Apa Itu OTP (One-Time Password)?
OTP (One-Time Password) adalah kombinasi angka atau huruf yang dihasilkan secara otomatis untuk mengautentikasi pengguna dalam satu transaksi atau sesi login.
OTP lebih aman dibandingkan kata sandi statis, terutama karena kata sandi yang dibuat pengguna sering kali lemah atau digunakan ulang di berbagai akun. OTP dapat menggantikan metode autentikasi tradisional atau digunakan bersamaan untuk meningkatkan lapisan keamanan.
Contoh Penggunaan OTP
Token keamanan OTP berbentuk kartu pintar berbasis mikroprosesor atau perangkat kecil seperti gantungan kunci. Perangkat ini menghasilkan kode numerik atau alfanumerik yang diperbarui setiap 30 atau 60 detik tergantung pada konfigurasi.
Aplikasi di perangkat seluler, seperti Google Authenticator, menggunakan perangkat token dan PIN untuk menghasilkan OTP sebagai bagian dari verifikasi dua langkah.
Token keamanan OTP dapat berupa perangkat keras, perangkat lunak, atau sesuai permintaan. Berbeda dengan kata sandi statis yang biasanya berlaku selama 30-60 hari, OTP hanya berlaku untuk satu transaksi atau sesi login.
Cara Mendapatkan OTP
Ketika pengguna mencoba mengakses sistem atau melakukan transaksi, pengelola autentikasi pada server jaringan akan menghasilkan kode unik menggunakan algoritma OTP. Kode ini dicocokkan dengan perangkat token atau aplikasi pengguna untuk memvalidasi OTP.
Sebagian besar perusahaan menggunakan layanan SMS untuk mengirimkan kode sementara sebagai langkah autentikasi kedua. Kode ini diperoleh melalui komunikasi ponsel setelah pengguna memasukkan nama pengguna dan kata sandi pada aplikasi atau sistem tertentu.
Untuk autentikasi dua faktor (2FA), pengguna harus memasukkan ID pengguna, kata sandi tradisional, dan kode OTP sementara untuk mendapatkan akses.
Cara Kerja OTP
Pada metode autentikasi berbasis OTP, aplikasi pengguna dan server autentikasi menggunakan rahasia bersama. Nilai OTP dihasilkan berdasarkan faktor berikut:
- Algoritma HMAC (Hash-based Message Authentication Code).
- Faktor bergerak, seperti waktu (TOTP) atau penghitung peristiwa untuk melacak upaya otorisasi (HOTP).
OTP biasanya memiliki batas waktu penggunaan beberapa detik atau menit untuk meningkatkan keamanan. OTP dapat dikirimkan melalui pesan SMS, email, atau aplikasi khusus.
Namun, ada kekhawatiran mengenai kerentanan OTP berbasis SMS terhadap serangan spoofing dan man-in-the-middle. Oleh sebab itu, institusi seperti NIST menyarankan penggunaan metode pengiriman OTP selain SMS, terutama untuk menghindari pengiriman ke alamat email atau nomor VoIP yang tidak dapat membuktikan kepemilikan perangkat.
Manfaat OTP
OTP menghindari kelemahan umum pada kata sandi tradisional, seperti aturan komposisi, kata sandi lemah, berbagi kredensial, atau penggunaan ulang di berbagai akun. Keunggulan lainnya, OTP menjadi tidak valid setelah digunakan (HOTP) atau dalam hitungan menit (TOTP), sehingga mencegah penyalahgunaan kode oleh penyerang.