Dikutip dari cyberthreat, Bank Central Asia (BCA) sedang menyiapkan aplikasi untuk pengamanan berlapis transaksi perbankan online bagi nasabahnya. Penggunaan notifikasi password sekali pakai (one time password/OTP) yang dipakai sekarang, dinilai belum cukup aman untuk melindungi uang nasabah.
Seperti diketahui, pada Januari lalu, rekening bank wartawan senior Ilham Bintang dibobol secara online setelah pelaku mendapatkan pasword OTP yang dikirim ke nomor ponsel Ilham yang telah dikuasai pelaku. Akibatnya, ratusan juta uang Ilham di rekening Commonwealth Bank digasak pelaku.
"OTP masih boleh dipakai, tapi jangan hanya OTP saja. Harus ada kresidensial lain sebagai kombinasinya, Harus lewat notifikasi lewat jalur yang lain juga selain OTP. Itu kami sedang kembangkan. Untuk konfirmasi transaksi, step out verification, kayak Google Authenticator," kata Lukman di acara Data Secure AI di Jakarta, Rabu (4 Maret 2020).
“Convinience selalu bertolak belakang dengan keamanan. Kalau mau dibikin aman sekali bisa, tapi nanti produknya kok susah ya dipakai. Sedangkan di tempat lain misalnya fintech-fintech oh kok ini gampang yah, bank ditinggalin,” kata Lukman.
Untuk itu, kata Lukman, tantangan bank-bank di Indonesia itu berada di titik tengah antara kenyamanan dan keamanan.
“Saat ini BCA sedang memperoses untuk menerapkan penggunaan data biometrik dalam keamanan sistemnya. Penggunaan data biometrik telah diterapkan untuk sistem internal. Tujuannya, untuk mencegah penyalahgunaan wewenang atau pencurian dana nasabah di sistem internal”, tambah Lukman..
Informasi lain terkait OTP,
Otoritas perbankan Eropa (European Banking Authority atau EBA) telah menyatakan bahwa penerapan OTP berbasis SMS tidak sesuai standar otentikasi yang kuat (strong customer authentication atau SCA). Standar keamanan baru pun ditetapkan.
Dibuat pada 2015 dan mulai berlaku sejak 14 September 2019, peraturan baru itu merevisi soal pembayaran online di Uni Eropa dan sekaligus menerbitkan Payment Services Directive (PSD) ke-2. Walhasil, bank-bank di Eropa dipaksa untuk meninggalkan OTP berbasis SMS dan menggantikannya dengan sistem baru.
Gerakan meninggalkan OTP berbasis SMS ini sudah diperkirakan sejak lama. Maklum, teknologi OTP berbasis SMS sudah berusia 30 tahun lebih dan dianggap ketinggalan zaman serta kurang fleksibel. Nasabah sering berganti nomor telepon dan OTP bisa saja dikirimkan ke nomor lama Anda yang mungkin sudah dipegang orang lain. Masalah lainnya, teknologi ini punya kelemahan.
Selama bertahun-tahun, industri keamanan siber sudah menyerukan peringatan terhadap kelemahan OTB berbasis SMS yang tidak kunjung ditutupi. Kelemahannya ada pada protokol SS7 yang digunakan semua jaringan mobile telephony. Hacker bisa memanfaatkan kelemahan ini untuk membajak nomor handphone bahkan tanpa diketahui oleh operator selular. Agensi keamanan siber Jerman, BSI, pada Mei 2017 telah memperingatkan bahwa hacker bisa mencegat pengiriman kode yang dikirim melalui SMS.
