Jika Anda pernah berbelanja di Shopee atau mengakses aplikasi PeduliLindungi, pasti Anda pernah disuruh memasukkan kode 6 digit berupa kombinasi angka.
Kode ini akan dikirimkan entah lewat SMS, WhatsApp, email, atau telepon.
Jika Anda pernah melakukannya, Anda telah menjumpai apa yang dikenal sebagai kode OTP.
Kode OTP sifatnya sama seperti password, tetapi ia adalah bagian dari otentikasi dua langkah/faktor (2FA) dan berlakunya sementara saja.
Biasanya, kisarannya antara 30 detik sampai 5 menit.
Kalau masa berlakunya sudah habis, Anda harus mengajukan permohonan OTP ulang tentunya.
Ketika Anda menerima kode OTP, Anda juga pasti sering menjumpai himbauan untuk tidak membagikan kode ini pada siapapun.
Saya yakin, Anda pasti tahu kalau alasannya ya soal keamanan digital.
Tapi, keamanan yang seperti apa? Kenapa pakai OTP? Kenapa tidak password atau PIN saja?
Mari kita bahas.
Kode OTP vs PIN / Password
Meskipun secara teknis kode OTP juga bagian dari verifikasi password, namun keduanya memiliki perbedaan yang cukup signifikan.
Secara garis besar, perbedaan OTP vs PIN/Password tertera pada tabel yang saya sadur dari artikel SPE Solution ini.
Karena kode OTP ini harus dikirimkan dulu ketimbang seperti password dan PIN yang sifatnya langsung input, banyak orang yang merasa kode OTP ini merepotkan saja.
Padahal, kalau dipikir-pikir, dia sama saja dengan password.
Tujuannya ya untuk keamanan.
Tapi, tentu ada alasan kenapa kode OTP marak digunakan untuk berbagai transaksi digital dan bukannya password.
Singkatnya, bisa dibilang kode OTP lebih aman dari password.
"Kenapa begitu?"
Hal ini karena sifatnya yang sementara dan satu kali pakai saja. Sangat berbeda dengan password yang bisa dipakai sampai kapan pun.
Kegunaannya ialah untuk mencegah penyalahgunaan akun ketika akun kita telah dibobol.
Maka dari itu, sering kita temui kode OTP banyak digunakan untuk transaksi keuangan digital dan akses data sensitif pribadi.
Pasalnya, kalau keamanannya hanya melalui password, sekali dibobol sama si pembobol ini mampu melakukan apapun dengan akun kita.
Namun, adanya OTP meminimalisir kemungkinan kejadian itu.
Karena, jika si pembobol ingin bertransaksi digital, ia akan diharuskan untuk memasukkan kode OTP yang dikirimkan ke nomor di perangkat yang kita gunakan.
Sekalinya ia punya akses ke akunnya, ia tidak akan bisa berbuat banyak.
Kenapa OTP Harus Dirahasiakan
Menyambung konsep keamanan OTP yang saya jelaskan sebelumnya, hal ini pula yang menjadi alasan kenapa OTP harus dirahasikan.
Pasalnya kode OTP terbilang cukup sederhana.
Hanya terdiri dari kombinasi angka saja.
Bukan sesuatu yang kompleks seperti kombinasi abjad kapital, kecil, angka, dan juga simbol macam password jaman sekarang.
Artinya, jika ada orang yang mengetahui kode OTP Anda, orang tersebut bisa saja membobol akun Anda dan mendapatkan kewenangan bertransaksi dengan memasukkan kode OTP yang masih berlaku.
Hal ini akan menggagalkan konsep dan tujuan diberlakukannya kode OTP itu sendiri untuk melindungi Anda.
Maka dari itu, sama seperti password, kode OTP sebaiknya tidak dibagikan ke orang lain.
Bukan sebaiknya. Seharusnya dan sewajarnya.
Pembuatan dan Cara Memperoleh Kode OTP
Berbeda dengan PIN, kode OTP sendiri tidak dibuat oleh pemilik akun.
Melainkan, kode OTP dibuat oleh sang service provider (penyedia layanan).
Nantinya, kode OTP yang dirangkai secara otomatis dan acak ini akan dikirimkan ke si pemilik akun (yang akan melakukan transaksi).
Kanalnya bisa lewat SMS, WhatsApp, email, atau telepon.
Sejauh ini, yang paling aman ialah melalui telepon dan WhatsApp.
Yang paling praktis melalui SMS dan WhatsApp.
Meninjau dari 2 parameter penilaian kanal pengiriman kode OTP ini, WhatsApp masih merupakan opsi yang paling aman.
Namun, pengiriman kode OTP lewat WhatsApp ini tidak sembarangan.
Akun yang mengirim haruslah yang terverifikasi langsung oleh Facebook dan menggunakan WhatsApp Business API.
Istilahnya akun bisnis centang hijau.
Nah, untuk dapat diverifikasi oleh Facebook ini pun prosesnya beda dengan verifikasi Instagram (yang penting banyak followers).
Untuk dapat verifikasi Facebook, bisnis harus menggunakan jasa dari Facebook Business Service Provider.
Di Indonesia sendiri sudah ada provider yang resmi bekerja sama dengan Facebook.
