One-time password atau OTP adalah standar keamanan yang bagus, namun, 2FA disinyalir memiliki ketahanan yang lebih baik. Lantas, apakah seharusnya 2FA menggantikan OTP? Apakah hanya mengandalkan OTP saja tidak cukup?
Jika dilihat dari kegunaannya, keduanya memiliki fungsi yang serupa. Baik 2FA dan OTP, sama-sama akan menambah perlindungan data penting. Keduanya juga merupakan sistem autentikasi dalam layanan digital.
Tetapi, serupa bukan berarti keduanya sama. Ada persamaan yang membuat keduanya serupa, dan ada perbedaan yang membuat salah satunya lebih baik. Maka itu, kenali 2FA dan OTP, supaya bisa memahami bedanya.
Apa itu 2FA?
Two-factor authentication atau 2FA, adalah sistem autentikasi yang menggunakan dua jenis kredensial dari dua faktor berbeda. Dalam 2FA authentication, terdapat tiga faktor yang mana keduanya dipilih untuk autentikasi, yaitu:
- Something you know atau sesuatu yang kamu ketahui. Faktor ini meliputi informasi yang hanya pengguna tahu, seperti password, PIN, dan pertanyaan keamanan.
- Something you have atau sesuatu yang kamu miliki. Faktor ini meliputi perangkat yang dimiliki oleh pengguna, misalnya smartphone, OTP token, dan barang lain.
- Something you are atau sesuatu yang mendefinisikan diri. Faktor ini meliputi biometrik pengguna yang dipakai untuk pengecekan, seperti raut muka, sidik jari, hingga retina mata.
Umumnya, 2FA memakai “something you know” serta “something you have” sebagai metode autentikasi. Pemilik akun melakukan login dengan password, lalu menggunakan OTP yang dikirim untuk menyelesaikan proses autentikasi.
Apa itu OTP?
One time password atau OTP, merupakan kode seperti password yang bersifat sekali pakai, dan valid hanya untuk sekali autentikasi. Kode ini memiliki kombinasi numerik atau alphanumerik yang dibuat secara acak.
OTP authentication dapat dilakukan di berbagai channel, mulai dari SMS, email, WhatsApp, hingga missed call. Sebagian perusahaan hanya memiliki satu channel OTP, namun sebagiannya lagi memiliki lebih dari satu channel.
Untuk melakukan proses autentikasi dengan OTP, caranya sangat mudah. Pemilik akun cukup meminta kode tersebut, tunggu sampai kodenya terkirim ke smartphone, dan tinggal ketikkan kode tersebut dengan segera.
Mengapa harus segera? Karena setiap OTP yang dikirimkan memiliki validitas yang bersifat sementara (Time-based OTP). Artinya, apabila waktu validitasnya habis, maka pengguna layanan perlu meminta kode yang baru.
5 Perbedaan Utama 2FA dan OTP
Dengan penjelasan keduanya, maka timbullah pertanyaan baru: Apa perbedaan utama dari 2FA vs OTP, sehingga banyak orang beranggapan bahwa 2FA menggantikan OTP? Ada setidaknya lima perbedaan, yaitu:
Faktor yang Digunakan
Seperti yang dijelaskan tadi, terdapat tiga faktor yang dapat dipakai untuk autentikasi. 2FA menggunakan dua faktor dari ketiga pilihan tersebut, mulai dari password, kode sekali pakai, atau memakai biometrik.
Sementara itu, OTP adalah sistem autentikasi yang termasuk ke dalam faktor “something you have”. Dengan kata lain, OTP merupakan bagian dari 2FA, apabila perusahaan memakai faktor “something you have”.
Jadi, kurang tepat jika dibilang 2FA menggantikan OTP. Justru, OTP dapat menjadi salah satu dari dua faktor kredensial yang akan digunakan dalam sistem two-factor authentication ini.
Tingkat Keamanan
Perbandingan 2FA vs OTP akan terlihat dengan jelas, jika membandingkan soal keamanannya. Berikut beberapa poin yang membedakan kemampuan 2FA dan OTP, sebagai keamanan digital:
- 2FA memiliki dua lapisan keamanan, sehingga jika peretas mampu membobol lapisan pertama, masih ada lapisan kedua yang harus dibobol. Sementara, OTP hanya mengandalkan satu saluran/channel saja.
- Sistem OTP tertanam kepada perangkat, sehingga apabila perangkat tersebut dicuri, maka pencuri dapat mengaksesnya. Dengan 2FA, pencuri masih membutuhkan faktor pemilik akun lainnya.
- OTP rentan terhadap intersepsi, SIM swapping, dan phishing. 2FA diharapkan mampu memitigasi penipuan tersebut, karena pelaku masih tetap membutuhkan faktor pemilik akun lainnya.
Kompleksitas Implementasi
Akan ada perbedaan implementasi 2FA dan OTP ke dalam layanan digital perusahaan. Karena 2FA merupakan sistem autentikasi yang lebih kompleks, maka jelas proses implementasinya lebih kompleks.
Mengapa demikian? Saat menambahkan 2FA ke dalam layanan digital, perusahaan dapat memberikan opsi bagi pelanggan untuk memilih. Apakah ingin menggunakan verifikasi biasa, hard token seperti YubiKey, atau dengan aplikasi autentikasi.
Semua metode autentikasi tersebut perlu diimplementasikan sebagai opsi. Berbeda dengan OTP yang notabenenya hanya satu metode, sehingga implementasinya jauh lebih simpel dibandingkan dengan 2FA.
Pengalaman Pengguna
User experience setiap pemilik akun akan berbeda-beda, namun, bukan berarti perusahaan tidak bisa mengoptimalkannya. Terutama untuk proses autentikasi yang wajib dijalani oleh setiap pemilik akun.
Karena 2FA memiliki proses autentikasi yang kompleks, maka user experience akan sedikit lebih sulit. Perusahaan harus memastikan jika proses dua faktor harus berjalan dengan sempurna, dan mudah diikuti.
Sementara itu, OTP lebih mudah karena pemilik akun hanya mengetikkan kode OTP yang dikirim melalui salah satu channel. Bahkan, perusahaan dapat menambahkan sistem auto-fill untuk mempermudah.
Biaya Integrasi
Ketika membahas biaya, integrasi 2FA akan mengeluarkan biaya yang lebih besar jika dibandingkan dengan OTP. Alasannya karena implementasi 2FA—terutama jika opsi metodenya banyak—jauh lebih kompleks.
Meski begitu, 2FA dapat menjadi pilihan yang hemat biaya, karena menggunakan perangkat dan infrastruktur yang sudah ada. Sementara itu, mengirim OTP akan membutuhkan kuota pengiriman.
Kelebihan dan Tantangan Implementasi 2FA
Dari perbedaan kedua 2FA OTP di atas, dapat disimpulkan jika 2FA two factor authentication memiliki kemampuan yang lebih baik. Selain kelebihan yang dijelaskan dari perbedaan di atas, kelebihan 2FA lainnya berupa:
- Mencegah berbagai tindak kejahatan siber, misalnya pencurian identitas (identity theft), account takeover, phishing, dan lain-lain.
- Meningkatkan kepercayaan pelanggan, karena perusahaan mau menggunakan sistem autentikasi yang lebih kompleks dan aman.
- Memenuhi kewajiban dalam menaati peraturan terkait regulasi data, seperti UU Pelindungan Data Pribadi, yang baru efektif belakangan ini.
Meski banyak kelebihan, ada tantangan yang perusahaan perlu pahami sebelum melakukan implementasi 2FA. Berikut apa saja tantangan yang perlu dihadapi, dan seperti apa solusi yang dapat dilakukan:
- Masyarakat belum sepenuhnya memahami cara kerja 2FA. Perusahaan perlu memberikan edukasi berupa tutorial yang tepat, agar mereka dapat memahami pentingnya 2FA untuk keamanan data.
- Customer support yang butuh wawasan dengan sistem 2FA. Perusahaan dapat memperkenalkan dan melakukan training untuk CS, agar CS dapat membantu pelanggan yang ingin bertanya tentang 2FA.
- Biaya implementasi yang akan dihadapi perusahaan. Untuk ini, perusahaan perlu mempersiapkan anggaran untuk implementasi dari 2FA, serta untuk backup apabila nantinya ada masalah.
- Masalah berupa keamanan dalam sistem 2FA. Meski 2FA sudah aman, perusahaan dapat memperketat keamanannya dengan memakai channel, protokol, atau perangkat yang sudah terenkripsi.
Kesimpulan: 2FA Berkolaborasi dengan OTP, Bukan Menggantikan
Setelah menyimak pembahasan mengenai OTP dan 2FA ini, apa yang Anda bisa simpulkan? Bahwasanya, 2FA menggunakan OTP sebagai bagian faktor “something you have”, yang dipakai untuk lapisan keamanan 2FA.
Berarti, 2FA berkolaborasi dengan OTP untuk meningkatkan keamanan layanan digital, bukan menggantikan. Meski 2FA lebih baik, sistem OTP 2FA tetaplah berguna, karena dapat menjadi bagian dari sistem 2FA ini.
Maka dari itu, tidak semestinya 2FA menggantikan OTP. Anda dapat menambahkan 2FA pada layanan digital bisnis Anda, sekaligus menambahkan OTP sebagai salah satu faktor autentikasinya.