Mengenal 3 Sistem Keamanan di IPOT yang Diklaim Tidak Tembus Phishing
- IPOT menerapkan SIM-OTP sebagai autentikasi dua faktor dengan keamanan fisik dan jejak audit telko.
- IPOT menggunakan ASDI untuk mengunci akses akun pada perangkat tertentu dan mencegah login dari perangkat tidak dikenal.
- IPOT memperkenalkan fitur Add Device Approval untuk melindungi akun dari pencurian kredensial akibat phishing dan social engineering.
Jakarta, IDN Times - Industri jasa keuangan dan pasar modal Indonesia menghadapi peningkatan signifikan kasus kejahatan siber, khususnya phishing, social engineering, dan situs palsu, yang menyebabkan kerugian finansial nasabah dan investor. Dalam berbagai kasus tersebut, pelaku kejahatan berhasil memperoleh Authentication Credentials nasabah, mulai dari username, password, PIN, bahkan OTP tanpa disadari korban.
Banyak yang tidak menyadari, penyebab utama kerentanan adalah penggunaan Email-OTP, sebuah metode autentikasi yang mudah diakses dari berbagai perangkat, rentan diretas, dan menjadi sasaran utama phishing. Oleh karena alasan itulah bank-bank besar di Indonesia mengadopsi sistem keamanan dengan SIM-OTP, bukan Email-OTP.
IPOT pun mengajak seluruh investor untuk memahami perbedaan besar antara Email-OTP dan SIM-OTP. Email-OTP, yang masih digunakan oleh sebagian besar sekuritas lain di Indonesia rawan phishing, rentan pada password reuse, mudah diretas, dan tidak memiliki jejak audit telko.
Berbeda dengan itu, SIM-OTP memiliki jejak audit dari operator seluler, tidak dapat di-forward, tidak dapat dicari di inbox, dan memaksa verifikasi fisik. Oleh karena itu, bank-bank besar di Indonesia menggunakan sistem keamanan SIM-OTP, karena OTP berbasis SIM card memaksa autentikasi fisik yang jauh lebih sulit ditembus.
"Dalam kondisi penetrasi digital yang semakin tinggi, keamanan harus bergerak dari autentikasi berbasis email menuju autentikasi fisik dan device-based. Sistem IPOT dirancang untuk tetap aman bahkan ketika kredensial pengguna bocor. Kami siap mendukung regulator dalam menetapkan standar keamanan baru bagi seluruh pelaku industri," kata CEO Indo Premier Sekuritas (IPOT), Moleonoto The, dalam keterangan resminya, Senin (8/12/2025).
Moleonoto menegaskan komitmen IPOT untuk melindungi aset investor dengan menerapkan sistem keamanan terpadu tiga lapis yang dirancang untuk tetap melindungi akun nasabah bahkan ketika kredensial autentikasi bocor, yakni SIM OTP, App-Scoper Device Identifier (ASDI), dan Add Device Approval.
"Ketiga mekanisme ini dirancang saling melengkapi dan membentuk standar keamanan yang setara, bahkan lebih ketat, dibandingkan perbankan di Indonesia. Dengan arsitektur keamanan ini, sekalipun password nasabah dicuri atau bocor, akun IPOT tetap aman tidak dapat ditembus dan dibuka pihak lain. Soal keamanan aset nasabah, tidak ada kompromi bagi IPOT," ujar Moleonoto.
1. SIM-OTP
IPOT secara konsisten menerapkan SIM-OTP (SMS One Time Password berbasis SIM card) sebagai bentuk autentikasi dua faktor, sejalan dengan praktik perbankan di Indonesia yang telah lama meninggalkan Email-OTP.
SIM-OTP diakui sebagai gold standard karena mengandalkan kepemilikan fisik SIM card, berjalan pada jaringan operator seluler yang teregulasi, memiliki jejak audit telko, dan tidak dapat diteruskan, dicari, maupun diakses ulang lewat email atau cloud.
Secara keamanan, sistem ini bermanfaat untuk melindungi proses otorisasi dengan verifikasi fisik dan mengikuti standar keamanan perbankan Indonesia.
2. ASDI
IPOT juga menerapkan ASDI, yaitu mekanisme pembuatan identitas unik untuk setiap kombinasi aplikasi dan perangkat. Melalui ASDI, setiap akun IPOT hanya dapat diakses dari perangkat yang telah terdaftar. Kemudian, upaya login dari perangkat lain akan langsung ditolak dan dentitas perangkat tidak dapat digandakan atau dipindahkan.
Seluruh nasabah IPOT yang ada saat ini telah melalui proses registrasi perangkat menggunakan ASDI dengan validasi akhir melalui SIM-OTP. Dengan penerapan SIM-OTP, IPOT memastikan proses otorisasi menjadi sensitif, khususnya registrasi perangkat, mengikuti standar keamanan yang telah teruji dan diterapkan oleh industri perbankan nasional. Adapun manfaat keamanan sistem ASDI adalah mengunci akses akun hanya pada perangkat tertentu dan mencegah login dari perangkat tidak dikenal.
3. Add Device Approval
Sebagai lapisan perlindungan tambahan terhadap pencurian kredensial akibat phishing dan social engineering, IPOT memperkenalkan fitur Add Device Approval. Sistem ini berupa switch On/Off yang mengatur apakah penambahan perangkat baru diizinkan atau ditolak sepenuhnya, meskipun pelaku kejahatan telah mengetahui username, password, PIN, dan OTP.
Seecara default, Add Device Approval berada dalam posisi OFF. Penambahan perangkat baru hanya bisa dilakukan jika switch di perangkat terdaftar diubah ke ON secara manual. Setelah satu perangkat baru berhasil terdaftar, switch akan kembali ke posisi OFF.
Dengan mekanisme ini, penambahan perangkat menjadi harus disadari sepenuhnya oleh pemilik akun, tidak dapat dilakukan secara diam-diam oleh pihak ketiga, dan memberikan sinyal jelas adanya niat (explicit intent) dari pengguna.
"IPOT percaya, keamanan bukan sekadar fitur tambahan, melainkan fondasi kepercayaan investor. Melalui penerapan sistem keamanan tiga lapis ini, IPOT berharap dapat mendorong peningkatan standar keamanan di industri sekuritas Indonesia, sekaligus mengedukasi investor untuk lebih waspada terhadap ancaman siber," kata Moleonoto.
