Panduan Lengkap untuk Kata Sandi Sekali Pakai (OTP)

Apa itu kata sandi satu kali?

Kata sandi satu kali adalah kode otorisasi yang dihasilkan secara otomatis yang mengautentikasi pengguna saat mereka masuk ke akun, jaringan, atau sistem.

Tidak seperti kata sandi tradisional, kata sandi satu kali hanya berlaku satu kali dan untuk jangka waktu tertentu. Meskipun Anda dapat masuk lagi dan lagi dengan kata sandi yang sama hingga Anda mengatur ulang, kata sandi satu kali selalu unik dan berubah setiap kali masuk.

Kata sandi satu kali adalah metode umum otentikasi dua faktor (2FA) — praktik keamanan kata sandi yang memerlukan dua bentuk identifikasi untuk mendapatkan akses ke akun atau jaringan.

Kata sandi satu kali (juga dikenal sebagai kata sandi satu kali) biasanya numerik atau alfanumerik. Mereka digunakan oleh perusahaan di semua industri sebagai metode otentikasi dua faktor.

Kata sandi satu kali vs. kata sandi statis

Mari kita perjelas perbedaan utama antara kata sandi satu kali dan kata sandi statis.

Kata sandi statis adalah kata sandi buatan pengguna tradisional yang biasanya kedaluwarsa setiap 30 hingga 60 hari. Seorang pengguna dapat membuat kata sandi ini secara manual atau menggunakan alat pembuatan kata sandi. Begitu mereka membuat kata sandi, itu tetap statis sampai pengguna dengan sengaja mengubah atau menyetel ulang.

Sebaliknya, kata sandi satu kali hanya berlaku sekali dan untuk waktu yang singkat ketika pengguna menyelesaikan satu sesi login. OTP juga dikenal sebagai kata sandi dinamis atau kata sandi satu kali karena mereka berubah pada setiap sesi login dan pengguna hanya dapat memasukkannya sekali.

Bagaimana cara kerja kata sandi sekali pakai?

Gagasan di balik kata sandi sekali pakai itu sederhana. Dua atau lebih metode autentikasi menggunakan dua dari tiga faktor berikut:

• sesuatu kamu pengetahuan (yaitu kata sandi statis Anda)
• sesuatu kamu memiliki (mis. token, perangkat identifikasi kriptografi, kode sandi)
• sesuatu kamu Adalah (yaitu biometrik seperti sidik jari atau ID Wajah Anda)

Sementara kata sandi statis adalah sesuatu yang Anda buat dan ketahui, kata sandi satu kali adalah sesuatu yang Anda miliki. Berikut cara kerja sandi satu kali:

• Saat pengguna mencoba masuk ke akun atau aplikasi mereka, platform meminta mereka untuk mengonfirmasi identitas mereka dengan memasukkan serangkaian karakter numerik atau alfanumerik.
• Karakter ini dibuat secara otomatis menggunakan Hashed Message Authentication Code (HMAC) dan faktor pergerakan. Dua faktor pergerakan OTP yang paling penting adalah berbasis waktu (TOTP) dan berbasis peristiwa (HOTP). Kami akan membahas ini secara lebih rinci di bagian di bawah ini.
• Kata sandi satu kali ini dikirim ke pengguna melalui saluran yang hanya dapat diakses oleh pengguna: email, aplikasi autentikator, perangkat kunci keamanan, pesan teks, atau pemberitahuan push.
• Pengguna kemudian memasukkan kata sandi satu kali di bidang yang diperlukan untuk memverifikasi identitas mereka atau untuk mengautentikasi suatu tindakan.

Anda dapat membuat kata sandi satu kali dalam beberapa cara, yang akan kami bahas dalam contoh di bawah ini.

Jenis kata sandi satu kali

Ada dua jenis utama OTP: milik HOTP Dan milik TOTP. Mari kita lihat lebih dekat masing-masing jenis.

HOTP

HOTP adalah kata sandi satu kali berbasis peristiwa. “H” adalah singkatan dari Hash-based Message Authentication Code (atau HMAC) – kode otentikasi pesan khusus yang mencakup fungsi hash kriptografi dan kunci kriptografi rahasia.

Saat pengguna meminta HOTP, kode yang dihasilkan valid hingga mereka meminta yang baru. Hal ini dikarenakan pembangkitan HOTP berbasis counter. Server dan pembuat OTP disinkronkan setiap kali kode divalidasi dan pengguna masuk ke akun.

Contoh bagus generator OTP yang menggunakan HOTP adalah YubiKey Yubico — kunci keamanan kecil yang dapat Anda gunakan untuk melindungi banyak akun.

TOTP

Sementara HOTP berbasis acara, TOTP berbasis waktu. TOTP adalah singkatan dari “kata sandi satu kali berbasis waktu”. TOTP menggunakan algoritma yang sama dengan HOTP, tetapi menggantikan pencacah peristiwa dengan pencacah waktu.

Saat pengguna meminta TOTP, kode yang dihasilkan hanya valid untuk waktu singkat — biasanya antara 30 dan 90 detik. Setelah itu, kode kadaluarsa dan tidak bisa digunakan lagi.

TOTP umumnya lebih aman daripada HOTP karena lebih sering kedaluwarsa.

Contoh kata sandi satu kali

Sistem OTP umumnya digunakan oleh bisnis di berbagai industri, mulai dari lembaga keuangan hingga sekolah.

Apakah Anda sedang mengakses rekening bank atau membuat perubahan pada reservasi hotel online, Anda mungkin akan diminta untuk memasukkan kode numerik untuk memverifikasi identitas Anda. Berikut beberapa contoh kata sandi sekali pakai.

Otentikasi email atau teks

Metode otentikasi OTP yang paling sederhana dan paling mudah diakses adalah menerima email atau pesan teks dengan kata sandi satu kali.

Banyak perusahaan menggunakan metode autentikasi dua faktor untuk mengonfirmasi transaksi atau mengubah pemesanan.

perangkat otentikasi

Perangkat autentikasi (juga dikenal sebagai kunci keamanan) adalah perangkat keras keamanan yang menghasilkan kata sandi sekali pakai. Perangkat ini menyertakan fobs kunci berukuran saku (mis., YubiKey) yang menghasilkan kode numerik atau alfanumerik satu kali.

kartu pintar

Kartu pintar (juga dikenal sebagai kartu tampilan OTP) adalah kartu berbasis mikroprosesor yang mirip dengan kartu kredit atau debit. Mereka memiliki layar LCD yang menampilkan kode satu kali numerik atau alfanumerik yang dihasilkan.

Contoh smart card adalah SafeNet OTP Display Card dan Feitian OTP Display Card.

Aplikasi untuk perangkat seluler

Anda juga dapat mengunduh aplikasi autentikator untuk menghasilkan kata sandi satu kali. Aplikasi seluler ini berfungsi mirip dengan token keamanan – tetapi kode dibuat di dalam aplikasi. Pengguna dapat menyalin kode untuk memverifikasi identitas mereka saat masuk ke situs web atau layanan.

Beberapa aplikasi otentikasi terkenal adalah Google Authenticator, Authy, dan Microsoft Authenticator.

Apa keuntungan dan kerugian dari kata sandi satu kali?

OTP memiliki banyak keuntungan dan manfaat. Namun, mereka juga memiliki beberapa kelemahan untuk dipertimbangkan. Mari kita lihat lebih dekat pro dan kontra.

Keuntungan

• Keamanan digital yang ditingkatkan. Menggunakan OTP sebagai faktor otentikasi kedua sangat meningkatkan keamanan siber Anda. Otentikasi multi-faktor mengurangi risiko akses tidak sah dan serangan siber, yang merupakan ancaman konstan.
• Mencegah serangan replay. Dalam serangan replay, penjahat mencegat lalu lintas web pengguna dan kemudian menggunakannya untuk mendapatkan akses ke profil online. OTP membantu mencegah serangan replay, terutama dalam transaksi perbankan. Karena OTP hanya berlaku untuk waktu atau transaksi yang singkat, jika penyerang mencoba memainkannya, itu tidak akan berhasil.
• Anda tidak perlu mengingat OTP. Harus mengatur ulang kata sandi yang terlupakan tidak menyenangkan. Karena OTP dihasilkan secara otomatis, pengguna tidak perlu khawatir mengingat kata sandi yang berbeda.
• Cepat dan mudah digunakan. Proses autentikasi dengan kata sandi satu kali biasanya cepat dan mudah. Yang harus Anda lakukan adalah memasukkan kode yang Anda terima melalui saluran tertentu dan Anda dapat mengakses akun Anda.

Kekurangan

• masalah keamanan. Meskipun kata sandi satu kali menawarkan keamanan lebih dari kata sandi konvensional, itu tidak sepenuhnya tahan serangan. Peretas dapat mem-bypass sistem keamanan OTP dengan berbagai cara kreatif seperti: B. Phishing atau serangan rekayasa sosial.
• Akses Masalah dan Keterlambatan. Tidak semua sistem OTP seefektif yang seharusnya. Terkadang pengguna mungkin menerima email dengan kata sandi satu kali mereka tertunda – atau mungkin berakhir di folder spam.
• Otentikasi membutuhkan upaya tambahan. Otentikasi OTP tidak sesederhana memasukkan nama pengguna dan kata sandi Anda. Pengguna harus melakukan langkah-langkah tambahan untuk mengautentikasi tindakan mereka, yang membutuhkan lebih banyak usaha dan waktu.
• Prosesnya bisa tidak nyaman. Dalam banyak kasus, pengguna harus memiliki ponsel saat menggunakan autentikasi OTP (misalnya saat menggunakan aplikasi seluler untuk membuat kata sandi sekali pakai atau menerima kode melalui pesan teks). Meskipun sebagian besar dari kita selalu membawa ponsel, bagi sebagian orang mengandalkan perangkat seluler bisa jadi tidak praktis.

Apakah kata sandi satu kali aman?

Kata sandi satu kali dianggap sebagai metode verifikasi identitas yang aman dan digunakan secara luas oleh bisnis di seluruh dunia.

Menyediakan akses yang aman ke aplikasi merupakan tantangan berkelanjutan bagi organisasi di semua industri. Tindakan keamanan seperti OTP adalah cara sederhana, efektif, dan andal untuk melindungi informasi pengguna dan data sensitif.

Menggunakan kata sandi sekali pakai menambah lapisan keamanan pada proses masuk dan memberikan akses aman ke akun atau aplikasi. OTP lebih aman daripada kata sandi statis (terutama jika pendek atau digunakan kembali di tempat lain).

Namun, seperti kebanyakan metode login, sistem OTP hanya sebagian anti-retas. Peretas masih dapat menemukan cara menggunakan OTP untuk membobol akun – tetapi ini bukan serangan yang mudah.

OTP rentan terhadap jenis penipuan tertentu, seperti rekayasa sosial dan serangan phishing, pembajakan email, atau pencurian kode SMS. Penting untuk tetap berhati-hati dan tidak tertipu oleh trik peretasan yang umum.

Pada akhirnya, OTP adalah metode autentikasi yang terbukti dan andal yang mengurangi kemungkinan penipuan, akun yang disusupi, dan serangan siber lainnya. Menggunakan kata sandi satu kali selain kata sandi tradisional Anda menambah lapisan keamanan ekstra dan memberi Anda lebih banyak keamanan.

Tingkatkan keamanan kata sandi Anda

Sementara kata sandi sekali pakai melindungi akun Anda dengan langkah autentikasi tambahan, kata sandi tradisional Anda sama pentingnya.

Ingatlah untuk membuat kata sandi yang panjang dan kuat agar peretas tidak dapat menebaknya — dan jangan pernah menggunakan kata sandi sebelumnya.

Untuk informasi lebih lanjut, lihat tips untuk membuat kata sandi yang kuat ini dan pertimbangkan untuk menggunakan pengelola kata sandi untuk meningkatkan keamanan akun Anda.