4 Kelebihan OTP (One-Time Password)

OTP atau One Time Password adalah kod unik yang dijana secara rawak dan hanya sah untuk satu sesi log masuk atau transaksi. Ia berbeza dengan kata laluan statik yang biasa digunakan berulang kali untuk mengakses akaun.

OTP biasanya terdiri daripada rentetan nombor atau kombinasi nombor dan huruf, dan hanya dihantar kepada pengguna melalui aplikasi pengesahan, mesej teks SMS, atau e-mel setiap kali diminta semasa proses log masuk atau pengesahan.

Kebaikan Menggunakan OTP

Penggunaan OTP memberi pelbagai kelebihan kepada pengguna dan organisai. Antaranya ialah:

Keselamatan Tambahan

OTP menambah lapisan keselamatan tambahan kepada proses pengesahan, menjadikan ia lebih sukar bagi penggodam untuk mengakses akaun secara tidak sah.

Mengurangkan Risiko Kata Laluan Lemah

OTP mengurangkan risiko yang berkaitan dengan penggunaan kata laluan yang lemah atau mudah diteka. Walaupun kata laluan statik dikompromi, penggodam masih memerlukan OTP yang sah untuk mengakses akaun.

Mudah Digunakan

OTP biasanya mudah dijana dan dihantar kepada pengguna melalui aplikasi pengesahan, SMS, atau e-mel. Proses memasukkan OTP adalah mudah dan tidak memerlukan pengetahuan teknikal yang mendalam.

Sesuai untuk Pelbagai Senario

OTP boleh digunakan dalam pelbagai senario, termasuk log masuk akaun, pengesahan transaksi kewangan, atau akses ke sistem sensitif.

Ia memberikan kelenturan (flexibility) dalam melaksanakan pengesahan tambahan berdasarkan keperluan keselamatan.

Kekurangan Menggunakan OTP

Walaupun OTP menawarkan kelebihan dari segi keselamatan, terdapat juga beberapa kelemahan yang perlu dipertimbangkan:

Pergantungan pada Peranti Mudah Alih

OTP sering bergantung pada penerimaan kod melalui peranti mudah alih, seperti telefon pintar. Jika peranti hilang, dicuri, atau kehabisan bateri, pengguna mungkin menghadapi kesukaran untuk menerima OTP dan mengakses akaun mereka.

Kelemahan terhadap Serangan Phishing

Walaupun OTP sendiri sukar dipalsukan, pengguna masih terdedah kepada serangan phishing yang cuba menipu mereka untuk mendedahkan OTP. Penggodam boleh menghantar e-mel atau mesej palsu yang kelihatan sah dan meminta pengguna untuk memberikan OTP mereka.

Kebergantungan pada Infrastruktur Telekomunikasi

Penghantaran OTP melalui SMS atau panggilan telefon bergantung pada infrastruktur telekomunikasi yang boleh dipercayai. Gangguan perkhidmatan atau isu dengan rangkaian boleh menyebabkan kelewatan atau kegagalan penerimaan OTP.

Kesulitan dalam Pemulihan Akaun

Jika pengguna kehilangan akses kepada peranti mudah alih atau tidak dapat menerima OTP atas sebab tertentu, proses pemulihan akaun boleh menjadi sukar.

Ini mungkin memerlukan saluran sokongan tambahan atau proses pengesahan alternatif.

Apakah Kepentingan OTP?

Penggunaan OTP menjadi semakin penting dalam konteks keselamatan siber kerana beberapa sebab utama.

Lapisan Keselamatan

OTP menambah lapisan keselamatan tambahan selain daripada kata laluan statik.

Walaupun kata laluan statik boleh dikompromi melalui serangan seperti phishing atau pencerobohan pangkalan data, OTP yang dijana secara rawak dan unik untuk setiap sesi log masuk atau transaksi menyukarkan penggodam untuk mengakses akaun secara tidak sah.

Melindungi Pengguna

OTP melindungi pengguna daripada serangan yang mengeksploitasi kelemahan kata laluan statik. Ramai pengguna cenderung menggunakan kata laluan yang lemah, mudah diteka, atau menggunakan kata laluan yang sama untuk pelbagai akaun.

Perkara ini meningkatkan risiko akaun dikompromi jika kata laluan bocor atau diteka oleh penggodam. Dengan OTP, walaupun kata laluan statik diketahui oleh pihak yang tidak bertanggungjawab, mereka masih tidak dapat mengakses akaun tanpa OTP yang sah.

Pengesahan Identiti Tambahan

OTP menyediakan pengesahan identiti tambahan dalam situasi yang memerlukan keselamatan tinggi, seperti transaksi kewangan dalam talian atau akses ke sistem sensitif.

Dengan mewajibkan pengguna untuk memberikan OTP sebagai bukti tambahan identiti mereka selain kata laluan, risiko aktiviti penipuan atau akses tanpa kebenaran dapat dikurangkan dengan ketara.

Apakah contoh industri yang menggunakan OTP?

OTP digunakan secara meluas di Malaysia dalam pelbagai jenis industri. Antaranya ialah:

Perbankan dan kewangan

OTP digunakan untuk mengesahkan transaksi dalam talian, log masuk akaun, dan perubahan tetapan keselamatan.

E-dagang

OTP melindungi transaksi pembayaran dalam talian dan mengurangkan risiko penipuan.

Perkhidmatan dalam talian: Penyedia e-mel, storan awan, dan platform media sosial menggunakan OTP untuk melindungi akaun pengguna.

Kerajaan dan sektor awam

OTP digunakan untuk mengawal akses ke sistem sensitif dan data sulit.

Penjagaan kesihatan

OTP melindungi data pesakit dan memastikan hanya kakitangan yang dibenarkan dapat mengakses rekod perubatan.

Pendidikan

Institusi pendidikan menggunakan OTP untuk mengawal akses ke portal pelajar, sistem pembelajaran dalam talian, UPU, dan pangkalan data akademik.

Cara Mengurangkan Risiko Kena Scam Melalui OTP

Untuk memaksimumkan faedah penggunaan OTP dan mengurangkan risiko penipuan, berikut adalah beberapa amalan terbaik yang perlu diikuti:

Lindungi Peranti Mudah Alih

Pastikan peranti mudah alih yang digunakan untuk menerima OTP dilindungi dengan kata laluan, kod PIN, atau kaedah keselamatan biometrik. Ini mengurangkan risiko akses tanpa kebenaran jika peranti hilang atau dicuri.

Berwaspada terhadap Phishing

Sentiasa berhati-hati dengan e-mel, mesej, atau panggilan telefon yang meminta OTP anda. Jangan berkongsi OTP dengan sesiapa dan hanya masukkan OTP di laman web atau aplikasi yang sah.

Gunakan Aplikasi Pengesahan

Selain OTP berasaskan SMS, ada juga OTP yang boleh dijana mengunakan aplikasi pengesahan khusus untuk menjana OTP, seperti Google Authenticator atau Microsoft Authenticator. Aplikasi ini menjana OTP secara tempatan pada peranti anda dan tidak bergantung pada penerimaan SMS atau e-mel.

Simpan Maklumat Pemulihan

Pastikan anda menyimpan maklumat pemulihan akaun yang terkini, seperti alamat e-mel alternatif atau nombor telefon. Ini akan membantu dalam pemulihan akaun jika anda kehilangan akses kepada peranti mudah alih utama.

Kerap Mengemaskini Aplikasi dan Perisian

Pastikan aplikasi pengesahan dan perisian pada peranti mudah alih anda sentiasa dikemas kini dengan versi terkini. Ini memastikan anda mempunyai tampalan keselamatan terkini dan perlindungan terhadap kelemahan yang diketahui.

Adakah OTP Itu Sejenis Kaedah Pengesahan Identiti?

Ya, OTP termasuk dalam salah satu kaedah authentication atau pengesahan identiti. Authentication adalah proses mengesahkan identiti pengguna atau sistem untuk memastikan mereka adalah siapa yang mereka dakwa.

OTP tergolong dalam kategori authentication berbilang faktor (multi-factor authentication atau MFA).

Authentication berbilang faktor melibatkan penggunaan dua atau lebih kaedah pengesahan untuk membuktikan identiti pengguna. Tiga kategori utama authentication adalah:

1. Something you know (sesuatu yang anda tahu): Ini merujuk kepada maklumat yang hanya diketahui oleh pengguna, seperti kata laluan, PIN, atau soalan keselamatan.
2. Something you have (sesuatu yang anda miliki): Ini melibatkan penggunaan objek fizikal atau peranti yang dimiliki oleh pengguna, seperti kad pintar, token keselamatan, atau telefon mudah alih yang menerima OTP.
3. Something you are (sesuatu yang anda ada): Ini merujuk kepada ciri-ciri biometrik unik pengguna, seperti cap jari, pengimbas retina, atau pengecaman wajah.

OTP termasuk dalam kategori “something you have” kerana ia memerlukan pengguna untuk memiliki akses kepada peranti atau saluran yang menerima OTP, seperti telefon mudah alih, aplikasi pengesahan, atau e-mel.

Apabila OTP digabungkan dengan kata laluan statik (something you know), ia mewujudkan authentication dua faktor (2FA), yang merupakan subset authentication berbilang faktor.

Dengan menggabungkan pelbagai kaedah authentication, seperti OTP dan kata laluan, keselamatan akaun dan sistem dapat dipertingkatkan dengan ketara.

Ini kerana penggodam perlu mengatasi berbilang lapisan pengesahan untuk mendapatkan akses tanpa kebenaran, menjadikannya lebih sukar dan memakan masa berbanding hanya bergantung pada satu faktor pengesahan.

Apa Beza SMS OTP dan SMS TAC?

SMS OTP (Short Message Service One-Time Password) dan SMS TAC (Short Message Service Transaction Authorization Code) adalah dua jenis kod keselamatan yang dihantar melalui pesanan teks SMS, tetapi mempunyai tujuan dan penggunaan yang berbeza.

Perbezaan utama antara SMS OTP dan SMS TAC adalah seperti berikut:

Tujuan

• SMS OTP digunakan sebagai faktor pengesahan kedua dalam proses pengesahan dua faktor (2FA) untuk mengakses akaun atau sistem.
• SMS TAC digunakan untuk mengesahkan dan membenarkan transaksi atau aktiviti tertentu, seperti transaksi perbankan dalam talian atau perubahan tetapan akaun yang sensitif.

Masa penggunaan

• SMS OTP biasanya digunakan semasa proses log masuk atau pengesahan identiti pengguna.
• SMS TAC digunakan apabila pengguna ingin melakukan transaksi atau tindakan tertentu yang memerlukan pengesahan tambahan.

Tempoh sah

• SMS OTP biasanya mempunyai tempoh sah yang singkat, lazimnya antara 5 hingga 15 minit, untuk mengurangkan risiko penyalahgunaan.
• SMS TAC juga mempunyai tempoh sah yang terhad, tetapi mungkin berbeza-beza bergantung pada jenis transaksi atau tindakan yang dilakukan.

Penggunaan sistem

• SMS OTP biasanya diminta oleh sistem atau perkhidmatan apabila pengguna cuba untuk log masuk atau mengesahkan identiti mereka.
• SMS TAC biasanya diminta oleh pengguna apabila mereka memulakan transaksi atau tindakan tertentu yang memerlukan pengesahan tambahan.

Walaupun SMS OTP dan SMS TAC kedua-duanya bertujuan untuk meningkatkan keselamatan dan mengurangkan risiko penipuan, SMS OTP lebih tertumpu pada pengesahan identiti pengguna semasa proses log masuk, manakala SMS TAC lebih tertumpu pada pengesahan transaksi atau tindakan tertentu yang dilakukan oleh pengguna yang telah disahkan.

Kedua-dua kaedah ini bergantung pada penyampaian kod keselamatan melalui rangkaian SMS, yang mungkin terdedah kepada risiko seperti “SIM swapping” atau “SS7 hacking”.

Oleh itu, walaupun SMS OTP dan SMS TAC meningkatkan keselamatan berbanding dengan hanya menggunakan kata laluan, mereka masih mempunyai beberapa kelemahan berbanding dengan kaedah pengesahan lain seperti aplikasi pengesah atau kunci keselamatan perkakasan.

Apa Beza OTP SMS dan ADA OTP Melalui Whatsapp?

Berikut adalah perbandingan antara OTP SMS dan ADA OTP yang dihantar melalui WhatsApp dalam:

Aspek	OTP SMS	ADA OTP melalui WhatsApp
Keselamatan	Mesej tidak dienkripsi, risiko pemintasan oleh pihak ketiga	Enkripsi hujung ke hujung, lebih sukar untuk dipintas
Keserasian	Boleh digunakan pada semua jenis telefon bimbit tanpa memerlukan internet	Memerlukan aplikasi WhatsApp dan sambungan internet
Kebolehpercayaan	Boleh menghadapi kelewatan dan masalah rangkaian	Biasanya lebih cepat dan boleh dipercayai jika terdapat sambungan internet yang baik
Kelebihan	– Tidak memerlukan sambungan internet – Serasi dengan semua telefon bimbit	– Lebih selamat dengan enkripsi – Penghantaran cepat jika internet stabil
Kelemahan	– Risiko pemintasan tinggi – Boleh menghadapi kelewatan	– Memerlukan aplikasi WhatsApp – Perlu sambungan internet yang stabil

Jadual ini memberikan gambaran ringkas tentang perbezaan utama antara kedua-dua kaedah penghantaran OTP, membantu pengguna memilih kaedah yang paling sesuai untuk keperluan mereka.