cara yang banyak digunakan oleh para pebisnis untuk memudahkan verifikasi adalah OTP atau One-time Password.

OTP adalah subkategori dari MFA atau Multifactor Authentication. MFA sendiri merupakan mekanisme keamanan yang mewajibkan pengguna untuk memberikan 2 atau lebih kredensial sebelum mereka bisa memperoleh akses. Adanya MFA memperkuat perlindungan bagi para pengguna yang selama ini hanya mengandalkan PIN atau password yang notabene sangat mudah diretas.

Bagaimana Cara Kerja OTP?

Sumber : Grid

Seperti namanya, One-time Password, OTP hanya bisa dipakai satu kali saja. Artinya, jika kode atau passcode jatuh ke tangan orang yang salah, mereka tidak bisa menggunakannya lebih dari satu kali. Login yang berikutnya akan membutuhkan OTP atau kode yang sama sekali berbeda dengan kode yang sudah dikirimkan sebelumnya.

OTP bisa diakses dengan berbagai cara. Ada yang menggunakan pesan SMS, ada juga yang mengirimkannya lewat WhatsApp. Tidak sedikit perusahaan yang menggunakan token, email bahkan panggilan suara dan missed call untuk memberikan informasi OTP kepada penggunanya.

Lalu, bagaimana cara kerjanya? Kita ambil contoh OTP yang dikirimkan lewat pesan SMS. Ketika kamu login ke sebuah aplikasi, SMS akan dikirimkan oleh pihak pengelola aplikasi ke nomor ponsel yang terdaftar. Kode yang kamu terima, harus dimasukkan sebagai otentikasi lain selain password atau PIN.

Kode tersebut hanya berlaku selama rentang waktu tertentu. Jika waktunya sudah habis, kode OTP sudah tidak bisa digunakan lagi dan kamu harus mengulangi proses login dari awal. Cara ini terbukti ampuh untuk memperkuat perlindungan terhadap akun dibandingkan hanya dengan PIN atau kata sandi saja.

Jenis-jenis OTP Berdasarkan Tingkat Keamanannya

Sumber : Detik

Ada banyak jenis OTP yang digunakan sebagai perlindungan keamanan. Dari tingkat kekuatan perlindungan yang diberikan, OTP terdiri atas 3 jenis yakni:

Hard Token

Jenis kode OTP ini dianggap paling aman karena kamu harus menggunakan perangkat khusus (token kalkulator) tanpa perlu menghubungkannya dengan perangkat lain. Karena tidak ada campur tangan pihak ketiga, hard token bisa dijamin keamanannya.

Soft Token

Soft token juga termasuk OTP yang terbilang aman. Proses autentikasi dilakukan dengan mengolah kode lewat set kunci. Tapi karena sistemnya terinstal di aplikasi lain, ada kemungkinan pihak luar dapat mengaksesnya.

On Demand Token

On Demand Token memiliki beberapa jenis dan paling banyak dipakai. Biasanya, OTP ini dibuat dengan menggunakan bantuan pihak ketiga. Inilah yang membuatnya kurang aman jika dibandingkan dengan dua jenis OTP sebelumnya.

Jenis-jenis OTP Berdasarkan Input yang Dipakai untuk Menghasilkan Kode

Sumber : Koinworks

Ada berbagai algoritma standar yang digunakan dalam industri untuk menghasilkan OTP: seed dan moving factor. Seed adalah nilai statis (kunci rahasia) yang dibuat ketika kamu membuat akun baru di server autentikasi.

Jika seed tidak berubah, lain halnya dengan moving factor atau faktor yang bergerak dan berubah setiap kali OTP baru diminta. Bagaimana moving factor dihasilkan adalah pembeda dasar antara HOTP dan TOTP.

HOTP

HOTP merupakan singkatan dari Hash-based Message Authentication Code (HMAC). Setiap kali HOTP diminta dan divalidasi, moving factor bertambah berdasarkan hitungan. Kode yang dihasilkan berlaku sampai kamu secara aktif meminta kode lain dan divalidasi oleh server autentikasi. Generator OTP dan server disinkronkan setiap kali kode divalidasi dan pengguna mendapatkan akses.

TOTP

Time-based One-time Password adalah OTP berbasis waktu. Seed dalam TOTP bersifat statis, sama seperti HOTP, tetapi moving factor dalam TOTP berbasis waktu, bukan hitungan. Jumlah waktu setiap kali kata sandi valid digunakan disebut dengan timestep. Sebagai aturan, timestep biasanya berdurasi 30 atau 60 detik.

Jika kamu menggunakan kata sandi di luar timestep yang diberikan, kode tidak akan valid lagi. Kamu harus meminta OTP yang baru untuk bisa mengakses aplikasi tersebut.

Selain dengan menggunakan OTP, perlindungan keamanan di internet juga bisa dilakukan dengan memilih ISP atau Internet Service Provider yang terpercaya. Nusanet dengan pengalaman bertahun-tahun tidak hanya memberikan layanan berupa kecepatan internet yang stabil tapi juga terlindungi dari fraud, spam dan phishing.