Cara Kerja Pengiriman OTP, Kode Unik yang (Hampir) Mustahil Sama

(Ilustrasi foto: freestocks / Unsplash)

Uzone.id -- Selama ini kita sebagai netizen saat menggunakan berbagai layanan digital, hanya mengikuti saja kode unik OTP (One-Time Password) yang dikirimkan via SMS untuk mengotorisasi kredensial. Pernah gak sih tiba-tiba memikirkan, kode berupa angka-angka itu datangnya dari mana dan bagaimana cara memastikan kalau kode tersebut benar-benar unik?

Biasanya, kode OTP terdiri dari 6 sampai 8 digit dan populernya dikirim melalui SMS atau email. Dari 6-8 digit tersebut, kok bisa ya kode OTP ini seakan tidak akan mungkin sama seperti OTP yang dikirimkan 1 menit kemudian ke nomor orang lain misalnya.

Dari penjelasan Alfons Tanujaya selaku pakar keamanan siber dari Vaksincom, OTP berasal dari server otentikasi yang sudah terhubung dengan tiap layanan digital yang kita pakai. Cara kerjanya pun apa adanya. Jika kita salah memasukan satu angka saja, maka server akan menolak permintaan akses atau persetujuan transaksi.

Baca juga: OTP via SMS, Paling Populer Sudah Pasti Paling Aman?

“Jika melihat dari sisi probabilitas, PIN dengan 6 digit itu kemungkinan tepatnya 1:1.000.000 kombinasi. Apalagi kalau 8 digit, kemungkinannya 1:100.000.000 kombinasi. Nah, kalau mas-mas pengirim OTP main tebak-tebakan angka saja, kok bisa menebaknya persis dan tidak pernah ditolak? Rahasianya adalah set kunci unik dan sinkronisasi waktu,” terang Alfons dalam keterangan resminya.

Jadi, pertama kali sebelum digunakan, perangkat OTP harus disinkronisasi dengan server OTP, caranya dengan memindai barcode atau memasukan nomor seri kalkulator token. Lalu, server OTP akan mencocokan waktu server dengan waktu perangkat.

Setelah itu, identitas perangkat juga akan disimpan oleh server sehingga tahu kunci set unik apa yang digunakan oleh perangkat. Setiap perangkat diketahui memiliki set kunci unik yang berbeda dan hampir mustahil untuk saling menggunakan set kunci OTP satu dengan lainnya.

Baca juga: Tips Cegah Peretasan dan Penipuan Kode OTP, Catat Ya!

Kemudian setelah mencocokan set kunci unik yang digunakan, maka saat server meminta kode OTP dari akun yang sudah terdaftar, seketika itu juga --dalam rentang waktu beberapa menit-- perangkat OTP akan menjawab memberikan kode OTP yang diminta.

“OTP itu sifatnya ‘kan akan hangus jika telah dipakai, atau sudah lewat batas waktunya. Jika melihat angka 6 digit dengan kira-kira 1 juta kombinasi, maka kemungkinan untuk sama sangat kecil, dan setahu saya tidak pernah terjadi,” ungkap Alfons kepada Uzone.id.

Jadi untuk urusan kode unik pada OTP pada dasarnya tidak ada yang harus diragukan, mengingat dari namanya saja sudah cukup jelas: One-Time Password, alias kata kunci sekali pakai. Bukan untuk dua kali pakai, atau seterusnya.

“Sebab lain OTP bisa kadaluarsa selain sudah dipakai satu kali adalah, karena sudah melewati rentang waktu berlakunya. Jadi, meskipun set kunci yang digunakan sudah benar dan cocok dengan server OTP, tapi waktu berlaku si kode sudah lewat, ya kode OTP tetap tidak bisa dipakai karena sudah kadaluarsa,” tutup Alfons.