Pernahkah Anda menerima pesan teks yang berisi kode saat Anda masuk ke rekening bank atau email Anda? Ini adalah contoh otentikasi SMS yang sedang bekerja. Ini adalah langkah keamanan sederhana yang mengirimkan kata sandi sekali pakai (OTP) ke ponsel Anda melalui pesan teks untuk memverifikasi identitas Anda.
Dengan meningkatnya ancaman terhadap masyarakat dan keamanan dunia maya, bisnis dan individu telah lama mengandalkan autentikasi SMS untuk menyediakan lapisan keamanan ekstra. Tetapi apakah ini benar-benar merupakan pilihan terbaik? Dalam blog ini, kita akan membahas cara kerja autentikasi SMS, pro dan kontranya, dan alternatif-alternatif keamanan yang ada.
Apa yang dimaksud dengan Otentikasi SMS?
Autentikasi SMS adalah proses keamanan yang memverifikasi identitas pengguna dengan mengirimkan kata sandi sekali pakai melalui pesan teks ke nomor telepon yang terdaftar. Kode ini, yang dikenal sebagai nomor autentikasi SMS, dimasukkan ke dalam formulir login untuk membuktikan bahwa orang yang mencoba mengakses akun tersebut adalah pemilik nomor telepon yang terdaftar.
Proses ini umumnya digunakan dalam berbagai layanan online, seperti:
- Aplikasi perbankan (untuk mengonfirmasi transaksi atau login)
- Layanan email (seperti Gmail dan Outlook)
- Platform perdagangan elektronik (untuk melindungi akun pelanggan)
- Akun media sosial (Facebook, Instagram, Twitter, dll.)
Autentikasi SMS memainkan peran utama dalam autentikasi dua faktor (2FA) dan autentikasi multi-faktor (MFA).
- Autentikasi Dua Faktor (2FA): SMS autentikasi dua faktor mewajibkan penggunaan kode SMS untuk mengautentikasi bersama kata sandi agar Anda dapat masuk. Bahkan jika peretas telah mencuri kata sandi seseorang, tidak mungkin untuk masuk ke akun tanpa kode SMS.
- Autentikasi multi-faktor (MFA) mengembangkan gagasan 2FA dengan menambahkan beberapa faktor verifikasi, seperti sidik jari, pemindaian wajah, atau kunci keamanan. Hal ini semakin mempersulit akses yang melanggar hukum.
Dengan proses autentikasi pesan teks, organisasi telah mampu mengurangi kemungkinan peretasan kata sandi atau kata sandi yang lemah yang mengakibatkan pelanggaran keamanan. Namun, metodologi ini bukannya tanpa kekurangan, seperti yang akan dibahas di bagian selanjutnya.
Bagaimana Cara Kerja Otentikasi SMS?
Proses autentikasi SMS mengikuti struktur yang sederhana namun efektif:
Langkah 1: Upaya masuk pengguna: Ketika pengguna mencoba masuk, sistem akan memeriksa apakah akun mereka memerlukan autentikasi SMS.
Langkah 2: Mengirim Kode SMS: OTP dibuat dan dikirim ke ponsel Anda melalui SMS untuk masuk atau bertransaksi. Kode ini unik dan hanya berlaku untuk waktu yang singkat.
Langkah 3: Pengguna Memasukkan Kode: Setelah Anda mendapatkan kode di ponsel Anda, masukkan kode tersebut ke dalam bidang yang diperlukan di situs web atau aplikasi.
Langkah 4: Proses Verifikasi: Jika Anda memasukkan kode yang benar, akses diberikan. Jika tidak, Anda perlu meminta kode baru.
Metode ini memastikan bahwa hanya orang yang memiliki akses ke nomor telepon yang terdaftar yang dapat masuk, meskipun beberapa peretas telah mengembangkan cara untuk mem-bypass langkah keamanan ini.
Baca Juga: Alasan Mengapa Pesan Teks Anda Tidak Terkirim (dan Cara Memperbaikinya)Kode Otentikasi SMS - Jenis Kata Sandi Sekali Pakai (OTP)
Kata sandi sekali pakai adalah inti dari autentikasi teks. Kata sandi ini adalah kode sementara yang digunakan untuk memverifikasi identitas pengguna selama login atau transaksi. Alih-alih mengandalkan kata sandi statis yang dapat digunakan kembali, OTP memastikan bahwa setiap upaya login memerlukan kode baru.
Ada dua jenis utama OTP yang digunakan dalam SMS autentikasi:
1. Kata Sandi Sekali Pakai Berbasis Waktu (TOTP)
Kata Sandi Sekali Pakai Berbasis Waktu (TOTP) adalah OTP yang kedaluwarsa setelah beberapa saat, biasanya 30 hingga 60 detik. Jika pengguna tidak memasukkan kode dalam jendela ini, maka kode tersebut menjadi tidak valid, dan mereka harus meminta kode yang baru.
Bagaimana TOTP Bekerja:
Langkah 1: Pengguna mencoba masuk ke akun.
Langkah 2: Sistem akan menghasilkan kode 6 atau 8 digit secara acak.
Langkah 3: Kode dikirim melalui nomor autentikasi SMS ke ponsel pengguna.
Langkah 4: Pengguna memasukkan kode dalam jangka waktu yang valid (30-60 detik).
Langkah 5: Jika dimasukkan dengan benar, sistem akan memberikan akses.
Mengapa TOTP Digunakan:
- Mencegah penyerang menggunakan kembali OTP yang dicuri atau disadap.
- Mengurangi risiko serangan brute force karena kode akan kedaluwarsa dengan cepat.
- Meningkatkan keamanan dengan memastikan setiap OTP berumur pendek.
Contoh TOTP dalam Aksi:
Bayangkan Anda masuk ke akun perbankan online Anda. Anda memasukkan kata sandi, dan bank mengirimkan kode autentikasi melalui pesan teks yang akan kedaluwarsa dalam 30 detik. Anda segera memeriksa ponsel Anda, memasukkan kode, dan mengakses akun Anda. Jika terlalu lama, kode tersebut tidak akan berfungsi, dan Anda memerlukan kode yang baru.
2. Kata Sandi Sekali Pakai Berbasis Hash (HOTP)
Kata Sandi Sekali Pakai Berbasis Hash (Hash-Based One-Time Password/HOTP) adalah jenis lain dari OTP, tetapi tidak seperti TOTP, kata sandi ini tidak memiliki waktu kedaluwarsa yang tetap. Sebaliknya, kata sandi ini tetap berlaku hingga digunakan.
Bagaimana HOTP Bekerja:
Langkah 1: Sistem menghasilkan OTP unik berdasarkan algoritme matematika.
Langkah 2: Kode dikirim ke pengguna melalui validasi SMS.
Langkah 3: Pengguna memasukkan OTP selama login.
Langkah 4: Setelah dimasukkan, OTP ditandai sebagai bekas dan tidak dapat digunakan kembali.
Mengapa HOTP Digunakan:
- Ideal untuk situasi di mana pengguna mungkin tidak langsung menerima SMS.
- Berfungsi dengan baik di daerah dengan konektivitas jaringan yang buruk.
- Mencegah masalah yang sensitif terhadap waktu, karena OTP tetap berlaku hingga digunakan.
Contoh HOTP dalam Aksi:
Anda masuk ke akun email perusahaan, dan sistem mengirimkan kode autentikasi teks ke ponsel Anda. Anda teralihkan perhatiannya dan tidak langsung memasukkan kode tersebut. Untungnya, karena HOTP tidak kedaluwarsa berdasarkan waktu, Anda masih dapat memasukkan kode yang sama bahkan setelah beberapa menit. Namun, setelah digunakan, kode tersebut tidak dapat digunakan kembali.
OTP Mana yang Lebih Aman?
TOTP secara umum dianggap lebih aman daripada HOTP karena membatasi jendela waktu bagi penyerang untuk menggunakan OTP yang dicuri. Namun, kedua metode ini memberikan keamanan yang lebih baik daripada kata sandi tradisional saja.
- Menurut laporan terbaru dari Forbes yang mengutip "percakapan istimewa dengan orang dalam Google," terungkap, untuk pertama kalinya, bahwa kode SMS akan ditinggalkan dalam hal otentikasi dan digantikan dengan kode QR untuk "mengurangi dampak penyalahgunaan SMS yang merajalela secara global.
Kelebihan Autentikasi SMS
Meskipun autentikasi SMS mungkin tidak terlalu mudah, ini masih merupakan salah satu langkah keamanan yang paling populer. Sebagian besar organisasi masih mempercayainya karena:
1. Sederhana dan Ramah Pengguna
Ini adalah mekanisme keamanan dengan ambang batas yang sangat rendah karena pengguna tidak perlu menginstal perangkat lunak atau aplikasi khusus apa pun; mereka hanya perlu ponsel yang mampu menerima pesan teks biasa.
Contoh: Ketika Anda masuk ke rekening bank online dan menerima pesan teks berisi kode autentikasi, Anda hanya perlu mengetiknya di situs web. Hal ini berguna untuk membuat rekening bank menjadi kompleks tanpa membuatnya ambigu dan sulit digunakan.
2. Dapat Diakses Secara Universal
Tidak seperti autentikasi berbasis aplikasi, yang membutuhkan ponsel cerdas, autentikasi SMS dapat bekerja pada ponsel apa pun. Hal ini bermanfaat bagi bisnis yang memiliki pelanggan di area yang tidak memiliki ponsel cerdas atau koneksi internet yang stabil.
Pemerintah dan layanan keuangan telah menggunakan otentikasi SMS yang komprehensif untuk berbagai kalangan, bahkan bagi mereka yang hanya memiliki ponsel yang paling dasar dan dengan demikian dapat menerima otentikasi melalui pesan SMS biasa.
3. Tidak Diperlukan Perangkat Keras atau Perangkat Lunak Tambahan
Beberapa sarana keamanan, kunci elektronik yang dipersonalisasi atau autentikasi biometrik, hanya menuntut penggunaan perangkat khusus. Dengan keistimewaan autentikasi SMS, Anda tidak memerlukan apa pun, hanya nomor telepon Anda.
Ini memberikan solusi berbiaya rendah untuk perusahaan yang membutuhkan keamanan lebih tinggi tanpa membayar mahal untuk metode autentikasi.
4. Bekerja Bahkan Tanpa Internet
Satu keuntungan yang sangat utama dari autentikasi berbasis pesan teks adalah tidak memerlukan akses internet. Sementara aplikasi autentikator dan sistem verifikasi email masih membutuhkan Wi-Fi atau data seluler, SMS bekerja melalui jaringan seluler.
Dengan demikian, ini dapat berguna bahkan di daerah dengan akses internet yang buruk, memastikan bahwa pengguna masih dapat mengautentikasi identitas mereka bahkan ketika offline.
5. Menambahkan Lapisan Keamanan Ekstra
Otentikasi SMS bukanlah salah satu cara yang paling aman untuk memastikan keamanan, tetapi jauh lebih aman daripada menggunakan kata sandi saja. Bahkan jika peretas berhasil mencuri kata sandi seseorang, mereka tidak akan bisa menyelesaikan proses login tanpa akses ke ponsel.
Contohnya, jika penjahat siber membobol kata sandi email pengguna melalui pembobolan data, langkah tambahan masih menambah tingkat kerumitan, karena peretas akan membutuhkan nomor SMS untuk masuk.
-Juru bicara Gmail, Ross Richendrfer
Kekurangan dan Risiko Keamanan Autentikasi SMS
Terlepas dari kelebihannya, autentikasi SMS memiliki masalah keamanan dan kegunaan yang serius. Oleh karena itu, beberapa pakar dunia maya mendesak penggunaan metode autentikasi alternatif.
1. Rentan terhadap Serangan Penukaran SIM
Serangan pertukaran SIM adalah salah satu ancaman terbesar terhadap otentikasi SMS. Dalam serangan ini, penjahat cenderung membujuk operator seluler untuk memindahkan nomor telepon yang diberikan kepada korban ke kartu SIM lain yang berada di bawah kendalinya.
Setelah peretasan berhasil, para ahli penukaran sim mengendalikan akun dan mendapatkan akses ke telepon dengan menggunakan kode teks untuk validasi.
- Bart Stephens dari Blockchain Capital Kehilangan $ 6,3 Juta Dalam Peretasan Crypto SIM-Swap!
2. Rentan terhadap Phishing dan Rekayasa Sosial
Peretas menggunakan email phishing, situs web palsu, atau panggilan telepon palsu untuk memikat pengguna agar memberikan nomor otentikasi SMS.
Peretas mungkin mengirimkan email palsu yang berpura-pura mewakili bank, meminta pengguna untuk melaporkan kode otentikasi teks mereka di situs web palsu. Jika korban merespons dan menyerah pada jebakan ini, kode tersebut memberi peretas akses ke akun mereka dan memberi mereka kendali atas akun tersebut.
- Menurut National Institute of Standards and Technology (NIST), autentikasi berbasis SMS rentan terhadap serangan phishing dan serangan man-in-the-middle. Pedoman mereka (SP 800-63B) secara eksplisit tidak menyarankan SMS untuk aplikasi dengan keamanan tinggi.
3. Pesan SMS Dapat Disadap
Tidak seperti mekanisme autentikasi lainnya, pesan SMS dikirim tanpa enkripsi, yang membuatnya terbuka untuk disadap oleh siapa pun. Dengan malware atau jenis serangan lain yang mengeksploitasi kelemahan pada jaringan seluler, penyerang dapat, dalam keadaan tertentu, membaca pesan SMS dan mendapatkan kode perintah untuk masuk.
4. Tidak Aman untuk Transaksi Berisiko Tinggi
Meskipun autentikasi SMS berguna untuk login secara umum, namun tidak disarankan untuk tindakan yang sangat sensitif seperti transaksi keuangan atau mengakses informasi bisnis yang penting.
Kini, banyak lembaga keuangan dan tim keamanan perusahaan mulai tidak menyarankan penggunaan validasi SMS untuk transaksi berisiko tinggi, dan mendesak organisasi untuk mengadopsi MFA atau kredensial tanpa kata sandi sebagai gantinya.
5. Membutuhkan Jaringan Seluler - Tidak Ada Sinyal, Tidak Ada Akses
Meskipun kode untuk autentikasi berbasis aplikasi dapat ditangkap secara offline, pesan SMS memungkinkan autentikasi dengan demikian-SMS membutuhkan jaringan seluler aktif untuk penerimaan. Jadi, misalnya, jika pengguna berada di wilayah dengan sinyal rendah atau bepergian ke negara lain tanpa roaming, kode otentikasi SMS mungkin tidak dikirimkan kepada pengguna.
Contoh: Seorang eksekutif yang sedang bepergian yang tidak dapat menerima nomor autentikasi SMS dalam perjalanan tidak akan dapat mengakses email perusahaan.
- Lembaga Keuangan: Bank harus memprioritaskan solusi MFA seperti biometrik atau aplikasi autentikasi untuk mencegah pengambilalihan akun.
- Penyedia Layanan Kesehatan: Otentikasi yang sesuai dengan HIPAA membutuhkan keamanan yang lebih kuat daripada SMS.
- E-commerce dan Media Sosial: Autentikasi SMS masih umum digunakan untuk login berisiko rendah, tetapi sebaiknya dikombinasikan dengan metode autentikasi cadangan.
Metode Otentikasi Modern
Dengan meningkatnya jumlah ancaman dunia maya, bisnis beralih dari autentikasi SMS ke metode keamanan yang lebih kuat. Berikut ini adalah beberapa alternatif autentikasi paling aman dan canggih yang tersedia saat ini:
1. Autentikasi Multi-Faktor (MFA) - Menggabungkan Beberapa Metode
Otentikasi multi-faktor (MFA) meningkatkan keamanan dengan mengharuskan pengguna memverifikasi identitas mereka melalui beberapa metode, bukan hanya SMS otentikasi. Dikombinasikan dengan prinsip hak istimewa yang paling sedikit, MFA secara signifikan membatasi apa yang bisa diakses oleh akun yang disusupi, bahkan jika kredensial dicuri.
MFA menggunakan tiga jenis faktor autentikasi utama:
- Sesuatu yang Anda Ketahui - Kata sandi, PIN, atau pertanyaan keamanan.
- Sesuatu yang Anda Miliki - SMS OTP, aplikasi autentikasi, atau kunci keamanan fisik.
- Sesuatu tentang Anda - Data biometrik seperti sidik jari, pengenalan wajah, atau pemindaian retina.
Dengan menggabungkan dua atau lebih dari faktor-faktor ini, MFA membuat peretas jauh lebih sulit untuk membobol akun.
Contoh MFA dalam Aksi:
Saat masuk ke akun perbankan online, Anda memasukkan kata sandi (sesuatu yang Anda ketahui). Kemudian, Anda menerima kode autentikasi melalui SMS di ponsel (sesuatu yang Anda miliki). Beberapa bank mungkin juga meminta sidik jari atau pengenalan wajah (sesuatu yang Anda miliki). Kombinasi ini memastikan keamanan maksimum.
2. Autentikasi Tanpa Kata Sandi
Kata sandi adalah mata rantai terlemah dalam rantai keamanan siber karena kata sandi dapat digunakan ulang, ditebak, dan mudah dicuri. Autentikasi tanpa kata sandi bertujuan untuk menggantikan kata sandi sama sekali, sehingga memungkinkan proses masuk yang lebih mudah dan aman.
- Otentikasi biometrik - Sidik jari, pengenalan wajah, atau pengenalan suara.
- Kunci keamanan - Perangkat USB atau NFC fisik seperti YubiKey.
- Aplikasi autentikator - Aplikasi seperti Google Authenticator atau Microsoft Authenticator yang menghasilkan kode sensitif waktu.
Contoh Autentikasi Tanpa Kata Sandi dalam Tindakan:
Anda mengakses sistem internal perusahaan Anda dengan masuk menggunakan sidik jari. Sistem akan mengenali sidik jari Anda dan mengizinkan akses tanpa memasukkan kata sandi.
3. Sistem Masuk Tunggal (SSO) untuk Akses Tanpa Batas
Sistem Masuk Tunggal (SSO) memungkinkan pengguna untuk masuk ke berbagai aplikasi dan layanan dengan satu proses autentikasi yang unik.
Bagaimana SSO Bekerja:
Langkah 1: Pengguna masuk ke dalam satu sistem menggunakan SMS autentikasi, biometrik, atau metode aman lainnya.
Langkah 2: Setelah diautentikasi, pengguna diberikan akses ke semua aplikasi yang terhubung tanpa perlu masuk kembali.
Manfaat SSO:
- Mengurangi kelelahan kata sandi dengan tidak perlu mengingat banyak kata sandi.
- Meningkatkan keamanan dengan memusatkan autentikasi.
- Pengalaman pengguna yang lebih baik dengan menyederhanakan akses ke berbagai layanan
Contoh SSO dalam Aksi:
Setelah Anda masuk ke akun Google, Anda secara otomatis memiliki akses ke Gmail, Google Drive, YouTube, dan layanan Google lainnya tanpa harus masuk lagi.
4. OAuth dan OpenID Connect untuk Otorisasi yang Aman
OAuth dan OpenID Connect adalah kerangka kerja autentikasi modern yang memungkinkan pengguna untuk masuk ke situs web atau aplikasi menggunakan kredensial dari penyedia pihak ketiga seperti Google, Facebook, atau Microsoft.
Cara Kerja OAuth dan OpenID Connect:
Langkah 1: Alih-alih membuat nama pengguna dan kata sandi baru untuk situs web, Anda memilih untuk masuk dengan Google.
Langkah 2: Google memverifikasi identitas Anda dan memberikan izin untuk mengakses layanan yang diminta.
Langkah 3: Situs web mengautentikasi Anda berdasarkan konfirmasi Google tanpa memerlukan kata sandi terpisah.
Mengapa Bisnis Lebih Memilih OAuth dan OpenID Connect:
- Meniadakan kebutuhan untuk validasi SMS atau kata sandi.
- Pengguna tidak perlu mengingat beberapa kredensial login.
- Mengurangi risiko keamanan yang terkait dengan penggunaan ulang kata sandi.
Contoh OAuth dalam Tindakan:
Anda mengunjungi situs web e-commerce baru dan memilih "Masuk dengan Google." Alih-alih membuat akun baru, Anda masuk menggunakan kredensial Google Anda. Situs web menerima autentikasi dari Google, dan Anda dapat segera mulai berbelanja.
Perusahaan teknologi besar seperti Apple, Google, dan Microsoft kini beralih ke Passkeys-metode autentikasi yang meniadakan kata sandi dan kode SMS. Metode modern ini menggunakan autentikasi kriptografi, sehingga tahan terhadap phishing dan penyadapan.
Kotak Masuk bersama SMSKesimpulan
Meskipun autentikasi SMS memiliki risiko keamanan, metode ini tetap menjadi metode yang banyak digunakan untuk memverifikasi pengguna. Bisnis harus menilai kebutuhan keamanan mereka dan mempertimbangkan untuk menggunakan SMS bersama dengan metode autentikasi yang lebih aman, seperti OTP berbasis aplikasi atau verifikasi biometrik.
Seiring dengan berkembangnya ancaman dunia maya, bisnis harus memikirkan kembali strategi otentikasi mereka. Menerapkan MFA, autentikasi biometrik, atau login tanpa kata sandi dapat mengurangi risiko keamanan secara signifikan. Jika Anda ingin meningkatkan sistem autentikasi Anda, berkonsultasilah dengan pakar keamanan siber atau jelajahi solusi seperti ControlHippo.
Diperbarui : 25 Juni 2025
Jainy Patel is a content strategist who specializes in omnichannel communication solutions. She develops innovative marketing strategies that unify messaging across various channels, ensuring a consistent and engaging customer journey. Jainy is passionate about optimizing communication processes and crafting targeted content that resonates with audiences at every touchpoint.