WhatsApp OTP atau OTP WhatsApp hadir sebagai pelengkap dan penyempurna dari pengiriman kode One Time Password (OTP) menggunakan SMS yang sudah jadi standar selama lebih dari satu dekade.
Hal itu karena seiring dengan meningkatnya cyber crime sampai masalah keterlambatan pengiriman jaringan saat menggunakan SMS.
Peralihan ini juga berdasarkan faktor lainnya, seperti jumlah pengguna WA yang sudah mencapai sekitar 3 miliar pengguna aktif.
Membuat kebutuhan mengalihkan sistem autentikasi dari SMS ke WhatsApp jadi sebuah kebutuhan.
Artikel CRM.id ini akan membahas perihal OTP WhatsApp, bagaimana cara kerjanya, dan penggunaannya yang aman menggunakan WhatsApp Business API.
Apa Itu WhatsApp OTP (One Time Password) dan Latar Belakang Kemunculannya?
WhatsApp OTP adalah kode kata sandi sekali pakai yang dikirimkan oleh sistem aplikasi atau website bisnis kepada penggunanya melalui WhatsApp.
Kode ini biasanya terdiri dari 4 sampai 6 digit angka acak (atau kombinasi alfanumerik) yang digunakan untuk memverifikasi identitas pengguna.
Flow pengiriman OTP biasanya begini:
- Registrasi akun baru (verifikasi nomor telepon)
- Proses login (sebagai bagian dari 2-Factor Authentication / 2FA)
- Konfirmasi transaksi atau pembayaran
- Mengubah atau reset kata sandi (password)
Untuk bisa melakukan pengiriman secara otomatis dari sistem ke aplikasi pelanggan, tidak bisa menggunakan aplikasi WhatsApp biasa.
Pengirimannya menggunakan teknologi WhatsApp Business API yang terintegrasi ke sistem perusahaan atau software CRM.
Kemunculan OTP WhatsApp dilatarbelakangi oleh keterbatasan dan sejumlah keluhan terkait pengiriman kode verifikasi menggunakan SMS.
Mulai dari kode yang tidak langsung masuk karena masalah sinyal atau gangguan lain, biaya per SMS yang mahal dari pihak operator telekomunikasi (terutama untuk pengiriman internasional), sampai maraknya kasus penipuan.
Terlebih juga SMS tidak dienkripsi secara penuh, membuat jadi rentan terhadap penyadapan.
Kelemahan ini membuat developer dan pakar cyber security menyarankan transisi ke aplikasi pesan berbasis internet dengan standar enkripsi lebih kuat, maka lahirlah OTP WhatsApp.
Baca Juga: Strategi SMS Marketing yang Sebaiknya Dilakukan Oleh CS
Cara Kerja OTP WhatsApp untuk Verifikasi
Berikut ini proses pengiriman OTP WhatsApp yang bisa CRM.id paparkan:
1. Permintaan (Request)
Pengguna memasukkan nomor WhatsApp mereka di aplikasi atau website Anda, lalu menekan button Kirim Kode OTP.
2. Sistem Backend Bekerja
Server aplikasi Anda (atau sistem CRM Anda) menghasilkan kode acak secara otomatis dan menyimpannya di database dengan kode yang akan kadaluwarsa hanya dalam waktu 1 menit.
3. Proses Pemanggilan API (API Call)
Server Anda memanggil endpoint WhatsApp Business API yang telah diintegrasikan, mengirimkan nomor tujuan dan template pesan berisi kode OTP.
4. Pengiriman (Delivery) atau Response
Meta memproses request tersebut dan mengirimkannya dalam format pesan terenkripsi ke aplikasi WhatsApp pengguna.
5. Verifikasi
Pengguna membaca kode di WhatsApp, memasukkannya kembali ke dalam aplikasi Anda, dan sistem memvalidasi kecocokan kodenya.
Semua proses ini umumnya selesai dalam waktu kurang dari 2-3 detik.
Baca Juga: Ketahui Algoritma WhatsApp Biar Aman Saat Broadcast Pesan
Cara Membuat OTP WhatsApp Melalui WhatsApp Business API
Demi alasan keamanan, Anda tidak boleh menggunakan aplikasi WhatsApp Messenger biasa atau WhatsApp Business lalu diintegrasikan dengan bot ilegal (unofficial WA gateway) untuk mengirim OTP.
Melakukan cara-cara tersebut membuat nomor WA bisnis Anda diblokir (di-banned) secara permanen oleh WhatsApp (tidak mematuhi kebijakan Meta/WhatsApp).
Cara yang sah, aman, dan resmi adalah melalui API yang Meta sediakan. Berikut adalah panduan cara daftar WhatsApp OTP:
Langkah 1: Bermitra dengan Business Solution Provider (BSP WhatsApp) Resmi
Meta tidak memberikan akses langsung API mereka ke semua bisnis.
Untuk itu Anda perlu mendaftar melalui BSP resmi (seperti CRM.id, Twilio, MessageBird, atau platform CRM lainnya).
BSP menyediakan infrastruktur cloud dan antarmuka/interface agar tim developer bisa menghubungkan sistem ke API WhatsApp.
Langkah 2: Verifikasi di Facebook Business Manager
Untuk membuka akses penuh dan mendapatkan batas pengiriman pesan (messaging limit) yang tinggi, wajib memverifikasi legalitas bisnis Anda di Facebook Business Manager.
Anda akan diminta untuk mengupload dokumen legal perusahaan (seperti SIUP, NIB, dan sejenisnya).
Langkah 3: Pengaturan Integrasi API dan Webhook
Setelah nomor aktif, tim IT Anda bisa mulai membuat script (coding) untuk integrasi API.
Anda juga perlu mengatur Webhook untuk menerima status pengiriman (delivered, read, failed) secara langsung.
Sehingga Anda tahu pasti apakah pelanggan telah menerima kode tersebut atau belum.
Baca Juga: Contoh dan Cara Membuat Pesan Otomatis untuk WA Bisnis
Syarat dan Contoh Template Pesan OTP WhatsApp
Platform WhatsApp memiliki aturan ketat terkait pengiriman pesan otomatis.
Pesan OTP masuk dalam kategori business initiated message dan butuh template pesan yang harus disetujui (approved) oleh Meta sebelum bisa digunakan.
Aturan Ketat Meta untuk Kategori Authentication
Saat mengajukan template ke WhatsApp Manager, Anda harus memilih kategori authentication.
Ada beberapa aturan yang harus dipatuhi:
- Pesan tidak boleh mengandung konten promosi sedikit pun (tidak boleh ada penawaran diskon, upsell, atau ajakan membeli).
- URL yang menautkan ke external link seringkali dilarang menggunakan template autentikasi, kecuali menggunakan klik sekali sentuh (one tap autofill).
- Gunakan parameter atau entitas, seperti [Kode OTP] atau [Waktu kadaluwarsa] untuk mengisi kode secara otomatis.
Contoh Template Pesan OTP WhatsApp yang Disetujui Meta
Berikut ini contoh struktur pesan yang tepat dan memperbesar peluang untuk disetujui oleh Meta:
Format Standar (Bahasa Indonesia):
Kode OTP Anda untuk login ke [Nama Aplikasi] adalah: [Kode OTP].
JANGAN berikan kode ini kepada siapapun, termasuk pihak [Nama Aplikasi]. Kode ini kedaluwarsa dalam [Waktu kadaluwarsa] menit.
Contoh Format dengan Copy Code Button:
Saat menggunakan fitur API terbaru, Anda bisa menginputkan button khusus “salin kode / copy code”
[Nama Aplikasi] kode verifikasi: [Kode]. Jangan bagikan kode ini kepada siapapun demi keamanan akun Anda.
Button: (Salin Kode OTP)
Penggunaan format yang singkat, padat, dan ada peringatan keamanan (security warning) direkomendasikan untuk mencegah Anda/customer terhadap penipuan psikologis (social engineering).
Baca Juga: Tips dan Contoh Kata Kata Broadcast Promosi WhatsApp
Panduan Best Practice untuk Keamanan WhatsApp OTP
Walaupun WhatsApp itu sendiri menggunakan enkripsi yang kuat.
Keamanan tidak hanya bergantung pada platform pengirim, harus juga di sistem Anda sendiri.
Seringkali peretasan WhatsApp menggunakan OTP tidak selalu karena sistem, justru karena human error.
Sebagai keamanan WhatsApp OTP, coba Anda terapkan prinsip berikut ini:
1. Terapkan Rate Limiting dan Masa Berlaku (TTL) Singkat
Jangan biarkan kode OTP berlaku selamanya. Atur parameter time to live (TTL) di sistem Anda. KodeOTP yang tepat biasanya berlaku selama 1 menitan.
Selain itu, terapkan rate limiting, yaitu batas maksimum pengguna bisa meminta ulang (resend) kode. Misalnya maksimal 3 kali permintaan dalam 10 menit.
Ini mencegah bot pelaku kejahatan (bad actors) melakukan serangan peretasan tipe brute force atau yang menghabiskan saldo API Anda.
2. Terapkan Fallback Mechanism
Meskipun tingkat keteraksesan WhatsApp sangat tinggi, kemungkinan kecil pengguna tidak memiliki aplikasi WhatsApp atau koneksi internetnya sedang gangguan.
Nah dengan seperti itu, sistem harus memiliki mekanisme fallback seperti ini:
Jika pesan OTP WhatsApp statusnya failed/undelivered dalam waktu 30 detik, maka kirimkan kode OTP alternatif melalui SMS atau email secara otomatis.
3. Pesan Alert Terkait Risiko Penipuan Cyber dan Social Engineering
Teknologi enkripsi seketat apapun tidak akan berguna, jika penggunanya bisa dimanipulasi secara emosi dan dengan sukarela menyerahkan kodenya kepada penipu.
Untuk mengatasi hal itu, biasanya di setiap template OTP harus ada kalimat penegasan, baik dari segi penekanan kata atau menggunakan huruf kapital.
Misalnya ada pernyataan dan penegasan seperti ini di pesan OTP yang dikirim otomatis dari sistem:
“Jangan bagikan kode ini kepada siappaun, termasuk dari perusahaan [Nama perusahaan yang mengirimkan OTP]. Kami tidak pernah meminta kode OTP melalui telepon atau chat.”
Dengan cara seperti ini jadi semacam pengerem, agar si penerima kode OTP selalu ingat dan waspada.
Baca Juga: 5 Cara Mengetahui WA Disadap dan Mengatasinya
Kesimpulan
Demikian artikel CRM.id terkait panduan cara kerja dan penggunaan WhatsApp OTP yang lebih aman.
Penggunaan WhatsApp OTP dapat menghemat biaya operasional IT, dan menjaga sistem keamanan serta trust dari pengguna produk Anda. Metode OTP WA ini sebagai alternatif dari OTP SMS.
Cara kerja OTP WhatsApp seperti: request > sistem backend aplikasi bekerja > API call > delivery atau response > verifikasi
Sedangkan cara membuatnya bermitra dengan Business Solution Provider (BSP), verifikasi di Meta/Facebook Business Manager, dan pengaturan integrasi API.
Jika Anda juga fokus menerapkan WhatsApp Business dan Aplikasi CRM, penggunaan kode OTP WhatsApp jadi sangat penting melebihi untuk penggunaan WA biasa.
Anda bisa mengisi form demo aplikasi CRM, di CRM.id untuk menikmati sejumlah fitur-fiturnya.
Dan tim kami akan membantu mengurus proses verifikasi dan edukasi terkait kode OTP.
Karena Anda harus aware untuk menjaga kode OTP WhatsApp Anda tidak bleh diketahui oleh siapapun, termasuk tim CRM.id atau pihak WhatsApp/Meta.
- Gimana Cara Hapus Kontak di WA? Berikut Cara Simplenya - 5 Juni 2026
- 15 Lead Management Software Terbaik untuk Bisnis UKM - 3 Juni 2026
- Apa Itu Service Desk & Perannya Meningkatkan Pelayanan - 2 Juni 2026