4 Factor Authentication

10 Maret 2014
4 Factor Authentication
Sisdur Puas Nasabah Lemas
Pada saat ini, pengamanan transaksi yang terpercaya digunakan oleh institusi finansial dunia adalah TFA (Two Factor Authentication) dengan salah satu poros pengamanan pada OTP (One Time Password). OTP bersama dengan Enkripsi SSL merupakan tulang punggung pengamanan transaksi finansial. Malahan penyedia jasa internet sekelas Googlepun tidak ketinggalan menggunakannya untuk melindungi pengguna layanannya.

Verifikasi identitas yang menggunakan OTP sendiripun banyak variasinya :
  1.     OTP menggunakan token / kalkulator PIN.
  2.     OTP yang dikirimkan melalui SMS dan disimpan dalam waktu tertentu.
  3.     OTP yang menggunakan aplikasi / apps.
Selain OTP ada verifikasi identitas lain yang lazim digunakan seperti :
  1.     Verifikasi kredensial (username dan password).
  2.     Verifikasi melalui email.
  3.     Verifikasi melalui SMS atau telepon.
  4.     Verifikasi melalu Twitter atau layanan pihak ke tiga lainnya.
Semua pengamanan tersebut di atas bertujuan untuk mengidentifikasi pengguna layanan dan mempersulit kriminal untuk mencuri kredensial serta menggunakannya untuk kepentingan negatif. Secara teoritis, banyak orang berpikir bahwa banyaknya jumlah verifikasi identitas berbanding lurus dengan tingkat keamanan. Yang jelas, makin banyak jumlah verifikasi mengakibatkan penambahan proses dan berbanding lurus dengan ketidaknyamanan. Sebaliknya, pemilihan verifikasi identitas yang tidak tepat, seberapa banyakpun jumlahnya terkadang tidak membuat lebih aman dari sedikit verifikasi identitas yang tepat. Ibaratnya lebih baik anda memilih herder untuk menjaga kawanan domba dari serangan srigala daripada menggunakan cihuahua dan pincher.

Dibandingkan dengan otentikasi lainnya, verifikasi identitas OTP, khususnya yang menggunakan token / kalkulator PIN termasuk yang paling aman dan anti sadap (kecuali menggunakan kamera CCTV :p). Faktor utamanya adalah karena sifat token / kalkulator PIN yang offline dan tidak ada jaringan / pihak ketiga yang terlibat dalam pengiriman OTP ke token. Selain itu, penggunaan kalkulator token yang disediakan oleh bank memungkinkan kontrol penuh dan penyeragaman terhadap proses otentikasi / sisdur bank. Seperti pengguna token harus memasukkan password unik yang (harusnya) hanya diketahui oleh dirinya sendiri guna mengakses token. Proses ini lebih aman daripada OTP menggunakan apps di smartphone dimana pihak bank tidak memiliki wewenang untuk memaksakan bahwa smartphone harus selalu dipassword. Selain itu, motivasi orang mencuri smartphone lebih tinggi daripada mencuri token PIN.

Otentikasi melalui username password, email, sms dan layanan pihak ketiga lainnya memiliki ketergantungan atas jaringan yang tidak terjamin ketersediaan sepanjang waktu dan masalah cakupan area. Penggunaan perangkat keras seperti komputer dan smartphone rentan terhadap peretasan. Seperti kita ketahui, banyak trojan yang memiliki kemampuan keylogger dan data yang ditransmisikan melalui jaringan internet mudah disadap. Penggunaan jaringan telekomunikasi milik operator juga tidak menjamin antisadap, selain itu data yang dikirimkan melalui SMS / suara tetap harus melalui server operator, menambahkan lagi satu faktor kerentanan. Sebaliknya token / kalkulator PIN yang sudah dikalibrasi satu kali dengan server PIN sudah tidak perlu terhubung lagi ke internet / jaringan dan masing-masing sudah mengetahui urutan PIN untuk verifikasi berdasarkan waktu / time based.

Penulis mengalami sendiri pilihan verifikasi yang tujuannya mungkin untuk mendapatkan keamanan maksimum, namun yang terjadi adalah ketidaknyamanan yang mengakibatkan layanan yang seharusnya bisa diotentikasi dengan sangat cepat dan mudah menjadi terhambat. Pada salah satu bank swasta nasional, guna menggunakan layanan baru, pendaftar harus melalui tahap verifikasi. Hal tersebut tentunya wajar, guna memastikan apakah benar si pemilik rekening benar mendaftarkan diri untuk layanan tersebut. Sebenarnya pihak bank sudah memiliki segala perangkat yang diperlukan, token PIN, username dan password pengguna internet banking yang unik, serta pengamanan https guna melindungi transmisi informasi dari penyadapan. Semua perangkat untuk menjalankan TFA sudah tersedia. Namun, alih-alih menggunakan perangkat yang sudah ada dan terbukti handal, pihak bank malah menambahkan 2 faktor otentikasi lagi. Pengiriman kode aktivasi melalui email DAN kode aktivasi SMS. (lihat gambar di bawah)
20140310I_sisdur01
Proses aktivasi 4 factor authentication oleh salah satu bank swasta
Jadi, untuk mengaktivasi layanan baru ini, persyaratannya adalah :
  1.     Username dan password akun bank.
  2.     Token internet banking.
  3.     Email activation code.
  4.     Cellular phone activation code.
Jadi bukan TFA Two Factor Authentication yang digunakan untuk aktivasi layanan ini melainkan FFA alias Four Factor Authentication. Selain harus mengetahui kredensial akun bank, PIN token internet banking yang hanya diketahui oleh server internet banking dan pemilik token, bank masih meminta konfirmasi kredensial dari email dan SMS yang secara teknis lebih lemah tingkat sekuritinya daripada token. Ibaratnya meminta cihuahua dan pincher ikut menjaga kawanan domba yang sudah dijaga oleh herder.

Disinilah masalah mulai terjadi. Pertama-tama, email activation code yang dikirimkan oleh server internet banking dimasukkan sebagai SPAM oleh mailserver Gmail dan sekalipun sudah di kirimkan berulang-ulang tidak ada di mailbox, seharusnya administrator mailserver domain bank melakukan komunikasi dan maintenance untuk mencegah domainnya dimasukkan ke dalam blacklist / SPAM. Setelah masalah ini diatasi, muncul lagi masalah lain dimana SMS yang seharusnya dikirimkan ke nomor telepon penulis sampai lebih dari 24 jam tidak terkirim sama sekali. Akibatnya proses aktivasi tidak bisa dilakukan dan layanan tidak bisa digunakan.

Harusnya bank memiliki contingency plan dan bisa mengantisipasi hal ini dan bisa melakukan aktivasi melalui telepon dengan melakukan verifikasi, namun setelah call center dihubungi melalui telepon sebanyak 2 kali dan email 2 kali, jawaban yang didapatkan seperti tempat ibadah, diminta menjadi orang sabar : “Terimakasih sudah menghubungi kami, mohon kesabarannya untuk menunggu”

Jika anda adalah pembuat keputusan di bank, penulis ingin memberikan sedikit pandangan. Jika anda memiliki kawanan domba dan anda memiliki Herder, Cihuahua dan Pincher. Jangan gunakan ketiganya untuk menjaga kawanan domba anda. Mungkin anda bisa menggunakan Herder sebagai pertahanan terakhir dari srigala, sedangkan Pincher dan Cihuahua digunakan untuk memberitahu Herder kalau ada srigala datang sehingga meringankan tugas Herder. Email dan SMS jika digunakan secara efektif dapat menjadi early warning atas transaksi tidak normal pada akun pelanggan. Jangan digunakan sebagai tambahan faktor otentikasi yang sudah aman dimana akhirnya hanya akan menambahkan birokrasi yang tidak perlu daripada memberikan tambahan pengamanan. Yang akan terjadi bukannya "Nasabah Puas Anda Lemas" tetapi "Sisdur Puas Nasabah Lemas".
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: