Cyberthreat.id – Aman atau tidaknya data pengguna sebuah layanan online tidak hanya bergantung dari keamanan perangkat, tapi juga soal perilaku pengguna.

Perilaku yang tidak hati-hati atau cenderung ceroboh dengan mengakses situs-situs web rawan, instal aplikasi sembarangan, dan tidak menerapkan autentifikasi multifaktor (MFA) adalah penyebab sebuah serangan siber terjadi.

Berkaitan dengan autetifikasi multifaktor atau verifikasi beberapa langkah tersebut, yang dipakai untuk login di akun online Anda, saat ini yang paling banyak yang dipakai pengguna adalah berbasis SMS.

Padahal, kode sekali pakai (OTP) berbasis SMS tersebut tak begitu aman. Oleh karena itu, pengguna saat ini disarankan untuk memakai aplikasi pengelola password, seperti Google Authenticator, Microsoft Authenticator, atau LastPass.

Namun, bukan berarti memakai MFA berbasis SMS tidaklah bagus, Anda masih lebih baik memakainya daripada tidak sama sekali.

Jika Anda memiliki opsi, Anda mungkin ingin menggunakan aplikasi otentikasi atau, bahkan lebih baik, kunci keamanan seperti YubiKey.

Mengapa OTP berbasis SMS tidak aman? Ada sejumlah alasan yang perlu Anda perhatikan berikut ini, seperti dikutip dari TechRepublic, diakses Selasa (8 Desember 2020).

1. SMS dan panggilan suara tidak dienkripsi. Sebaliknya, pesan dikirimkan dalam teks yang jelas sehingga lebih mudah disadap. Penyerang bisa menyadap lewat software tertentu hingga layanan intersepsi SS7.
2. Kode SMS rentan terhadap phishing. Banyak alat phishing yang dirancang penyerang, sebut saja Modlishka, CredSniper, dan Evilginx yang dipakai untuk menerobos MFA.
3. Karyawan operator telepon bisa tertipu. Penyerang bisa memanfaatkan penipuan SIM swap atau pembajakan kartu seluler korban kepada petugas gerai operator seluler. Ketika nomor kartu seluler diambil alih, dengan menukar kartu identitas palsu, otomatis kode OTP masuk ke nomor baru yang telah dipegang peretas. Ini yang pernah dialami wartawan senior Ilham Bintang sehingga ia kehilangan uang ratusan juta.
4. SMS membutuhkan layanan telepon agar tersedia untuk bekerja dan terkadang sistem telepon bisa mati ketika internet tidak berfungsi. Sementara, aplikasi autentikasi dan kunci keamanan bekerja secara offline.[]