Di Malaysia, peningkatan kecurian kata laluan sekali sahaja (OTP) telah menjadi satu kebimbangan. Untuk memerangi ancaman yang semakin meningkat ini, bank pusat Malaysia, Bank Negara Malaysia (BNM) menggesa institusi kewangan untuk menghentikan penggunaan SMS OTP dan beralih kepada kaedah pengesahan yang lebih selamat. Anjakan paradigma ini bertujuan untuk meningkatkan keselamatan urus niaga perbankan atas talian dan melindungi pelanggan daripada sebarang penipuan.

Masalah Berkaitan SMS OTP

SMS OTP telah digunakan secara meluas untuk pelbagai aktiviti dan transaksi dalam talian termasuklah:

• Pembukaan akaun.
• Pemindahan dan pembayaran dana.
• Membuat perubahan terhadap maklumat peribadi dan tetapan akaun.

Walaubagaimanapun, keselamatan SMS OTP telah dikompromi oleh scammer yang menguasai atau merampas kod kebenaran transaksi (TAC) yang dihantar melalui SMS. Pakar keselamatan siber memberi amaran bahawa terdapat perisian atau peralatan baharu yang dapat membaca OTP dan juga memadamkan pemberitahuan SMS yang dihantar oleh bank, menyebabkan mangsa tidak menyedari sekiranya terdapat transaksi yang tidak dibenarkan. Pada tahun 2018 sahaja, penipuan SMS OTP telah menjejaskan hampir RM15 juta wang rakyat Malaysia.

Anjakan kepada Pengesahan yang Lebih Selamat

BNM mewajibkan institusi kewangan menghentikan penggunaan OTP SMS secara berperingkat dan beralih kepada kaedah pengesahan yang lebih selamat. Langkah ini bertujuan untuk mencegah scammer daripada memanfaatkan kelemahan dalam sistem SMS OTP. Mengikuti jejak langkah Malaysia, Penguasa Kewangan Singapura (MAS) juga telah meminta bank di negara Raja Rimba tersebut untuk membuat langkah peralihan daripada SMS OTP bagi tujuan meningkatkan keselamatan.

Alternatif kepada SMS OTP

Terdapat beberapa alternatif kepada SMS OTP yang menawarkan keselamatan yang dipertingkatkan untuk mengesahkan sebarang transaksi:

• Pengesahan Biometrik:

Pengimbasan Cap Jari: Menggunakan corak cap jari yang unik untuk pengecaman.

Pengecaman Muka: Menganalisis ciri muka untuk mengesahkan identiti.

Pengimbasan Iris/Retina: Menggunakan corak mata yang unik.

• Pengesahan Dua Faktor (2FA):

Menggabungkan sesuatu yang anda tahu (seperti kata laluan) dengan sesuatu yang anda miliki (seperti token perkakasan atau aplikasi mudah alih yang menjana kod dengan jangka masa).

• Pengesahan Berbilang Faktor (MFA):

Memerlukan pengesahan berbilang bentuk, seperti data biometrik, kata laluan dan pengesahan berasaskan peranti.

• Token Keselamatan:

Token Perkakasan: Peranti fizikal yang akan menjana kod.

Token Perisian: Aplikasi seperti Google Authenticator atau Authy yang menjana kod dengan jangka masa.

• Pemberitahuan Pacuan:

Menghantar pemberitahuan pacuan ke peranti berdaftar untuk kelulusan atau penolakan sesuatu transaksi.

• Biometrik Tingkah Laku:

Menganalisis corak tingkah laku pengguna, seperti irama menaip, pergerakan tetikus atau cara telefon pintar dipegang.

• Pengecaman Suara:

Menggunakan ciri unik suara individu untuk pengesahan.

• Pengesahan Tanpa Kata Laluan:

Kaedah seperti WebAuthn atau Magic Links yang membenarkan pengguna untuk mengesahkan transaksi tanpa memasukkan kata laluan dan kebiasaannya menggunakan peranti atau e-mel yang dipercayai.

Kelebihan dan Kelemahan Alternatif yang Dinyatakan di Atas

Setiap kaedah alternatif yang dinyatakan di atas mempunyai kelebihan dan kelemahan tersendiri:

• Pengesahan Biometrik: 

Sangat selamat tetapi mungkin memerlukan perkakasan khusus atau memerlukan peranti yang digunakan pengguna untuk mempunyai fungsi pengesahan biometrik. Ianya boleh menjadi kurang berkesan dalam keadaan cahaya malap atau dengan data biometrik yang kotor/rosak.

• Pengesahan Dua Faktor dan Berbilang Faktor: 

Menyediakan lapisan keselamatan tambahan tetapi boleh menyusahkan pengguna untuk mengurus pelbagai bentuk pengesahan.

• Token Keselamatan: 

Sangat selamat tetapi token perkakasan boleh hilang atau rosak, dan token perisian bergantung pada keselamatan peranti yang digunakan pengguna.

• Pemberitahuan Pacuan: 

Mudah dan selamat tetapi bergantung kepada ketersediaan dan keselamatan peranti pengguna.

• Biometrik Tingkah Laku: 

Menyediakan pengesahan berterusan tetapi memerlukan alat analisis yang canggih.

• Pengecaman Suara: 

Selamat dan mesra pengguna tetapi boleh dipengaruhi oleh bunyi latar belakang atau perubahan dalam suara pengguna.

• Pengesahan Tanpa Kata Laluan: 

Meningkatkan keselamatan dan pengalaman pengguna tetapi memerlukan pelaksanaan yang mantap bagi memastikan keselamatan terus dimandiri.

Apabila institusi kewangan di Malaysia beralih daripada SMS OTP, penggunaan kaedah pengesahan yang lebih selamat akan meningkatkan keselamatan perbankan dalam talian dengan ketara. Perubahan ini akan melindungi pelanggan daripada penipuan, akses tanpa kebenaran dan kerugian kewangan. Setiap alternatif mempunyai faedah dan cabaran tersendiri, tetapi bersama-sama ia mewakili satu langkah penting ke hadapan dalam melindungi aset kewangan dalam era digital. Kekal termaklum dan berwaspada, serta terokai kaedah pengesahan baharu yang disediakan oleh bank anda bagi memastikan keselamatan kewangan anda kekal terjamin.