13 January 2015

Enkripsi yang Aneh di Lampiran e-Statement

Saya berlangganan e-Statement dari sebuah bank nasional untuk mendukung program pengurangan pengunaan kertas. Beberapa kali saya menerima terkesan sangat baik dalam layanannya. Dengan adanya e-Statement saya merasa terbantu dalam memantau akun-akun saya di bank tersebut.

Layanan e-Statement ini kesan pertama sangat aman karena yang dikirimkan dengan subyek di surel [WARNING : MESSAGE ENCRYPTED] e-Statement. Saat dibuka pun lampiran tersebut tidak bisa dibuka oleh sembarang orang atau pihak yang tidak berhak karena telah diproteksi dengan sebuah password. Jadi untuk membuka lampiran tersebut harus menggunakan password.

Untuk membuka e-Statement tersebut memiliki ketentuan yang telah disampaikan dalam surel. Berikut kutipan ketentuan tersebut.
Silahkan gunakan password Electronic Statement Anda untuk membukanya sesuai dengan petunjuk di bawah ini.

Password Electronic Statement ini adalah DDMMYYXXXX, dimana :
   
1. DD     Dua digit tanggal lahir Anda, contoh : 06
2. MM     Dua digit bulan lahir Anda, contoh : 04
3. YY     Dua digit terakhir dari tahun lahir Anda, contoh : Tahun kelahiran 1973, ketik 73
4. XXXX     Empat digit terakhir nomor  akun Anda, contoh 1280004141559, ketik 1559

Password Electronic Statement sesuai contoh diatas adalah 0604731559
Setelah berkali-kali membuka saya merasa aneh dengan e-Statement ini. Dugaan saya e-Statement ini tidak aman bahkan tidak berupa pesan yang aman dari penyadapan karena isi surel dapat dengan mudah dibaca. Hal yang menjadi dugaan saya tidak amannya e-Statement adalah:
1. Saat saya mengajukan permohonan e-Statement tanpa ada konfirmasi kunci aman untuk komunikasi aman antara kedua belah pihak.
2. Nama berkas lampiran e-Statement pada surel mencantumkan 4 atau 5 angka terakhir dari nomor rekening atau nomor kartu kredit.
3. Tanggal lahir bukan kode yang aman karena sering terlihat kita merayakan ulang tahun atau kode-kode publik yang menggunakan kombinasi tanggal lahir.

Saya mencoba memberikan saran sederahana dari permasalahan tersebut:
1. Sebaiknya menerapkan PGP untuk mendukung komunikasi surel yang aman.
2. Untuk membuka lampiran yang ter-password menggunakan kode dari token.

No comments:

Post a Comment

Disqus for Dedy selalu Milisdad