analisis keamanan internet banking pada bank di
TRANSCRIPT
Abstrak
ANALISIS KEAMANAN INTERNET BANKING PADA BANK DIINDONESIA
Kus Ikhsanto, Ifadah AmaliaSistem Informasi, Fakultas I1mu Komputer, Universitas Gunadarma
11.KH Noer Ali, Kalimalang BekasiTelp : 021-88860117
Email: kusikhsantolalstudent.gunadarma.ac.id.ifa09lalstudent.gunadarma.ac.id
Perkembangan informasi yang serba cepat dan tepat membuat persaingan bank semakin ketat. Bankharus selalu mempunyai program yang lebih maju dari bank lainnya dan membuat nasabah tidak akan berpalingke bank yang lain. Saat ini bank sedang marak dengan internet banking, yaitu program transaksi online viawebsite yang memudahkan nasabah bertransaksi kapan pun dan dimana pun. Yang menjadi pertanyaan adalahbagaimana mengukur tingkat keamanan suatu internet banking? Apakah sama amannya dengan bertransaksioffline? Untuk itu tingkat keamanan suatu bank harus diuji. Makalah ini mencoba untuk me\ihat tingkatkeamanan dari suport hardware yang di miIiki suatu bank dan sisi keamanan dari situs Internet Bankingtersebut.
Kata kunci : bank, internet, banking
1. PENDAHULUAN1.1 Latar Belakang
Di jaman globalisasi ini dan infonnasi yangserba cepat dan instan, penggunaan internetbanking sangat membantu. Tapi teknologi buatanmanusia, pasti ada ke\ebihan dan kekurangannya.Internet banking bisa diartikan sebagai aktifitasperbankan di internet. Layanan ini memungkinkannasabah sebuah bank dapat melakukan hampirsemua jenis transaksi perbankan melalui saranainternet, khususnya via web. Mirip denganpenggunaan mesin ATM, lewat sarana internetseorang nasabah dapat melakukan pengecekanrekening, transfer dana antar rekening, hinggapembayaran tagihan rutin bulanan (listrik, te\epon,dsb.) melalui rekening banknya. Jelas banyakkeuntungan yang akan bisa didapatkan olehnasabah dengan memanfaatkan layanan mi,terutama bila dilihat dari waktu dan tenaga yangdapat dihemat karena transaksi internet bankingpasti bebas antrian dan dapat dilakukan dari manasaja selama nasabah dapat terhubung denganjaringan internet.
Beberapa bank di Indonesia sudah banyakyang menawarkan jasa layanan internet bankinguntuk memudahkan para nasabahnya. Walaupun,pemanfaatan jasa layanan perbankan ini masihsedikit yang menggunakannya. Selain persoalankurangnya pengetahuan nasabah tentang internetbanking, kebanyakan para nasabah masih takutmenggunakan fasilitas internet banking karenafaktor keamanan. Maka dari itu, kami akanmembahas tentang keamanan penggunaan internetbanking.
494
1.2 Problem DefinisiSalah satu pennasalahan yang penting dalam
penggunaan internet banking adalah kepercayaandan kenyamanan bagi para nasabah. Sementara ini,keamanan dan kenyamanan kurang diprioritaskanoleh banyak bank yang masuk ke internet diIndonesia. Banyak nasabah bank yang tidak maumenggunakan fasilitas internet banking karenamerasa tidak aman dan nyaman ketika melakukantransaksi.
Nasabah takut kalau web internet bankingyang di akses adalah bukan web resmi tetapimanipulasi dari para cracker (seam page) dan jugatakut ketika melakukan transaksi uang mereka tidaksampai ke tujuan yang disebabkan karena ulah paracracker. Bukan hanya itu, tetapi nasabah juga takutkalau PIN dan UserID mereka dapat diketahui olehpihak yang tidak berwenang. Masalah tersebutlahyang membuat banyak nasabah tidak inginmenggunakan fasilitas internet banking, padahalfasilitas ini sangat efesien dan efektif.
1.3 Literature Review• Pada paper milik Budi Rahardjo yang
berjudul Aspek Teknologi Dan KeamananDalam Internet Banking [I], dijelaskan bahwakeamanan pada penggunaan Internet Bankingberpusat pada Internet Service Provider (lSP).Jadi apabila keamanan dari sang ISP ternyatarentan, dan dia kebobolan, maka rnungkin sajaseorang cracker memasang program penyadap(sniffer) yang menyadap atau mengambilinfonnasi tentang pelanggan ISP tersebut.
• Pada paper yang ditulis oleh Dr I.B.RSupancana yang berjudul Kerangka RegulasiDalam Menata Internet Banking Di Indonesia(3], dipusatkan pada produk-produk hukumdari Bank Indonesia yang masih tidakmemadai bagi penataan kegiatan intemetbanking.Dari perbandingan dua paper diatas, maka
kami memfokuskan keamanan dengan parameter-parameter seperti PIN yang sangat vital pada saatmelakukan transaksi finansial pada intemetbanking.
Paper ini dibagi menjadi empat bagian, bagianpertama, pendahuluan yang berisi latar belakangmasalah, problem definisi, literature review danpembagian paper. Bagian kedua adalah pendekatanyang menjelaskan tentang pemilihan parameter,pengukuran parameter, dan bobot parameter.Bagian ketiga adalah hasil dan diskusi yangmenjelaskan hasil pengamatan dari pengukuranparameter serta analisisnya. Bagian terakhirkesimpulan dari analisis.
2. PENDEKATAN2.1 Pemilihan Parameter
Kami memilih beberapa parameter untukmengukur tingkat keamanan intemet banking.Berikut ini adalah beberapa parameter:
I. SSL2. Password3. Token:
• Token PIN• SMS Token• Mobile Token
4. Virtual Keyboard5. TAC
2.2 Pengukuran ParameterUntuk mengukur masing-rnasing parameter
kami memilih 7 metode dari parameter di atas,yaitu : SSL, Password dan Token PIN. Kamimemilih ketujuh parameter ini karena hal yangsangat penting pada tingkat keamanan intemetbanking dan harus di punyai oleh suatu bank untukkenyamanan dan keamanan bagi nasabah.I. Secure Socket Layer (SSL 128 bit encryption
), yaitu suatu standar International pengirimandata rahasia dan paling aman saat ini melaluiinternet. Protokol SSL ini akan mengacak datayang dikirimkan menjadi kode-kode rahasiadengan menggunakan I 28-bit encryption,yang artinya terdapat 2 pangkat 128kombinasi angka kunci, tetapi hanya satukombinasi yang dapat membuka kode-kodetersebut. Ada beberapa cara untuk memastikanbahwa situs yang Anda kunjungi adalah resmimilik bank tersebut dan menggunakan SSL128, antara lain sebagai berikut (6]:
• Lihat simbol "gembok" di bagian bawahdari browser Anda. Double click simbol
"gembok" tersebut dan akan munculinformasi dari sertifikat tersebut,
• "Issued to: ib. bankrnandiri.co.id" dancek sertifikat status pada tab certificationPath akan tertulis "This certificate isOK"
2. Menurut Wikipedia.org [7] password adalahkumpulan karakter atau string yang digunakanoleh pengguna jaringan atau sebuah sistemoperasi yang mendukung banyak pengguna(multiuser) untuk memverifikasi identitasdirinya kepada sistem keamanan yang dimilikioleh jaringan atau sistem tersebut. Sistemkeamanan akan membandingkan kode-kodeyang dimasukkan oleh pengguna (yang terdiriatas nama pengguna / user name danpassword) dengan daftar atau basis data yangdisimpan oleh sistem keamanan sistem ataujaringan terse but (dengan menggunakanmetode autentikasi tertentu, seperti halnyakriptografi, hash atau lainnya).Token dibagi menjadi tiga jenis, yaitu :• Token PIN adalah alat pengaman
tambahan untuk transaksi finansial padainternet banking. Untuk bisabertransaksi, diharuskan menggunakanToken PIN. Token PIN berfungsi untukmenghasilkan PIN yang selalu berganti(PIN Dinamis) untuk setiap kali nasabahmelakukan transaksi finansial (8].
3.
Gambar 1. Token PIN {If J
4.
• SMS Token merupakan kode otentikasiyang dikirimkan melalui nomorhandphone Anda dan harus dimasukkansaat Anda melakukan transaksikeuangan. Jadi nasabah kini dapatmenggunakan handphone untukmenerima kode verifikasi melalui SMS(9].
• Mobile Token merupakan perangkattambahan intemet banking yangmembuat tansaksi melalui intemet lebiham an karena menggunakan prosesverifikasi yang berlapis dan biaya lebihhemat karena hanya dibebankan biayaGPRS. Pengguna cukup mendowloadsoftware aplikasi mobile token ke dalamponselnya [5].
Virtual Keyboard : adalah sebuah perangkatlunak dan / atau komponen hardware yangmemungkinkan user untuk memasukkankarakter. Dengan Virtual Keyboard, Anda
495
harus menggunakan mouse untukmemasukkan Password pilihan Anda meIaluikeypad yang ada di layar Anda. Anda tidakdapat menggunakan keyboard untukmemasukkan Password Anda. PenggunaanVirtual Keyboard ini akan memperkecilkemungkinan Password Anda dilacak secaratidak sah oleh pihak yang tidak berwenang[10).
•.••• , ID,------..~~"'OH .".' ,:;..••.•..•••- ••.J ,~"·l~·;,.fiI •.•.•.,t •.•.4r____ IIlEI
~:
Gambar 2. Virtual Keyboard {l 0J
5. Transaction Activation Code (TAC), fiturkearnanan tambahan untuk transfer dana kepihak ketiga. TAC adalah kode 6 digit untukmengaktifkan Penerima Dana yang barupertama kali ingin menerima dana. AktivasiPenerima Dana hanya perlu dilakukan sekalisaja [8].
2.3 Bobot ParameterKarni memberi jumlah bobot 100% untuk 7
paremeter, berikut ini pembagian bobot darimasing-masing parameter:• SSL memiliki bobot 15%, karena hanya
berperan sebagai sistem pengaman situs InternetBanking.
• Password memiIiki bobot 10%, karena hanyasebagai akses masuk atau verifikasi indentitsapengguna. Banyak kasus password rentandiketahui oleh pihak yang tidak berwenang.
• Token PIN memiliki bobot 20%, karena sebagaialat pengaman untuk dapat bertransaksifinansial. Alat ini adalah inovasi yang cukupbaru dengan cara kerja dinamik PIN yang hanyadigunakan satu kali dalam bertransaksi.
• SMS Token memiliki bobot 10%, karenaberfungsi hampir sama dengan Token PINnamun SMS Token rentan dengan· kegiatanpenyadapan sms.
• Mobile Token memiliki bobot 5%, karenasebagai aplikasi keamanan tambahan di dalamhandphone untuk menggunakan internetbanking dan bertransaksi finansial viahanphone.
• Virtual Keyboard memiliki bobot 25%, karena
496
inovasi baru dalarn transaksi internet bankingini menggunakan cara peng-inputan tanpamenggunakan keyboard sehingga lebih amandari penyadapan yang ingin mengetahuiaktivitas dari keyboard.
• TAC memiliki bobot 15%, karena memilikiverifikasi berlapis untuk pihak penerima danadengan cara konfirmasi password yangdiberikan pihak pengirim terlebih dahulu.
Kami memberikan bobot paling besar pactaVirtual Keyboard karena dilihat dari tingkatkearnanan dalarn penggunaannya yang bersifat uniktanpa menggunakan keyboard. Yang kita ketahuibanyak kasus penyadapan dari aktifitas keyboard.
Parameter ~anInternet Bmking
\Artual t<e~ ~:=:~.Mobile Token
9.IISToken
TokenAN ••••
f'assNordm._.w..---J0% 10% 20% 30%
Gambar 3. Grafik Parameter Keamanan InternetBanking
3. HASIL DAN DISKUSI3.1 Analisis
Data-data yang diambil oleh kami berdasarkanperingkat 10 bank terbesar menurut Bank Indonesiapada bulan Oktober 2009 ini [2].
Tabel 1. Tabel Peringkat Bank dan Parameter
c cz .,"0"0 ~ ~•.. 0 -.; a0 <=>-. 0 E- U
~ ~ E- :l 0BANK c ~ t::.n <U) .,
VJ .- ;>-. E-~ ~ .s >~0 ~Po E- oVJ ~
Mandiri " " "BRI " "BCA " " "BN! " ". "CIMB Niaga " " "Danarnon " " " "Panin Bank v v vPermata " V V vBH v v vCitibank v v v v
Tabel 2. Tabel Analisis Pengukuran Parameter Keamanan
I x % bobot arameterBank SSL Password Token SMS Mobile Virtual TAC Total
PIN Token Token Ke boardMandiri 0.15 0.1 0.2 0.45BRI 0.15 0.1 0.25BCA 0.15 0.1 0.2 0.45BNI 0.15 0.1 0.2 0.45CIMBNia a 0.15 0.1 0.2 0.45Danamon 0.15 0.1 0.2 0.1 0.55PaninBank 0.15 0.1 0.2 0.45Permata 0.15 0.1 0.2 0.05 0.50BII 0.15 0.1 0.1 0.35Citibank 0.15 0.1 0.25 0.15 0.65
Qafik hasil perhitLllQilnparameter keamanan intemet
banking
Otibank
Ell 1
I I
II
III
1
,-1
Fermcta
Pcrlin Bank
D:mamon
OMBNiaga
B\ll:~MIMandiri
I I Io 0.2 0.4 0.6 0.8
Gambar 4. Grafik hasil perhitungan parameterkeamanan Internet Banking
Berdasarkan hasil pengamatan dari tabelparameter 10 bank yang ada di indonesia. Bankmandiri, BCA, BNI, CIMB Niaga, Panin Bank, danPermata memiliki tingkat keamanan yang hampirsama kedudukannya. Akan tetapi BRI memilikitingkat keamanan yang kurang karena internetbanking BRI tidak memiliki suport hardwaresemacam Token PIN. Internet Banking kedua yangkurang aman adalah BII karena bank ini hanyamemilikiSMS Token.
Menurut Onno W. Purbo [4], internet bankingSeA menduduki rangking pertama sebagai situsyang mempunyai kesulitan yang sangat tinggiuntuk di jebol, baik di jebol situs-nya maupun dijebol transaksinya di Internet. Namun menurutkami,internet banking yang paling aman
berdasarkan hasil pengamatan kami diukur dariseluruh parameter yang ada adalah internet bankingCitibank. Walaupun Citibank tidak memiliki TokenPIN hardware, ataupun SMS Token dan MobileToken, namun eBanking Citibank memiliki VirtualKeyboard yang berfungsi sama sebagai Token danditambah pada internet banking Citibank memilikiTransaction Activation Code (TAC) yang berfungsiuntuk mengaktifkan atau sebagai persetujuan untukpihak ketiga untuk dapat menerima dana dari pihakpertama.
4. KESIMPULANDari seluruh hasil pengamatan yang
dilakukan, kami simpulkan Citibank adalah internetbanking yang paling aman untuk melakukantransaksi finansial. Alasannya menurut kami karenaCitibank memiliki Virtual Keyboard yang berfungsisama sebagai Token dan ditambah memilikiTransaction Activation Code (TAC) yang berfungsiuntuk mengaktifkan atau sebagai persetujuan pihakketiga untuk dapat menerima dana dari pihakpertarna. Kedua fitur ini tidak dimiliki oleh 9 banklainnya yang telah di sebutkan pada tabel peringkatbank teratas menurut Bank Indonesia pada bulanOktober 2009 ini.
5. DAFTAR PUSTAKA[1] Budi Rahardjo, "Aspek Teknologi DanKeamanan Dalam Internet Banking", diakses dari :http://budi.insan.co.id/articles/internet-banking-bi-l.pdf, pada tanggal 13 Oktober 2009.
[2] EDJ, "Ini Dia IO Bank Terbesar di Indonesia",diakses darihttp://bisniskeuangan.kompas.com/read/xm 1/20091 I0/131 14250554/ini.dia.l O.bank.terbesar.di.indonesia, pada tanggal 14 Oktober 2009.
[3] Dr I.B.R Supancana, "Kerangka RegulasiDalam Menata Internet Banking Di Indonesia",diakses darihttp://202.134.5.138:212I/pls/PORTAL30/indoreg.irp analysis.thread view?ThreadID=1214, padatanggal 14 Oktober 2009.
497
[4] Onno W. Purbo, "Meyakinkan KeamananBertransaksi di Internet Banking Indonesia",diakses dari : http://onno.vlsm.orglv09/onno-ind-1/networklnetwork -security/meyaki nkan-keamanan-bertransaksi-di-intemet-bank-indonesia-O.rtf., pada tanggal 13 Oktober 2009.
[5] Sarie, "Mobile Token pertarna dari BankPerrnata", diakses darihttp://techno.okezone.comiindex.php/ReadStory/2008/01/31/54/79729/mobile-token-pertama-dari-bank-permata, pada tanggal 15 Oktober 2009.
[6] Anonym , "Keamananku", diakses darihttp://www.bankmandiri.co.idlarticie/securitytips.aspx?id= FFAN 14091268, pada tanggal 13 Oktober2009.
[7] Anonym, "Kata sandi", diakses darihttp://id.wikipedia.orglwiki/Password, pada tanggal13 Oktober 2009.
[8] Anonym, "Keamananku, diakses darihttp://www.bankmandiri.co.idlarticie/securitytips.aspx?id=FFAN2046lO35, pada tanggal 13 Oktober2009.
[9] Anonym, "Penerapan SMS Token InternetBanking BII", diakses darihttp://www.bii.co.idlindex.asp?tl3nc=1¶m=c3Nob3c9c3RhdGljJnN la WQ9MDA wMjAwMOAwNjljJnN mdWlkPT AwMDUwMDA wMOEOZQ%30%30, pada tanggal13 Oktober 2009.
[lO] Anonym, "Virtual Keyboard & TAC", diaksesdarihttp://www.citibank.co.idlIDGCB/ APPS/portal/loadPage.do?tabNo=23&htmIPageName=/prodlsub cat landlCbol aman.htm, pada tanggal 14 Oktober2009.
[11] Anonym, diakses darihttp://www.bankmandiri.co.idlenglish/images/token,gif, pada tanggal 15 Oktober 2009.