Ilustrasi Google Authenticator
Ilustrasi Google Authenticator
Jakarta, Cyberthreat.id - Bank Central Asia (BCA) sedang menyiapkan aplikasi untuk pengamanan berlapis transaksi perbankan online bagi nasabahnya. Penggunaan notifikasi password sekali pakai (one time password/OTP) yang dipakai sekarang, dinilai belum cukup aman untuk melindungi uang nasabah.
Hal itu disampaikan Executive Vice President BCA, Lukman Hadiwijaya, menanggapi pengiriman OTP lewat SMS yang masih digunakan oleh bank-bank di Indonesia untuk verifikasi keamanan transaksi.
"OTP masih boleh dipakai, tapi jangan hanya OTP saja. Harus ada kresidensial lain sebagai kombinasinya," kata Lukman menjawab Cyberthreat.id saat ditemui di acara Data Secure AI di Jakarta, Rabu (4 Maret 2020).
“Harus lewat notifikasi lewat jalur yang lain juga selain OTP. Itu kami sedang kembangkan. Untuk konfirmasi transaksi, step out verification, kayak Google Authenticator," tambah Lukman.
Seperti diketahui, pada Januari lalu, rekening bank wartawan senior Ilham Bintang dibobol secara online setelah pelaku mendapatkan pasword OTP yang dikirim ke nomor ponsel Ilham yang telah dikuasai pelaku. Akibatnya, ratusan juta uang Ilham di rekening Commonwealth Bank digasak pelaku.
Berita terkait:
Menurut Lukman, untuk memperketat keamanan, OTP harus digabungkan dengan aplikasi, tidak hanya melalui SMS saja.
“OTP dikombinasikan dengan aplikasi. Kalau aplikasi data bisa dienkrip. OTP dikirim bukan lewat SMS, OTP dikirim lewat aplikasi. Jadi harus instal aplikasi, itu masih agak aman, tetap namanya OTP, tapi tidak dikirim lewat sms,” tambah Lukman..
Penggunaan OTP, kata Lukman, untuk memberikan kenyamanan kepada pengguna. Hanya saja, dia mengakui ada kelemahan dalam sistem pengiriman OTP lewat SMS. Namun, kata dia, pihak perbankan juga harus mencari titik tengah antara keamanan dan kenyamanan nasabah.
“Convinience selalu bertolak belakang dengan keamanan. Kalau mau dibikin aman sekali bisa, tapi nanti produknya kok susah ya dipakai. Sedangkan di tempat lain misalnya fintech-fintech oh kok ini gampang yah, bank ditinggalin,” kata Lukman.
Untuk itu, kata Lukman, tantangan bank-bank di Indonesia itu berada di titik tengah antara kenyamanan dan keamanan.
“Sekuritinya kuat tapi secara usernya pakainya susah itu jadi kendala juga. Kita harus cari titik tengah di mana masih bisa diterima sama pemakai tapi segi security-nya masih aman,” ujarnya.
Saat ini, kata Lukman, BCA sedang memperoses untuk menerapkan penggunaan data biometrik dalam keamanan sistemnya. Saat ini, kata dia, penggunaan data biometrik telah diterapkan untuk sistem internal. Tujuannya, untuk mencegah penyalahgunaan wewenang atau pencurian dana nasabah di sistem internal.
“Termasuk salah satu, biometrik itu sudah kita terapkan di internal. Harus cari solusi jangka panjang. Kita tes dulu di internal. Biometrik pasti akan ada kedepannya. Mestinya dalam proses, sedang dipelajari.” pungkasnya.
Selain membenahi sistem keamanan perbankan, kata Lukman, tingkat kesadaran (awareness) pengguna juga penting terus dibangun. Kesadaran, kata dia, adalah hal yang penting dalam keamanan sistem.
“Susah memang (awarness), tapi memang harus dilakukan terus menerus. Bukan cuman awareness dilakukan hanya pas ada kejadian fraud (penipuan), awareness itu kelar,” tambahnya.
Sementara di internal BCA sendiri, kata Lukman, kesadaran keamanan sistem juga terus dibangun.
“Kalau ke internal kita selalu mengukur awareness itu, kita selalu ukur dengan cara get account, karena kan kita takut e-mail phishing kena satu kan nanti kita susah.” ujarnya.
Sebagai informasi, Otoritas perbankan Eropa (European Banking Authority atau EBA) telah menyatakan bahwa penerapan OTP berbasis SMS tidak sesuai standar otentikasi yang kuat (strong customer authentication atau SCA). Standar keamanan baru pun ditetapkan.
Dibuat pada 2015 dan mulai berlaku sejak 14 September 2019, peraturan baru itu merevisi soal pembayaran online di Uni Eropa dan sekaligus menerbitkan Payment Services Directive (PSD) ke-2. Walhasil, bank-bank di Eropa dipaksa untuk meninggalkan OTP berbasis SMS dan menggantikannya dengan sistem baru.
Gerakan meninggalkan OTP berbasis SMS ini sudah diperkirakan sejak lama. Maklum, teknologi OTP berbasis SMS sudah berusia 30 tahun lebih dan dianggap ketinggalan zaman serta kurang fleksibel. Nasabah sering berganti nomor telepon dan OTP bisa saja dikirimkan ke nomor lama Anda yang mungkin sudah dipegang orang lain. Masalah lainnya, teknologi ini punya kelemahan.
Selama bertahun-tahun, industri keamanan siber sudah menyerukan peringatan terhadap kelemahan OTB berbasis SMS yang tidak kunjung ditutupi. Kelemahannya ada pada protokol SS7 yang digunakan semua jaringan mobile telephony. Hacker bisa memanfaatkan kelemahan ini untuk membajak nomor handphone bahkan tanpa diketahui oleh operator selular. Agensi keamanan siber Jerman, BSI, pada Mei 2017 telah memperingatkan bahwa hacker bisa mencegat pengiriman kode yang dikirim melalui SMS.[]
Editor: Yuswardi A. Suud
Share:
