Yang dimaksud dengan Token di sini adalah alat untuk authentikasi,
terhadap user ketika ingin masuk kedalam system. Jika selama ini
password/PIN yang biasa kita gunakan adalah static password/PIN, token
berfungsi untuk men-generate password/PIN tersebut menjadi dinamic
password/PIN. yang akan di-generate setiap satuan waktu tertentu. (BCA
& Mandiri setiap 8 second). sehingga password yang digunakan dalam
system selalu berubah-ubah. Dengan arti, system akan meminta password
yang berlainan setiap 8 second, ini yang menyebabkan system yang
digunakan menjadi lebih secure.
Token yang digunakan oleh BCA/Mandiri adalah yang diproduksi oleh VASCO yaitu jenis DP250, DP250i & DP300, token ini bekerja berdasarkan waktu (time base) dimana server token ini ditempatkan, (BCA/Mandiri menggunakan server Velis Authenticator(VA)). masing-masing token memiliki secred/seed value yang unik, dimana masing-masing token ini memiliki value yang berbeda. secred/seed value ini adalah sebagai variable dasar yang nantinya akan dikombinasikan dengan variable lainya untuk menghasilnya password/PIN dalam suatu satuan waktu.
Aplikasi yang terdapat di dalam token dp250, dp250i & dp300 ada tiga buah, yaitu :
Aplikasi Response Only (RO), aplikasi ini memiliki 2 variable yaitu, secred/seed value dan time (waktu saat ini), untuk men-generate password/pin.
Aplikasi Challenge Response (C/R), aplikasi ini memiliki 3 variable yaitu, secred/seed value dan time (waktu saat ini) & challenge yaitu berupa angka dengan digit tertentu yang digenerate oleh server VA yang harus di input ke dalam token, untuk men-generate password/pin.
Salah satu fungsi dari aplikasi C/H ini adalah untuk menghidari jebakan pada website palsu, seperti yang pernah terjadi pada klikbca. karena website tersebut tidak mungkin menampilkan angka challenge dari server VA.
Aplikasi Digital Signature, aplikasi ini mirip dengan C/H, hanya saja challenge yang disediakan lebih dari 1 challenge (max 8) yang dapat diinputkan kedalam token, dan challenge ini tidak berasal dari server VA, bisa berupa angka dari mana saja. fungsi dari aplikasi ini salah satunya adalah untuk transfer uang antar rekening. field/challenge yang digunakan olek BCA/mandiri adalah 3 buah. field 1 = no rekening pengirim, field 2 no rekening tujuan, field 3 = nominal tranfer. ketiga filed ini dikombinasikan dengan secret/seed value & time, akan menghasilkan pin/password.
Token VASCO mempunyai 1 technology, yaitu 1 time password, dimana value suatu password/PIN hanya dapat digunakan 1 kali, jika value tersebut telah berhasil/success digunakan dalam sebuah transaksi. jika user mencobanya untuk yang kedua kalinya dengan value password/PIN tersebut akan direject oleh server VA.
Token Vasco menggunakan technology time window, yaitu server VA masih dapat mengenali beberapa value Password/PIN yang digenerate pada beberapa interval waktu sebelumnya oleh token.
Token VASCO menggunakan encryption 3DES.
Token VASCO ini diinisialisasi dengan algoritma dengan parameter tertentu, yang dikerjakan oleh software DP Programmer. yang mana pada software DP programmer ini operator dapat menentukan, PIN length, challenge length, initial token PIN, jumlah aplikasi yang digunakan, jenis aplikasi yang digunakan, penanganan error PIN dan sebagainya. Output dari software ini ada 2 yaitu, initialized token & file .dpx, yaitu infor masi mengenai algorithm & parameter yang digunakan token termasuk waktu yang digunakan pada saat token diinitialize & juga serial number token dan sebagainya.
Bagaimana token ini dapat berkomunikasi dengan internet banking?
Kuncinya adalah pada file .DPX tadi. yaitu file tersebut di upload/export ke dalam server VA. dengan ini si server VA akan mengenali bahwa ada sejumlah n token, yang masing-masing token memiliki parameter & algorithm sekian. Kemudian server VA akan melakukan proses assignment terhadap masing-masing
token kepada user yang menggunakan token tersebut. lalu server VA akan berkomunikasi dengan server IB. ketika seorang user mencoba login maka, ID & PIN yang diinput olehnya akan dikirim ke server VA oleh IB. dan server VA, hanya akan memberikan 2 jawaban, yaitu accepted atau rejected. kemudian
informasi ini akan dikembalikan kepada IB. untuk transaksi berikutnya.
Token yang digunakan oleh BCA/Mandiri adalah yang diproduksi oleh VASCO yaitu jenis DP250, DP250i & DP300, token ini bekerja berdasarkan waktu (time base) dimana server token ini ditempatkan, (BCA/Mandiri menggunakan server Velis Authenticator(VA)). masing-masing token memiliki secred/seed value yang unik, dimana masing-masing token ini memiliki value yang berbeda. secred/seed value ini adalah sebagai variable dasar yang nantinya akan dikombinasikan dengan variable lainya untuk menghasilnya password/PIN dalam suatu satuan waktu.
Aplikasi yang terdapat di dalam token dp250, dp250i & dp300 ada tiga buah, yaitu :
Aplikasi Response Only (RO), aplikasi ini memiliki 2 variable yaitu, secred/seed value dan time (waktu saat ini), untuk men-generate password/pin.
Aplikasi Challenge Response (C/R), aplikasi ini memiliki 3 variable yaitu, secred/seed value dan time (waktu saat ini) & challenge yaitu berupa angka dengan digit tertentu yang digenerate oleh server VA yang harus di input ke dalam token, untuk men-generate password/pin.
Salah satu fungsi dari aplikasi C/H ini adalah untuk menghidari jebakan pada website palsu, seperti yang pernah terjadi pada klikbca. karena website tersebut tidak mungkin menampilkan angka challenge dari server VA.
Aplikasi Digital Signature, aplikasi ini mirip dengan C/H, hanya saja challenge yang disediakan lebih dari 1 challenge (max 8) yang dapat diinputkan kedalam token, dan challenge ini tidak berasal dari server VA, bisa berupa angka dari mana saja. fungsi dari aplikasi ini salah satunya adalah untuk transfer uang antar rekening. field/challenge yang digunakan olek BCA/mandiri adalah 3 buah. field 1 = no rekening pengirim, field 2 no rekening tujuan, field 3 = nominal tranfer. ketiga filed ini dikombinasikan dengan secret/seed value & time, akan menghasilkan pin/password.
Token VASCO mempunyai 1 technology, yaitu 1 time password, dimana value suatu password/PIN hanya dapat digunakan 1 kali, jika value tersebut telah berhasil/success digunakan dalam sebuah transaksi. jika user mencobanya untuk yang kedua kalinya dengan value password/PIN tersebut akan direject oleh server VA.
Token Vasco menggunakan technology time window, yaitu server VA masih dapat mengenali beberapa value Password/PIN yang digenerate pada beberapa interval waktu sebelumnya oleh token.
Token VASCO menggunakan encryption 3DES.
Token VASCO ini diinisialisasi dengan algoritma dengan parameter tertentu, yang dikerjakan oleh software DP Programmer. yang mana pada software DP programmer ini operator dapat menentukan, PIN length, challenge length, initial token PIN, jumlah aplikasi yang digunakan, jenis aplikasi yang digunakan, penanganan error PIN dan sebagainya. Output dari software ini ada 2 yaitu, initialized token & file .dpx, yaitu infor masi mengenai algorithm & parameter yang digunakan token termasuk waktu yang digunakan pada saat token diinitialize & juga serial number token dan sebagainya.
Bagaimana token ini dapat berkomunikasi dengan internet banking?
Kuncinya adalah pada file .DPX tadi. yaitu file tersebut di upload/export ke dalam server VA. dengan ini si server VA akan mengenali bahwa ada sejumlah n token, yang masing-masing token memiliki parameter & algorithm sekian. Kemudian server VA akan melakukan proses assignment terhadap masing-masing
token kepada user yang menggunakan token tersebut. lalu server VA akan berkomunikasi dengan server IB. ketika seorang user mencoba login maka, ID & PIN yang diinput olehnya akan dikirim ke server VA oleh IB. dan server VA, hanya akan memberikan 2 jawaban, yaitu accepted atau rejected. kemudian
informasi ini akan dikembalikan kepada IB. untuk transaksi berikutnya.
Comments