Memverifikasi pelanggan bisa jadi rumit. Bisnis memerlukan cara yang aman untuk memverifikasi identitas pengguna guna mencegah akses tidak sah ke akun atau sistem mereka. Pada saat yang sama, mereka harus meminimalkan hambatan autentikasi yang bisa mengakibatkan pengguna meninggalkan proses atau menurunnya tingkat konversi. Metode autentikasi konvensional bisa membatasi dan memengaruhi keseimbangan penting ini. Sebaliknya, OTP (singkatan dari one-time password atau kata sandi sekali pakai) menawarkan cara mudah dan aman untuk mengautentikasi pengguna dengan saluran yang praktis dan mudah dilihat.
Dalam artikel ini, Anda akan mempelajari tentang OTP, cara kerjanya, manfaat bisnis, dan contoh OTP dari Platform WhatsApp Business. Mari kita mulai dengan mendefinisikan OTP.
Apa itu kata sandi sekali pakai (OTP)?
Kata sandi sekali pakai (OTP) adalah kode unik dan sementara yang digunakan untuk memverifikasi identitas pengguna, biasanya saat login ke akun atau melakukan transaksi. Kata sandi ini bisa berupa kode empat atau enam digit (misalnya, 9237 atau A87K90) yang berubah setiap kali kode dibuat.
Contoh kata sandi sekali pakai yang umum adalah ketika pengguna memilih untuk menerima kode verifikasi WhatsApp dari bisnis, seperti bank atau peritel online. Saat mencoba login, perusahaan bisa memverifikasi identitas pengguna dan mengirimkan kode keamanan unik yang dikirim langsung via WhatsApp. Mereka harus memasukkan kode tersebut untuk menyelesaikan proses login atau autentikasi.
Pendekatan ini memanfaatkan pesan autentikasi di WhatsApp yang mengenkripsi pesan saat dikirim untuk menciptakan lapisan keamanan tambahan. Lapisan ini membantu menghindari kerentanan keamanan dari kombinasi nama pengguna-kata sandi tradisional, semuanya dengan menggunakan saluran yang sudah dikenal dan disukai pelanggan: WhatsApp.
Cara kerja kata sandi sekali pakai
OTP bekerja dengan mengirimkan angka atau kode alfanumerik yang dihasilkan melalui saluran tepercaya seperti WhatsApp, SMS, dan email. Jenis autentikasi ini penting untuk memvalidasi identitas pelanggan pada saat-saat seperti reset kata sandi atau pemulihan akun.
Proses Verifikasi OTP
Proses kata sandi sekali pakai mengikuti pendekatan terstandardisasi yang menyeimbangkan keamanan dengan pengalaman pengguna. Metode ini memastikan bahwa hanya pengguna yang sah yang bisa mengakses akun atau menyelesaikan transaksi sensitif:
- Pengguna memulai tindakan: Pengguna mencoba membuat akun baru, memulihkan akun, atau melakukan pembelian. Tindakan ini memulai pemeriksaan OTP.
- Sistem membuat kata sandi sekali pakai: Kata sandi unik sekali pakai dibuat menggunakan algoritme enkripsi seperti TOTP (berbasis waktu) atau HOTP (berbasis hash). Selengkapnya di bagian berikutnya.
- Sistem mengirim kata sandi sekali pakai ke pengguna: Kata sandi sekali pakai dikirim ke pengguna melalui perpesanan, SMS, email, notifikasi otomatis, panggilan, dan lainnya.
- Pengguna menerima OTP: Pengguna menerima kode verifikasi dan memasukkannya di antarmuka permintaan untuk memverifikasi identitas.
- Sistem memverifikasi pengguna: Jika benar, pengguna diberi akses untuk menyelesaikan tindakan yang diinginkan.
- Sistem mencegah akses: Jika salah, pengguna ditolak aksesnya, yang berpotensi mencegah pelaku kejahatan melakukan tindakan kritis.
Pembuatan OTP biasanya terjadi dalam hitungan detik sehingga prosesnya menjadi cepat dan lancar bagi pengguna. Karena kode dibagikan hampir secara real-time, pengalaman pengguna menjadi lebih lancar. Setelah kata sandi berhasil digunakan, kata sandi tersebut menjadi tidak valid dan tidak dapat digunakan kembali.
Catatan: Saat menggunakan kata sandi dan kata sandi sekali pakai, ini adalah bentuk autentikasi dua faktor (2FA).
Jenis utama OTP
Sekarang, mari kita lihat dua jenis OTP utama: autentikasi TOTP dan autentikasi HOTP. Karena keduanya digunakan dalam sistem 2FA dan MFA (autentikasi multifaktor), keduanya mudah dibingungkan. Mari kita pahami sedikit lebih jauh.
OTP dihubungkan oleh HMAC (bentuk lengkap: Hash-based Message Authentication Code), algoritme inti yang menggabungkan kunci rahasia dan fungsi matematika (fungsi hash) untuk memastikan pesan unik dan autentik. Hashing bertindak sebagai sidik jari digital yang membuktikan bahwa pesan belum diubah dan berasal dari sumber tepercaya. Namun:
- HOTP atau kata sandi sekali pakai berbasis HMAC membuat kata sandi unik yang hanya untuk sekali pakai dengan pengatur dan kunci rahasia bersama. Penghitung ini melacak setiap kata sandi sekali pakai yang dibuat dan menghitung kode baru setiap kali diminta.
- TOTP atau kata sandi sekali pakai berbasis waktu juga menggunakan algoritme HMAC, tetapi mengotomatiskan penghitung peristiwa dengan penghitung berbasis waktu. Artinya, pengguna harus memasukkan kode yang diterima dalam jangka waktu tertentu atau kode tersebut akan otomatis tidak bisa digunakan. Dengan penghitung waktunya, autentikasi TOTP umumnya dianggap lebih aman karena membatasi waktu yang bisa dimanfaatkan peretas untuk mengeksploitasi kode.
Manfaat bisnis dari penggunaan OTP vs kata sandi statis
Dibandingkan kata sandi statis, kode OTP memberikan nilai bisnis yang terukur melalui peningkatan keamanan dan pengalaman pengguna, seperti:
- Keamanan yang ditingkatkan: Karena hanya bisa digunakan sekali, kata sandi ini bisa jadi lebih aman daripada kata sandi statis. Sebaliknya, kata sandi statis dapat digunakan berulang kali sampai diubah.
- Peningkatan kepercayaan pelanggan: Keamanan tambahan berupa kata sandi sekali pakai membantu meyakinkan pelanggan bahwa akun mereka terlindungi, terutama selama transaksi berisiko tinggi seperti pembayaran atau perubahan akun.
- Pengalaman pengguna yang mudah: OTP menawarkan proses login yang sederhana, aman, dan mudah. Ketika disampaikan melalui saluran yang banyak digunakan seperti WhatsApp, proses autentikasi menjadi familier dan mudah bagi sebagian besar pelanggan.
- Kepatuhan: OTP membantu bisnis memenuhi persyaratan kepatuhan keamanan sambil mempertahankan efisiensi operasional.
Cara Meta meraih peningkatan jumlah pesan tersampaikan dan rasio konversi dengan pesan autentikasi OTP di WhatsApp
Secara historis di teknologi Meta, saat orang-orang membutuhkan akses ke akunnya, membuat akun baru, memulihkan kata sandi, atau melakukan autentikasi dua faktor, pesan autentikasi dikirim ke saluran seperti SMS untuk memverifikasi identitas. Namun, jika hanya mengandalkan SMS, proses pengiriman pesan bisa jadi lambat dan tidak ada indikator yang jelas sudah terkirim, selain kelemahan lain yang dimilikinya.
Dengan mengirimkan pesan verifikasi ini melalui WhatsApp, Meta meraih peningkatan keamanan dan pengalaman pengguna yang lebih baik. Pesan autentikasi OTP di WhatsApp menawarkan fitur yang interaktif dan mudah digunakan yang memverifikasi pengguna dengan cepat, sehingga pengguna lebih mudah menyelesaikan langkah autentikasi.
Hasil:
- 20% peningkatan keberhasilan pemulihan akun di Instagram*
- 11% peningkatan keberhasilan pemulihan akun di Facebook*
- 9% peningkatan pembuatan akun baru di Instagram**
“Kami menemukan bahwa memakai WhatsApp untuk autentikasi OTP menawarkan beberapa keunggulan, termasuk pengalaman pengguna yang meningkat, penyampaian pesan yang andal dan aman, cakupan meluas, dan penargetan meningkat. Dengan mengoptimalkan fitur-fitur ini, kami meningkatkan jumlah pesan yang tersampaikan dan konversi, yang pada akhirnya membawa lebih banyak orang kembali ke teknologi kami.”
Francisco Varela
VP, Growth Business Team, Meta
Praktik terbaik dalam mengimplementasikan OTP untuk bisnis Anda
Metode yang tepat untuk mengirim OTP ke nomor ponsel atau metode komunikasi tambahan mempertimbangkan faktor pengalaman pengguna, kecepatan, keandalan, keamanan, dan kepatuhan. Berikut ini beberapa praktik terbaik tambahan yang perlu diikuti selama penerapan.
1. Selalu ingat masalah keamanan
Penting sekali untuk menggunakan pendekatan multifaset dengan aplikasi atau platform yang menyertakan pembuatan kode cepat dan penyampaian aman. Dari sudut pandang teknis, hal ini melibatkan:
- Menggunakan generator acak yang aman, yang menetapkan waktu kedaluwarsa kode yang sesuai, biasanya dalam hitungan menit untuk transaksi standar dan periode yang lebih singkat untuk operasi berkeamanan tinggi.
- Membatasi jumlah upaya kode OTP yang diizinkan dalam jangka waktu tertentu, yang membantu mencegah serangan brute force di mana peretas mencoba berbagai kombinasi sekaligus.
2. Sediakan pilihan saluran untuk autentikasi kepada pengguna
Dengan memberi opsi verifikasi kepada pengguna, Anda bisa mengirim OTP ke nomor ponsel atau saluran komunikasi yang paling berpotensi digunakan pengguna untuk menerima OTP. Misalnya, autentikasi WhatsApp berkinerja sangat baik di pasar tempat WhatsApp memiliki tingkat penggunaan yang tinggi, sehingga memberikan pengalaman pengguna yang familiar.
Jika menggunakan Android OS, Anda bisa memeriksa apakah WhatsApp sudah terinstal. Jika sudah terinstal, Anda bisa menyarankan pengguna untuk menerima kode OTP melalui WhatsApp.
Catatan: Cegah pengguna mengetuk atau keluar dari aplikasi Anda untuk mendapatkan OTP dengan Zero Tap, yang tersedia untuk Android dan segera hadir untuk iOS.
3. Memantau kinerja Anda dengan lebih efektif
Untuk mengelola pendekatan terhadap autentikasi dengan lebih baik, Anda perlu:
- Pantau metrik kinerja utama seperti tingkat pengiriman, waktu tanggapan, dan tingkat penyelesaian pengguna.
- Tinjau kinerja secara rutin untuk mengoptimalkan pengalaman pengguna atau mengidentifikasi masalah lebih awal.
- Mengatasi ancaman keamanan yang muncul dan memelihara pencatatan audit yang tepat untuk kepatuhan.
Untuk membantu memastikan kepatuhan, WhatsApp mewajibkan bisnis mendapatkan persetujuan keikutsertaan sebelum mengirim pesan autentikasi ke pengguna.
Fitur API untuk Autentikasi OTP – Platform WhatsApp Business
Platform WhatsApp Business memberikan kemampuan berkirim pesan yang andal kepada bisnis melalui kumpulan API yang memungkinkan pengiriman pesan otomatis dalam skala besar. Untuk menyederhanakan autentikasi, Platform WhatsApp Business bertindak sebagai autentikator TOTP yang membantu bisnis memverifikasi identitas pengguna dan keamanan transaksi, dilengkapi template kata sandi sekali pakai yang bisa disesuaikan untuk pesan.
Banyak solusi pihak ketiga bisa membantu memfasilitasi integrasi situs web OTP WhatsApp, termasuk Meta Business Messaging Partners. Solusi ini menangani kompleksitas teknis integrasi situs web sekaligus menyediakan fitur tambahan seperti analitik dan dukungan multisaluran.
Mulai menggunakan Platform WhatsApp Business
Jika diterapkan dengan tepat, sistem OTP seperti di WhatsApp bisa mendorong peningkatan keamanan, meningkatkan kepercayaan, menyederhanakan proses, dan bahkan meningkatkan aliran pendapatan baru dengan menawarkan solusi yang membedakan bisnis Anda dari pesaing. WhatsApp menawarkan penggunaan yang lebih luas di seluruh ekosistem yang sudah ada, menjadikannya pilihan yang andal bagi bisnis.
Siap memulai? Pelajari selengkapnya tentang fitur Platform WhatsApp Business yang bisa mendukung bisnis Anda.
*Sumber: Data internal Meta, 23 Januari-21 Februari 2025.
**Sumber: Data internal Meta, 23 Januari-19 Februari 2025.
Kata Sandi Sekali Pakai: Pertanyaan Umum
Apa arti lengkap dari OTP?
Bentuk lengkap OTP adalah kata sandi sekali pakai atau kode sandi sekali pakai. Ini menjelaskan bentuk autentikasi antara bisnis dan pengguna untuk meningkatkan perlindungan keamanan.
Apa itu autentikasi OTP?
Autentikasi OTP memakai kata sandi atau kode unik dan sementara yang digunakan untuk memverifikasi identitas pengguna, biasanya saat login atau melakukan transaksi. Kode autentikasi biasanya berupa kode empat atau enam digit (misalnya, 9237 atau A87K90) yang berubah setiap kali kode dibuat.
Apakah OTP dan 2FA sama?
Tidak, OTP (kata sandi sekali pakai) dan 2FA (autentikasi dua faktor) tidak sama persis. Meskipun keduanya digunakan untuk tujuan autentikasi, OTP mengacu pada satu kata sandi atau kode yang dikirim ke perangkat pengguna untuk digunakan sekali, sedangkan 2FA melibatkan dua bentuk verifikasi terpisah, seperti kata sandi dan OTP, atau pindai biometrik.
