“Apa itu Kata Sandi Sekali Pakai (OTP) dan Bagaimana Cara Kerjanya?”

Memverifikasi identitas pelanggan bukanlah hal yang mudah. Bisnis memerlukan cara yang aman untuk memastikan identitas pengguna, agar terhindar dari akses yang tidak sah pada akun atau sistem mereka. Di saat yang sama, mereka juga harus meminimalkan kendala dalam proses autentikasi agar pengguna tidak merasa repot dan berhenti menggunakan layanan atau batal melakukan transaksi. Metode autentikasi konvensional dapat membatasi dan memengaruhi keseimbangan ini. Sebagai gantinya, OTP (singkatan dari one-time password atau kata sandi sekali pakai) menawarkan cara yang mudah dan aman untuk memverifikasi pengguna melalui saluran yang praktis dan mudah dilihat.

Dalam artikel ini, Anda akan mempelajari apa itu OTP, cara kerjanya, manfaatnya bagi bisnis, serta contoh penggunaannya di WhatsApp Business Platform. Mari awali dengan definisi OTP.

Kata sandi sekali pakai (OTP) adalah kode unik dan sementara yang digunakan untuk memastikan identitas pengguna, biasanya saat mereka masuk ke akun atau melakukan transaksi. OTP biasanya berupa kode 4 atau 6 digit (misalnya 9237 atau A87K90) yang selalu berubah setiap kali dibuat.

Salah satu contoh umum OTP adalah saat pengguna memilih untuk menerima kode verifikasi WhatsApp dari sebuah bisnis, seperti bank atau toko online. Saat pengguna mencoba masuk, perusahaan bisa memverifikasi identitas mereka dengan mengirimkan kode keamanan unik langsung lewat WhatsApp. Pengguna harus memasukkan kode tersebut untuk menyelesaikan proses login atau autentikasi.

Pendekatan ini menggunakan pesan autentikasi di WhatsApp, di mana pesan terenkripsi selama pengiriman, untuk menciptakan lapisan keamanan ekstra. Lapisan keamanan ini membantu mencegah risiko yang sering terjadi pada kombinasi nama pengguna dan kata sandi konvensional — sambil tetap menggunakan saluran yang sudah dikenal dan disukai pelanggan, yaitu WhatsApp.

OTP bekerja dengan mengirimkan kode angka atau huruf yang dibuat secara otomatis melalui saluran tepercaya seperti WhatsApp, SMS, dan email. Jenis autentikasi ini sangat penting untuk memastikan identitas pengguna, terutama saat mereka mengatur ulang kata sandi atau memulihkan akun.

Proses kata sandi sekali pakai mengikuti cara standar yang dirancang untuk menjaga keamanan sekaligus tetap mudah digunakan oleh pengguna. Metode ini memastikan hanya pengguna yang berwenang yang bisa mengakses akun atau menyelesaikan transaksi penting:

1. Pengguna memulai tindakan: Misalnya, saat pengguna mencoba membuat akun baru, memulihkan akun, atau melakukan pembelian. Tindakan tersebut akan memicu proses verifikasi OTP.
2. Sistem membuat OTP: Sebuah kata sandi unik yang hanya berlaku satu kali akan dibuat menggunakan algoritma enkripsi, seperti TOTP (berbasis waktu) atau HOTP (berbasis hash). Penjelasan selengkapnya akan dibahas di bagian berikut ini.
3. Sistem mengirimkan OTP ke pengguna: Kata sandi sekali pakai dikirimkan melalui pesan, SMS, email, notifikasi push, panggilan, dan lainnya.
4. Pengguna menerima OTP: Pengguna menerima kode verifikasi dan memasukkannya ke dalam antarmuka yang diminta untuk memverifikasi identitasnya.
5. Sistem memverifikasi pengguna: Jika OTP yang dimasukkan benar, pengguna diizinkan menyelesaikan tindakan yang diinginkan.
6. Sistem menolak akses: Jika OTP yang dimasukkan salah, pengguna tidak diberi akses. Hal ini dapat mencegah pihak yang tidak berwenang melakukan tindakan penting.

OTP biasanya dibuat hanya dalam beberapa detik, sehingga prosesnya cepat dan lancar bagi pengguna. Karena kode dikirim hampir secara langsung, proses ini terasa cepat dan tidak menyulitkan pengguna. Setelah kata sandi berhasil digunakan, kode tersebut langsung tidak berlaku dan tidak bisa dipakai lagi.

Catatan: Jika Anda menggunakan kata sandi dan kode OTP secara bersamaan, maka proses ini disebut autentikasi dua faktor (2FA).

Sekarang, mari kita kenali dua jenis OTP yang utama: autentikasi TOTP dan autentikasi HOTP. Karena keduanya dipakai dalam sistem 2FA dan MFA (autentikasi multi faktor), kedua jenis OTP ini seringkali tertukar. Mari kita bahas pengertiannya lebih lanjut.

OTP menggunakan HMAC (singkatan dari: Hash-based Message Authentication Code atau Kode Autentikasi Pesan Berbasis Hash), yaitu algoritma utama yang menggabungkan kunci rahasia dan fungsi matematika (fungsi hash) untuk memastikan bahwa setiap pesan bersifat unik dan asli. Fungsinya seperti sidik jari digital yang membuktikan bahwa pesan tidak diubah dan benar-benar berasal dari sumber tepercaya. Meski begitu:

• HOTP atau kata sandi sekali pakai berbasis HMAC, menghasilkan kata sandi unik yang hanya bisa digunakan sekali. Kata sandi ini dibuat menggunakan kunci rahasia bersama dan counter (penghitung angka). Counter ini mencatat setiap kode OTP yang dibuat, lalu menghasilkan kode baru setiap kali ada permintaan.
• TOTP adalah kode OTP berbasis waktu yang juga memakai algoritma HMAC, namun menggantikan penghitung berdasarkan kejadian (event counter) dengan penghitung otomatis berbasis waktu (time-based counter). Artinya, pengguna harus memasukkan kode yang diterima dalam batas waktu tertentu, atau kode tersebut otomatis tidak bisa digunakan. Karena menggunakan penghitung waktu, autentikasi TOTP dianggap lebih aman karena membatasi waktu yang dimiliki peretas untuk menyalahgunakan kode.

Dibandingkan kata sandi biasa, kode OTP memberikan nilai tambah yang nyata bagi bisnis, terutama lewat peningkatan keamanan dan pengalaman pengguna, seperti:

• Keamanan lebih baik: Karena hanya bisa digunakan satu kali, kode OTP ini lebih aman dibandingkan kata sandi statis. Sebaliknya, kata sandi statis bisa digunakan berulang kali hingga diganti.
• Meningkatkan kepercayaan pelanggan: Keamanan tambahan dari kode OTP membuat pelanggan merasa lebih tenang karena akun mereka terlindungi, terutama saat melakukan transaksi penting seperti pembayaran atau perubahan data pada akun.
• Pengalaman pengguna yang lebih praktis: OTP menawarkan proses login yang mudah, aman, dan nyaman. Karena dikirim melalui saluran yang umum digunakan seperti WhatsApp, proses autentikasi terasa lebih mudah dan sudah akrab bagi sebagian besar pengguna.
• Kepatuhan: OTP membantu bisnis memenuhi persyaratan keamanan sambil tetap menjaga efisiensi operasionalnya.

Selama ini, saat pengguna mengakses akun, membuat akun baru, mengatur ulang kata sandi, atau menjalankan autentikasi dua faktor di platform Meta, pesan autentikasi biasanya dikirim lewat SMS untuk memverifikasi identitas mereka. Namun, SMS bisa saja lambat diterima dan tidak memiliki indikator pengiriman yang jelas, serta memiliki beberapa kekurangan lainnya.

Dengan mengirim pesan verifikasi lewat WhatsApp, Meta berhasil meningkatkan keamanan sekaligus memberikan pengalaman pengguna yang lebih baik. Pesan autentikasi OTP di WhatsApp menawarkan fitur interaktif yang mudah digunakan untuk memverifikasi pengguna dengan cepat, sehingga kemungkinan besar mereka menyelesaikan proses autentikasi.

Hasilnya:

• Tingkat keberhasilan pemulihan akun di Instagram meningkat sebesar 20%.*
• Tingkat keberhasilan pemulihan akun di Facebook meningkat sebesar 11%.*
• Tingkat pembuatan akun baru di Instagram meningkat sebesar 9%.**

Metode yang tepat untuk mengirim OTP ke nomor ponsel atau saluran komunikasi lain harus mempertimbangkan pengalaman pengguna, kecepatan pengiriman, keandalan, keamanan, dan kepatuhan terhadap aturan. Berikut beberapa praktik terbaik tambahan yang sebaiknya diterapkan saat proses implementasi.

Penting untuk menggunakan pendekatan yang menyeluruh dengan aplikasi atau platform yang mampu menghasilkan kode dengan cepat dan mengirimkannya secara aman. Dari sisi teknis, ini berarti mencakup hal-hal berikut:

• Menggunakan pembuat kode acak yang aman, dengan batas waktu kedaluwarsa yang sesuai, biasanya beberapa menit untuk transaksi biasa, dan lebih singkat untuk operasi yang memerlukan keamanan tinggi.
• Membatasi jumlah percobaan memasukkan kode OTP dalam jangka waktu tertentu. Cara ini membantu mencegah serangan brute force, di mana peretas mencoba berbagai kombinasi kode secara berulang-ulang dalam waktu singkat.

Dengan memberi pengguna pilihan metode verifikasi, Anda bisa mengirim OTP ke nomor ponsel atau saluran komunikasi di mana pengguna kemungkinan besar akan menerimanya. Misalnya, autentikasi melalui WhatsApp sangat efektif di pasar-pasar dengan tingkat penggunaan WhatsApp yang tinggi, karena menawarkan pengalaman yang sudah akrab bagi pengguna.

Jika menggunakan sistem operasi Android, Anda bisa memeriksa apakah aplikasi WhatsApp sudah terpasang di perangkat. Jika sudah, Anda bisa menyarankan pengguna untuk menerima kode OTP melalui WhatsApp.

Catatan: Dengan Zero Tap, pengguna tidak perlu lagi mengetuk apa pun atau keluar dari aplikasi untuk menerima OTP. Fitur ini tersedia di Android dan segera hadir di iOS.

Agar proses autentikasi lebih terkelola dengan baik, penting untuk melakukan hal-hal berikut:

1. Pantau metrik kinerja utama seperti tingkat pengiriman, waktu respons, dan tingkat keberhasilan pengguna dalam menyelesaikan proses.
2. Tinjau performa secara rutin untuk meningkatkan pengalaman pengguna dan mendeteksi masalah sejak dini.
3. Tangani ancaman keamanan baru yang muncul dan pastikan pencatatan log audit dilakukan dengan benar demi memenuhi standar kepatuhan.

Untuk memastikan kepatuhan, WhatsApp mewajibkan bisnis mendapatkan persetujuan dari pengguna sebelum mengirimkan pesan autentikasi.

WhatsApp Business Platform menyediakan kemampuan pengiriman pesan yang andal bagi bisnis melalui serangkaian API yang memungkinkan pengiriman pesan otomatis dalam jumlah besar. Untuk menyederhanakan proses autentikasi, WhatsApp Business Platform berfungsi sebagai autentikator TOTP yang membantu bisnis memverifikasi identitas pengguna dan mengamankan transaksi, dengan template pesan OTP yang dapat disesuaikan.

Banyak solusi pihak ketiga yang dapat membantu mengintegrasikan OTP WhatsApp ke situs web, termasuk Meta Business Messaging Partners. Solusi ini menangani kerumitan teknis integrasi dengan situs web, sekaligus menawarkan fitur tambahan seperti analitik dan dukungan multi-saluran.

Jika diterapkan dengan benar, sistem OTP seperti yang digunakan di WhatsApp dapat meningkatkan keamanan, membangun kepercayaan, menyederhanakan proses, dan bahkan membuka peluang pendapatan baru karena memberikan solusi yang membedakan bisnis Anda dari para pesaing. WhatsApp sudah digunakan secara luas dalam ekosistem yang mapan, sehingga menjadi pilihan yang andal bagi bisnis.

Siap untuk memulainya? Pelajari selengkapnyatentang fitur WhatsApp Business Platform yang dapat membantu mendukung pertumbuhan bisnis Anda.

Apa kepanjangan dari OTP?

OTP adalah singkatan dari one-time password atau one-time passcode. Metode ini digunakan sebagai bentuk autentikasi antara bisnis dan pengguna untuk memperkuat perlindungan keamanan.

Apa itu autentikasi OTP?

Autentikasi OTP menggunakan kata sandi atau kode unik dan sementara yang digunakan untuk memastikan identitas pengguna, biasanya saat proses login atau melakukan transaksi. Kode autentikasi biasanya berupa kode 4 atau 6 digit (misalnya 9237 atau A87K90) yang selalu berubah setiap kali dibuat.

Apakah OTP dan 2FA adalah metode yang sama?

Tidak, OTP (kata sandi sekali pakai) dan 2FA (autentikasi dua faktor) bukanlah hal yang sepenuhnya sama. Meskipun keduanya digunakan untuk tujuan autentikasi, OTP adalah kode atau kata sandi sekali pakai yang dikirim ke perangkat pengguna untuk satu kali penggunaan. Sementara itu, 2FA melibatkan dua bentuk verifikasi yang berbeda, misalnya kombinasi antara kata sandi dan OTP atau pemindaian biometrik.