Ilustrasi kode pasword sekali pakai, OTP
Ilustrasi kode pasword sekali pakai, OTP
Cyberthreat.id - Insinyur Apple telah mengajukan proposal untuk membakukan format pesan SMS yang berisi kode akses satu kali atau one-time passcodes (OTP) yang diterima pengguna selama proses login otentikasi dua faktor (2FA), Kamis (30 Januari 2020).
Melansir dari ZDNet, proposal buatan para insinyur Apple yang bekerja di WebKit ini memiliki dua tujuan.
Pertama, memperkenalkan cara agar pesan SMS OTP dapat dikaitkan dengan URL. Ini dilakukan dengan menambahkan URL login di dalam SMS.
Tujuan kedua, untuk membakukan format pesan SMS 2FA/OTP, sehingga browser dan aplikasi seluler lainnya dapat dengan mudah mendeteksi SMS yang masuk, mengenali domain web di dalam pesan, dan kemudian secara otomatis mengekstrak kode OTP dan menyelesaikan operasi login tanpa interaksi pengguna lebih lanjut.
Usulan Apple berupaya menghilangkan intervensi pengguna dalam proses OTP SMS. "Pengguna tidak perlu menyalin dan menempelkan kode OTP secara manual dari SMS ke browser mereka." tulis Insinyur Apple dalam proposalnya.
Dengan format baru ini, proses menerima dan memasukkan OTP dapat diotomatisasi, menghilangkan risiko pengguna jatuh dalam aksi penipuan dan pishing.
Format SMS baru untuk kode OTP akan terlihat seperti di bawah ini:
747723 adalah kode otentikasi WEBSITE Anda.
@website.com #747723
Baris pertama dalam pesan di atas adalah teks opsional yang bisa dibaca manusia untuk menjelaskan pesan yang masuk, yang memungkinkan mereka menentukan dari situs web mana kode OTP SMS berasal. Sedangkan, baris kedua berisi informasi yang menunjukkan alamat situs web yang meminta kode otentikasi dan OTP.
Aplikasi dan browser akan secara otomatis mengekstrak kode OTP dan menyelesaikan operasi login 2FA. Jika ada ketidaksesuaian dan operasi pelengkapan otomatis akan gagal, pengguna akan dapat melihat URL situs web yang sebenarnya, dan membandingkannya dengan situs yang mereka coba masuki. Jika keduanya tidak sama, maka pengguna akan diberi tahu bahwa mereka sebenarnya ada di situs pishing dan dapat mengabaikan proses login mereka. []
Editor: Yuswardi A. Suud
Share:
