Laduni.id, Jakarta – Sistem Keamanan atau Security System dalam sebuah aplikasi terlebih jika terkait transaksi keuangan adalah hal yang penting. Namun, pada masa awal kemunculan internet banking dan e-commerce tingkat kepercayaan terhadap keamanan bertransaksi masih sangat rendah.

Pengamanan yang saat itu masih menggunakan username, password, nomor kartu, tanggal kadaluarsa, dan empat angka dibelakang kartu atau CVV code tidak cukup untuk mengamankan transaksi keuangan menggunakan kartu kredit, terlebih jika komputer pengguna terinfeksi virus trojan/keylogger yang mampu merekam setiap ketukan keyboard ketika melakukan transaksi.

Two Factor Authentication (TFA) dan One Time Password (OTP) menjadi titik balik solusi menjaga kemanan dalam bertransaksi meskipun informasi akun pengguna diketahui oleh pihak yang tak bertanggung jawab.

Karena alasan yang sama pula layanan publik berbasis akun seperti Gmail, Yahoo, dan layanan media sosial seperti Facebook, Twitter, dan Instagram menerapkan pengamanan TFA-OTP pada layanannya, di mana setiap kali perangkat, aplikasi, atau peramban baru dipakai untuk mengakses layanan.

Pelan tapi pasti otentikasi dua faktor (TFA) dan OTP menjadi standar pengamanan transaksi keuangan dan kredensial layanan berbasis akun. Demikian pula yang terjadi di ranah bertukar pesan/messaging seperti WhatsApp, dengan basis pengguna miliaran, yang juga menerapkan TFA-OTP dalam mengamankan akun, guna mengidentifikasi dan melindungi penggunanya supaya tak terjadi pencurian atau akun WhatsApp dibajak.

Namanya juga teknologi, kalau diam saja di tempat dan tidak berkembang tentu akan dilibas oleh teknologi baru. TFA yang pada awalnya harus memasukkan OTP password sekali pakai setiap kali melakukan verifikasi mulai dianggap merepotkan dan solusi baru yang lebih praktis mulai diterapkan seperti login approval dimana verifikasi tidak lagi dilakukan dengan memasukkan kode verifikasi tetapi cukup hanya mengklik tombol [Ok], [Confirm], [I Agree] atau [Next] yang muncul di telepon pintar sudah cukup untuk menyetujui verifikasi.

Maka muncullah versi yang lebih simpel dari TFA yang populer dengan istilah verifikasi satu klik. (lihat gambar 1)
 

Sekalipun verifikasi satu klik sudah mulai diadopsi oleh banyak layanan, termasuk layanan produk Microsoft dan Google dalam memverifikasi pelanggannya yang masuk dari perangkat/aplikasi baru yang belum dikenal, tapi perlu menjadi catatan bahwa verifikasi satu klik ini cukup rentan kesalahan mengingat penerima approval pop up atau SMS di ponsel akan cenderung mudah menyetujui permintaan approval akibat hanya tinggal melakukan klik untuk melakukan verifikasi. Oleh Karena itu penyedia jasa banyak yang menyediakan fitur untuk membatalkan approval atau mengklaim kembali akun jika terjadi kesalahan verifikasi.

Institusi finansial, baik perbankan dan kartu kredit seperti Mastercard dan Visa, sampai saat ini masih tetap mengandalkan TFA konvensional untuk proses verifikasi seperti 3D secure atau SMS, dengan proses verifikasi masih harus memasukkan PIN OTP secara manual dan tidak mengadopsi metode once click approval.

Verifikasi Satu Klik dan Bahayanya

Implementasi verifikasi satu klik memang memudahkan pengguna layanan yang menggunakan TFA OTP karena proses verifikasi tidak perlu lagi repot membuka aplikasi otentikasi seperti: Google Authenticator, Authy, atau SMS, dan memasukkan PIN otentikasi secara manual. Cukup hanya mengklik 1 tombol [Confirm] saja sudah cukup untuk melakukan verifikasi.

Sejatinya, proses verifikasi memang sebaiknya tidak terlalu mudah dan setidaknya membutuhkan sedikit usaha untuk menghindari kesalahan verifikasi yang tidak disengaja. Hal ini juga sesuai dengan metode TFA-OTP yang memanfaatkan jalur yang berbeda dalam menyimpan atau mengirimkan kata kunci / PIN verifikasi. Sebagai contoh kredensial Username dan Password biasanya disimpan di komputer / ponsel pada file rahasia atau Password Manager dan OTP dikirimkan melalui jalur lain seperti Token TFA, SMS, USSD Code atau email. Tujuannya jelas supaya ada dua faktor yang berbeda pada proses otentikasi sehingga memberikan tingkat keamanan lebih tinggi.

Namun karena alasan kemudahan, Verifikasi satu klik mulai banyak diadopsi oleh layanan utama internet seperti Google, Firefox, Microsoft, dan terakhir oleh Whatsapp. Sebagai contoh, verifikasi PIN melalui SMS yang seharusnya dimasukkan secara manual oleh pengguna Whatsapp kemudian diotomasi dimana 6 angka aktivasi yang dikirimkan melalui SMS akan di deteksi dan dikopikan secara otomatis ke dalam box verifikasi dan pengguna hanya perlu menyetujui tanpa perlu memasukkan 6 angka PIN aktivasi tersebut (lihat gambar 2)
 

Prinsip sekuriti tidak menyarankan hal ini karena pengguna tidak melalui proses otentikasi dengan sempurna. Pengguna terkadang tidak menyadari bahwa ia sedang melakukan satu proses verifikasi, yang akan berdampak besar seperti pengalihan akun Whatsapp-nya ke nomor telepon lain.

Jika proses verifikasi hal ini terjadi pada login akun Firefox, Gmail, atau Microsoft setiap kali menggunakan layanan baru, aplikasi baru, komputer baru, ponsel baru, atau peramban baru, yang terjadi rutin dan sering dilakukan, kemungkinan pengguna membuat kesalahan akan lebih kecil karena hal ini cukup sering dilakukan.

Tetapi jika hal ini diterapkan pada aktivasi akun Whatsapp atau penggantian nomor telepon yang terasosiasi pada akun Whatsapp yang sangat jarang dilakukan dan hanya dilakukan pada saat mengganti HP baru atau mengganti nomor telepon baru, dengan rata-rata itu belum tentu dilakukan setahun sekali, pengguna Whatsapp tentu kurang familiar dengan proses ini sehingga bisa dengan mudah memberikan persetujuan secara tidak sengaja.

Celakanya lagi, proses pemindahan nomor telepon yang terasosiasi dengan akun Whatsapp ini bisa diinisiasi dari nomor telepon baru tanpa memerlukan verifikasi apapun, dengan pemilik nomor baru hanya perlu melakukan proses pancingan seolah-olah ia adalah pemilik nomor telepon Whatsapp lama dan memasukkan nomor Whatsapp yang di incarnya dan menunggu korbannya lengah dan tidak sengaja menyetujui proses pemindahan nomor telepon. (lihat gambar 3)
 

Semua proses verifikasi terjadi di nomor telepon lama/pemilik akun yang sah. Jika pemilik akun lama yang sah secara tidak sadar, baik karena kurang mengerti dengan proses verifikasi, salah mengerti proses verifikasi, atau tidak sengaja menyetujui proses verifikasi, maka pemindahan akun Whatsapp akan sah berpindah tangan. Dengan kata lain: WhatsApp dibajak.

Sistem Whatsapp seharusnya tidak memasukkan PIN otentikasi secara otomatis karena itu mempermudah verifikasi yang tidak disengaja. Selain itu, seharusnya Whatsapp menambahkan otentikasi tambahan pada nomor telepon baru dengan setiap nomor anyar yang ingin melakukan inisiasi pemindahan nomor telepon akun Whatsapp juga harus memasukkan satu PIN otentikasi yang hanya dikirimkan ke nomor lama ketika proses inisiasi dilakukan. Ini akan membuat pembajak jadi lebih sulit menginisiasi dan melakukan pemindahan akun Whatsapp.

Cara Mencegah Akun WhatsApp Dibajak

Sambil menunggu Whatsapp untuk menyempurnakan sistem verifikasi pemindahan akun yang mudah dieksploitasi ini, penulis menyarankan Anda untuk berhati-hati jika mendapatkan SMS verifikasi penggantian nomor telepon WhatsApp. Jangan sekali-kali disetujui atau klik tanpa mengerti apa yang sedang anda lakukan.

Selain itu, Anda juga dapat mengaktifkan PIN untuk masuk ke WhatsApp anda, di mana jika terjadi akun Anda berhasil diambil alih oleh pembajak, ia tetap membutuhkan PIN tambahan untuk membuka akun WhatsApp yang dibajaknya. (lihat gambar 4)
 

Caranya adalah klik 3 titik pada aplikasi WhatsApp anda, lalu pilih [Settings] [Account][Two-step verification], dan masukkan PIN Anda. Ingat, aktifkan alamat email pada proses TSV ini sebagai cadangan kalau Anda lupa PIN tambahan tersebut. Jika tidak dan Anda benar-benar lupa PIN, maka tidak ada cara lain untuk mengembalikan PIN tambahan itu.

Sumber : detikcom