Serba-Serbi Time-Based One Time Password (TOTP) dan Mengapa Anda Perlu Menggunakannya

Uwrite.id - Time-based One Time Password (TOTP) merupakan salah satu fitur keamanan dalam situs web dan aplikasi untuk mengamankan akun Anda dari peretasan. Cara kerja dari TOTP hampir sama dengan pengiriman OTP pada umumnya, namun TOTP memiliki beberapa kelebihan berikut yang membuat Google, Microsoft, Facebook, Instagram, TikTok, Twitter, dan bahkan Tokopedia sama-sama merekomendasikan Anda untuk mengaktifkannya.

1. TOTP dapat dimanfaatkan oleh siapapun dengan gratis. Jika dibandingkan dengan metode lain, pengiriman SMS, WhatsApp, bahkan panggilan telepon langsung akan memakan biaya operasional para website dan pengembang aplikasi. Biaya-biaya inilah yang membuat Twitter akhirnya memutuskan untuk membatasi opsi pengiriman OTP via SMS untuk akun-akun berbayar.
2. TOTP dapat dimanfaatkan tanpa koneksi HP dan internet. Ya, bahkan jika Anda masih mempunyai handphone jadul yang mendukung fitur Java, Anda dapat memasang aplikasi OTP-J2ME atau MOTP untuk dapat mengakses kode TOTP Anda tanpa khawatir diretas layaknya dalam aplikasi Android atau iOS.
3. Kode TOTP dapat berubah setiap 30 detik, sesuai rekomendasi dari Kementerian Komunikasi dan Informatika untuk mengganti OTP berkali-kali, padahal OTP sendiri memang hanya dibuat untuk digunakan sekali ????‍♂️.
4. Peretasan terhadap aplikasi TOTP akan semakin sulit karena jumlah aplikasi manajer TOTP sangat beragam. Jika suatu saat ada peretas yang berhasil mengambil data dari Google Authenticator, peretas tersebut belum tentu dapat meretas aplikasi Authy, FreeOTP, dan sebagainya dengan cara yang sama dengan Google Authenticator.

Cara Mengaktifkan Fitur TOTP

Sebelum Anda dapat menggunakan fitur ini, Anda harus memasang sebuah aplikasi pendamping untuk menyimpan Kode Kunci (atau Kode Rahasia / Secret Key) yang berperan penting dalam membuat kode-kode TOTP ini.

Beberapa aplikasi manajer TOTP yang populer di antaranya adalah Google Authenticator, Microsoft Authenticator, Authy, dan FreeOTP. Namun Anda juga dapat menggunakan aplikasi lainnya, seperti plugin Authenticator bagi Google Chrome, Microsoft Edge, dan Mozilla Firefox atau aplikasi Authenticator untuk perangkat Linux.

Setelah itu, Anda dapat melakukan langkah-langkah sederhana berikut ini:

1. Pastikan Anda tahu bahwa situs atau aplikasi tersebut mendukung fitur TOTP. Anda dapat mengeceknya dari laman berita atau Pusat Bantuan situs atau aplikasi tersebut, atau mencarinya di dalam situs pihak ketiga seperti https://2fa.directory/ (dukungan TOTP dicatat dalam kolom “Software”).
2. Buka ke laman Pengaturan, terutama Pengaturan Akun atau Pengaturan Keamanan di dalam situs atau aplikasi tersebut.
3. Buka ke laman Pengaturan TOTP, yang bisa saja terkandung dalam salah satu dari nama-nama menu di bawah ini
   • Autentikasi Faktor Kedua
   • Two-Factor Authentication (2FA)
   • Two-Step Verification (2SV)
   • Multiple-Factor Authentication
   • TOTP
   • Google Authenticator
4. Anda juga mungkin diminta untuk mencatat Kode-Kode Pemulihan (Recovery Codes) yang juga hanya dapat dipakai sekali, suatu saat jika Anda kehilangan akses terhadap perangkat atau aplikasi TOTP Anda.

Jika Anda masih belum yakin untuk mengaktifkan fitur ini, Anda dapat menggunakan situs-situs khusus untuk menguji ketepatan aplikasi TOTP Anda, salah satunya https://authenticationtest.com/totpChallenge/. Di sini, Anda dapat memindai kode QR atau memasukkan teks ("I65VU7…") di dalam aplikasi TOTP Anda, kemudian memasukkan alamat email dan password sebagaimana tertera dalam situs dan memasukkan kode TOTP yang berhasil dibuat oleh aplikasi Anda.

Kelemahan dari TOTP

Namun, memang, sistem TOTP setidaknya memiliki satu kelemahan utama, yakni tidak ada cara yang terstandar untuk memindah data akun dari satu aplikasi TOTP menuju lainnya. Hal ini pernah menjadi salah satu kelemahan utama bagi Google Authenticator karena para pengguna harus membuat Kode Kunci TOTP baru setiap kali mereka berpindah aplikasi atau berpindah perangkat. Karena itu, Anda sebaiknya langsung mendaftarkan semua perangkat Anda (yang terinstal aplikasi TOTP) atau mencatat manual Kode Kunci setiap kali Anda mengaktifkan fitur TOTP dalam akun Anda.

Meskipun demikian, tak sedikit orang berpendapat bahwa ketidaktersediaan fitur ini justru dapat menguatkan keamanan dari TOTP sendiri, yakni dengan menyulitkan para peretas untuk mendapatkan kode-kode kunci melalui fitur Export/Backup pada aplikasi tersebut.

Nah, sekian penjelasan singkat mengenai fitur TOTP ini. Bagaimana pendapat Anda?