Loncat ke konten

Kredensial yang dicuri tetap menjadi salah satu dari dua vektor akses awal teratas di seluruh sektor industri, menurut Laporan Investigasi Kebocoran Data Verizon 2026—dan bagi perbankan, di mana rekening digital memberikan akses langsung ke layanan keuangan, hal ini terus memicu penipuan pengambilalihan rekening, serangan credential stuffing, serta kampanye phishing secara real-time dalam skala besar.

Tanggapan pihak regulator sangat jelas: PSD3 dan PSR1 sedang diterapkan secara aktif di seluruh negara anggota Uni Eropa, DORA telah berlaku, dan regulator di seluruh Uni Eropa, Amerika Serikat, serta kawasan Asia-Pasifik semakin bersepakat pada satu persyaratan—otentikasi yang tahan terhadap serangan phishing.

Kunci akses FIDO2 kini menjadi jalan paling jelas untuk memenuhi standar tersebut. Namun, pembahasan ini tidak berhenti pada kunci akses saja. Munculnya komputasi kuantum berarti fondasi kriptografi dari arsitektur otentikasi saat ini menghadapi ancaman jangka panjang yang harus diantisipasi sejak dini oleh lembaga-lembaga yang visioner. Artikel ini membahas bagaimana otentikasi tanpa kata sandi FIDO2 bekerja di sektor perbankan, apa yang disyaratkan oleh PSD3 dan PSR1, serta mengapa kriptografi pasca-kuantum harus menjadi bagian dari peta jalan Anda—bersama dengan delapan pertanyaan untuk mengevaluasi posisi lembaga Anda saat ini.

Mengapa kata sandi tidak lagi cukup dalam layanan perbankan?

Penipuan perbankan modern jarang menargetkan kata sandi secara terpisah. Para penyerang memanfaatkan sistem yang dibangun di sekitarnya: proxy phishing real-time mencegat kode satu kali melalui SMS sebelum pengguna selesai memasukkannya; serangan SIM swap mengalihkan pesan verifikasi ke perangkat yang dikendalikan penyerang; rekayasa sosial di titik masuk layanan bantuan sepenuhnya melewati proses otentikasi utama. Otentikasi yang dibangun berdasarkan rahasia bersama menciptakan celah keamanan yang tidak dapat ditutup hanya dengan kontrol kebijakan saja.

Apa yang menjadikan sektor perbankan sebagai sasaran utama serangan yang menargetkan kredensial?

Penipuan pengambilalihan akun tetap menjadi vektor utama dalam perbankan digital. Alat credential stuffing menguji miliaran kombinasi nama pengguna dan kata sandi yang sebelumnya bocor terhadap portal perbankan dalam kampanye otomatis. Otentikasi multi-faktor (MFA) telah meningkatkan standar keamanan—namun tidak semua MFA sama efektifnya. Kode OTP melalui SMS dan notifikasi push tetap rentan terhadap phishing: penyerang yang berhasil menipu pengguna agar menyetujui notifikasi push real-time akan mendapatkan akses, terlepas dari faktor kedua yang digunakan dalam proses tersebut.

Kunci akses FIDO2 menangani masalah ini pada tingkat arsitektur, bukan pada tingkat kebijakan. Dengan menghilangkan rahasia bersama dan mengikat kredensial ke domain pihak yang mengandalkan (RP) tertentu, mekanisme yang membuat serangan phishing menguntungkan secara ekonomi pun dihilangkan—tidak ada yang bisa disadap, diteruskan, atau diulang.

Bagaimana cara kerja otentikasi tanpa kata sandi FIDO2 di sektor perbankan?

FIDO2 adalah standar otentikasi terbuka yang dikembangkan oleh Aliansi FIDO bekerja sama dengan W3C. Spesifikasi WebAuthn-nya memungkinkan peramban dan aplikasi untuk mengautentikasi pengguna menggunakan kredensial kriptografis—passkey—sebagai pengganti kata sandi.

Saat pengguna mendaftarkan passkey, perangkat tersebut menghasilkan sepasang kunci publik-pribadi. Kunci pribadi tidak pernah meninggalkan perangkat; bank hanya menyimpan kunci publik. Selama proses otentikasi, bank mengirimkan tantangan; perangkat menandatanganinya dengan kunci pribadi; bank memverifikasi tanda tangan tersebut. Tidak ada rahasia yang dikirimkan. Setiap kredensial juga terikat secara kriptografis ke domain tertentu, sehingga tidak dapat digunakan di situs phishing—bahkan jika situs tersebut merupakan replika visual yang persis sama dengan portal perbankan yang sah.

Passkey vs. kunci keamanan perangkat keras: mana yang paling cocok untuk bank Anda?

Passkey tersedia dalam dua bentuk utama. Passkey yang disinkronkan direplikasi di seluruh perangkat pengguna melalui ekosistem platform seperti Apple iCloud Keychain atau Google Password Manager. Passkey ini memudahkan proses pemulihan dan sangat cocok untuk pelanggan ritel. Passkey yang terikat perangkat hanya berlaku untuk satu perangkat dan tidak pernah diekspor, sehingga memberikan jaminan keamanan yang lebih tinggi untuk akses berprivilese, pengguna perbankan korporat, atau alur transaksi bernilai tinggi.

Bagi lembaga yang membutuhkan tingkat jaminan tertinggi — perbankan korporat, administrator dengan hak istimewa, atau situasi yang mewajibkan pemisahan dari perangkat utama pengguna — kunci keamanan perangkat keras menawarkan alat otentikasi khusus yang tidak terhubung ke internet dan mewajibkan verifikasi kehadiran pengguna setiap kali digunakan. RSA Seri iShield Key 2 menyediakan otentikasi perangkat keras bersertifikasi FIDO2 yang terintegrasi dengan RSA ID Plus di lingkungan cloud, hybrid, dan on-premises—sehingga memungkinkan bank untuk menerapkan alat otentikasi yang tepat bagi setiap kelompok pengguna dari satu platform tunggal.

RSA telah menerapkan otentikasi tanpa kata sandi FIDO2 di seluruh tenaga kerjanya di seluruh dunia, dan berhasil mencapai tingkat adopsi yang hampir menyeluruh pada perangkat akhir yang dikelola dalam waktu dua belas bulan. Penjelasan lengkapnya — termasuk cara menangani ketergantungan pada sistem lama dan manajemen perubahan berskala perusahaan — tercantum dalam Di dalam RSA: Menerapkan FIDO dan Solusi Tanpa Kata Sandi dalam Skala Besar studi kasus, yang dikembangkan bekerja sama dengan Aliansi FIDO.

Apakah FIDO2 sesuai dengan PSD3 dan PSR1?

FIDO2 dapat memenuhi persyaratan Otentikasi Pelanggan yang Kuat (SCA) sesuai PSD2 jika diterapkan dengan benar. Perangkat otentikasi menyediakan faktor kepemilikan; sedangkan biometrik atau PIN menyediakan faktor inheren atau pengetahuan. Pengehubungan dinamis—mengaitkan otentikasi dengan jumlah transaksi dan penerima tertentu—dapat diintegrasikan ke dalam alur FIDO2, menjadikannya solusi SCA yang lengkap baik untuk otentikasi identitas maupun persetujuan pembayaran.

Apa saja perubahan yang dibawa oleh PSD3/PSR1 dalam hal otentikasi perbankan?

PSD3 dan peraturan pelengkapnya, PSR1, telah mencapai kesepakatan politik pada tahun 2025 dan saat ini sedang dalam tahap implementasi aktif, dengan jadwal transisi yang berlanjut hingga tahun 2027 dan 2028. Terdapat tiga perubahan yang paling signifikan bagi tim otentikasi. Pertama, PSD3/PSR1 memperkenalkan persyaratan yang lebih ketat untuk SCA yang tahan phishing—melampaui model dua faktor dasar PSD2 menuju metode yang tidak dapat disadap atau diteruskan. Kedua, bank menghadapi tanggung jawab yang lebih besar dalam skenario penipuan di mana otentikasi yang tahan phishing tersedia tetapi tidak diterapkan. Ketiga, lembaga keuangan wajib menyediakan metode otentikasi alternatif bagi pengguna yang tidak dapat menggunakan metode utama, sehingga memerlukan arsitektur multi-otentikator alih-alih penerapan metode tunggal.

FIDO2 dengan kunci akses yang terikat pada perangkat atau kunci keamanan perangkat keras sejalan langsung dengan arahan PSD3/PSR1. Lembaga-lembaga yang telah menerapkan FIDO2 akan berada dalam posisi yang lebih baik untuk membuktikan kepatuhan—serta untuk menyusun catatan tinjauan akses dan dokumentasi audit yang akan diminta oleh otoritas pengawas. Tata Kelola & Siklus Hidup RSA mengotomatiskan pencatatan tinjauan akses dan laporan kepatuhan, sehingga mempersingkat waktu persiapan audit dari beberapa minggu menjadi beberapa jam.

Mengapa kriptografi pasca-kuantum kini menjadi penting bagi proses otentikasi di sektor perbankan?

Komputasi kuantum yang mampu memecahkan enkripsi asimetris saat ini belum tersedia secara komersial. Namun, masalah perencanaan sudah ada. Strategi serangan yang dikenal sebagai “kumpulkan sekarang, dekripsi nanti”—mengumpulkan lalu lintas jaringan terenkripsi saat ini dengan tujuan mendekripsinya begitu kemampuan kuantum matang—sudah dijalankan oleh pelaku ancaman canggih yang menargetkan lembaga-lembaga bernilai tinggi. Bagi bank, di mana lalu lintas otentikasi dan data pelanggan jangka panjang menjadi sasaran yang terus menarik perhatian, hal ini mewakili cakrawala risiko nyata yang memerlukan tindakan sebelum ancaman kuantum benar-benar terwujud.

Apa yang dimaksud dengan ancaman “panen sekarang, dekripsi nanti”?

Kriptografi kunci publik standar saat ini—yang menjadi landasan TLS, tanda tangan digital, dan operasi kredensial FIDO2—bergantung pada masalah matematika yang tidak dapat diselesaikan oleh komputer klasik dalam skala besar. Komputer kuantum yang cukup kuat yang menjalankan algoritma Shor dapat memecahkan masalah-masalah ini secara efisien, sehingga secara retroaktif membongkar data apa pun yang dienkripsi berdasarkan standar saat ini. Lembaga-lembaga yang menyimpan atau mentransmisikan data terkait otentikasi harus berasumsi bahwa penyerang yang canggih mungkin sudah mengarsipkan data tersebut untuk dekripsi di masa depan.

Standar pasca-kuantum NIST dan langkah ke depan bagi perbankan

Pada bulan Agustus 2024, NIST telah menyelesaikan tiga standar kriptografi pasca-kuantum pertamanya: ML-KEM (enkapsulasi kunci berbasis kisi), ML-DSA (tanda tangan digital berbasis kisi), dan SLH-DSA (tanda tangan berbasis hash)—semuanya dirancang agar aman dari serangan klasik maupun kuantum. Aliansi FIDO sedang secara aktif berupaya untuk mengintegrasikan algoritma PQC ke dalam standar FIDO2, yang akan memungkinkan passkey dan kunci keamanan perangkat keras untuk tetap mempertahankan sifat ketahanannya terhadap serangan phishing seiring dengan kemajuan komputasi kuantum.

Dukungan RSA ID Plus untuk penerapan hibrida dan di lokasi memberikan fleksibilitas arsitektur bagi lembaga keuangan seiring dengan diintegrasikannya standar PQC ke dalam infrastruktur identitas. Alih-alih harus melakukan migrasi berskala besar sekaligus, bank dapat memperkuat metode otentikasi saat ini dan secara bertahap menerapkan algoritma yang tahan terhadap serangan kuantum seiring dengan semakin matangnya spesifikasi PQC dari Aliansi FIDO. Pelajari lebih lanjut Fitur otentikasi tanpa kata sandi yang lengkap dari RSA.

8 pertanyaan untuk mengevaluasi strategi perbankan tanpa kata sandi Anda

Pertanyaan-pertanyaan ini diambil dari pengalaman RSA dalam penerapan solusi di tingkat perusahaan serta pedoman regulasi terkini bagi lembaga keuangan. Gunakan pertanyaan-pertanyaan ini untuk mengidentifikasi celah sebelum celah tersebut menjadi temuan audit.

  1. Apakah Anda sudah memetakan semua ketergantungan kata sandi dalam alur pendaftaran, pemulihan, dan kebijakan Anda — bukan hanya jalur masuk utama?

Proses pendaftaran dan pemulihan akun merupakan ketergantungan pada kata sandi yang paling sering terabaikan. Menghapusnya sebelum menerapkan passkey sangat penting untuk mewujudkan arsitektur yang benar-benar bebas kata sandi.

  1. Apakah metode otentikasi yang Anda gunakan saat ini memenuhi persyaratan PSD3/PSR1 SCA terkait ketahanan terhadap phishing, termasuk pengaitan dinamis untuk otorisasi pembayaran?

FIDO2 dapat memenuhi persyaratan SCA — namun, kepatuhan bergantung pada detail implementasinya. Pastikan konfigurasi Anda mencakup baik otentikasi identitas saat login maupun penandatanganan transaksi saat persetujuan pembayaran.

  1. Apakah arsitektur otentikasi Anda dapat mendukung berbagai jenis alat otentikasi untuk berbagai kelompok pengguna — pelanggan ritel, perusahaan, staf cabang, dan administrator dengan hak akses istimewa?

Satu jenis otentikator saja jarang dapat memenuhi kebutuhan setiap kelompok pengguna. Arsitektur multi-otentikator merupakan persyaratan perencanaan, bukan sekadar peningkatan di masa depan.

  1. Apakah alur pemulihan akun Anda sama kuatnya dengan metode otentikasi utama Anda?

Proses pemulihan sering kali menjadi titik terlemah dalam arsitektur yang pada dasarnya tahan terhadap serangan phishing. Rekayasa sosial pada jalur pemulihan melalui layanan bantuan merupakan vektor serangan yang telah banyak didokumentasikan.

  1. Apakah kontrak pihak ketiga di bidang TIK Anda untuk layanan otentikasi sudah sesuai dengan persyaratan Pasal 30 DORA — termasuk jaminan ketersediaan, batas waktu pemberitahuan insiden, dan hak audit?

Layanan otentikasi termasuk dalam kategori layanan pihak ketiga TIK yang kritis berdasarkan DORA. Kontrak yang ditandatangani sebelum Januari 2025 mungkin perlu diubah sebelum tinjauan pengawasan berikutnya.

  1. Sudahkah Anda mengevaluasi kerentanan pasca-kuantum pada tumpukan otentikasi yang Anda gunakan saat ini — khususnya algoritma kriptografi mana saja yang sedang digunakan dan mana saja yang perlu diganti?

Ini adalah proses perencanaan yang sebaiknya dimulai sekarang, selagi tenggat waktunya masih cukup panjang sehingga kita dapat bertindak secara terencana, bukan sekadar reaktif.

  1. Apakah platform identitas Anda mendukung penerapan model hybrid atau on-premises untuk ketahanan operasional dan kepatuhan terhadap ketentuan residensi data?

Otentikasi berbasis cloud saja tanpa failover hibrida mungkin tidak memenuhi persyaratan kelangsungan operasional DORA. Penerapan hibrida semakin menjadi harapan dari pihak regulator.

  1. Apakah platform Anda dapat secara otomatis menghasilkan catatan tinjauan akses, log insiden, dan laporan kepatuhan yang diperlukan untuk DORA, PSD3/PSR1, serta audit regulasi nasional?

Pelaporan kepatuhan secara manual dalam skala besar tidaklah berkelanjutan. Otomatisasi harus menjadi kriteria pemilihan yang jelas saat mengevaluasi platform otentikasi.

RSA ID Plus dirancang agar dapat menjawab "ya" untuk kedelapan pertanyaan tersebut. Jelajahi solusi otentikasi tanpa kata sandi dari RSA atau meminta konsultasi bersama tim keamanan identitas RSA.

Melangkah maju menuju layanan perbankan tanpa kata sandi

Perbankan tanpa kata sandi bukanlah sekadar keputusan terkait satu produk — ini merupakan pergeseran arsitektur yang mencakup metode otentikasi, alur pemulihan akun, dokumentasi regulasi, kontrak pihak ketiga, serta perencanaan kriptografi jangka panjang. Kunci akses FIDO2 menjadi fondasinya: ketahanan terhadap phishing, kriptografi yang kuat dan terikat domain, serta kesesuaian langsung dengan regulasi PSD3/PSR1 dan DORA. Penerapan yang sukses memerlukan perencanaan terkoordinasi di seluruh dimensi tersebut.

RSA telah menerapkan otentikasi tanpa kata sandi FIDO2 di seluruh tenaga kerjanya di seluruh dunia, sambil mendokumentasikan setiap tantangan integrasi, ketergantungan pada sistem lama, dan hambatan dalam manajemen perubahan yang dihadapi selama proses tersebut. Jelajahi fitur tanpa kata sandi dari RSA, baca Studi Kasus Penerapan RSA di Lingkungan Perusahaan, atau meminta konsultasi untuk menilai kesiapan institusi Anda.

Pertanyaan yang Sering Diajukan tentang Layanan Perbankan Tanpa Kata Sandi
Apa itu otentikasi tanpa kata sandi dalam perbankan?

Otentikasi tanpa kata sandi di sektor perbankan menggantikan kata sandi dan rahasia bersama dengan kredensial kriptografi yang mengautentikasi pengguna tanpa mengirimkan data sensitif. Kunci akses FIDO2 menggunakan kriptografi kunci publik-pribadi: kunci pribadi tidak pernah meninggalkan perangkat pengguna; bank memverifikasi tanda tangan kriptografi. Kredensial tersebut terikat pada domain, sehingga menghilangkan phishing dan pengulangan kredensial sebagai vektor serangan.

Bagaimana cara kerja kode sandi FIDO2 dalam konteks perbankan?

Saat pengguna mendaftarkan passkey, perangkat akan menghasilkan sepasang kunci publik-pribadi. Kunci pribadi disimpan dengan aman di perangkat dan tidak pernah diekspor. Selama proses otentikasi, bank mengirimkan tantangan; perangkat menandatanganinya dengan kunci pribadi; bank memverifikasi tanda tangan tersebut menggunakan kunci publik yang tersimpan. Setiap kredensial terikat secara kriptografis dengan domain bank, sehingga tidak dapat digunakan di situs phishing.

Apakah FIDO2 sesuai dengan PSD3 dan PSR1?

FIDO2 dapat memenuhi persyaratan Otentikasi Pelanggan yang Kuat (Strong Customer Authentication) sesuai PSD3/PSR1 jika diterapkan dengan benar. Kunci akses yang terikat pada perangkat (passkeys) atau kunci keamanan perangkat keras memenuhi faktor kepemilikan; sedangkan biometrik atau PIN memenuhi faktor inheren atau pengetahuan. Penggabungan dinamis untuk otorisasi pembayaran dapat diintegrasikan ke dalam alur FIDO2. Bank harus memastikan bahwa implementasi spesifik mereka mencakup baik otentikasi identitas maupun penandatanganan transaksi.

Apa perbedaan antara passkey yang disinkronkan dan passkey yang terikat pada perangkat untuk layanan perbankan?

Kunci akses yang disinkronkan direplikasi di seluruh perangkat melalui ekosistem platform seperti iCloud Keychain atau Google Password Manager, sehingga meningkatkan kemudahan penggunaan dan mendukung pemulihan mandiri. Kunci akses yang terikat perangkat hanya terkait dengan satu perangkat otentikasi dan tidak pernah diekspor, sehingga memberikan jaminan keamanan yang lebih tinggi untuk akses berprivilese, perbankan korporat, atau transaksi bernilai tinggi.

Apa itu otentikasi pasca-kuantum dan mengapa hal ini penting bagi bank?

Otentikasi pasca-kuantum menggunakan algoritma kriptografi yang tahan terhadap serangan komputer kuantum. Sistem FIDO2 saat ini mengandalkan kriptografi kurva eliptik, yang dapat dipecahkan oleh komputer kuantum yang cukup kuat. Ancaman ”kumpulkan data sekarang, dekripsi nanti” berarti penyerang mungkin sudah menyimpan lalu lintas otentikasi terenkripsi untuk didekripsi di masa depan. NIST telah menyelesaikan tiga standar kriptografi pasca-kuantum pada Agustus 2024. Bank-bank sebaiknya memasukkan perencanaan migrasi PQC ke dalam peta jalan otentikasi mereka sekarang.

Bagaimana DORA memengaruhi persyaratan otentikasi perbankan?

DORA mewajibkan lembaga keuangan Uni Eropa untuk menjaga kelangsungan operasional sistem TIK—termasuk layanan otentikasi—selama terjadinya insiden siber. Platform otentikasi harus memenuhi persyaratan Pasal 30 DORA bagi penyedia layanan TIK pihak ketiga, yang mencakup jaminan ketersediaan, batas waktu pemberitahuan insiden, dan hak audit. DORA juga mewajibkan adanya catatan audit yang komprehensif serta rencana kelangsungan bisnis yang telah diuji, yang mencakup ketersediaan sistem otentikasi.

Apa saja perubahan yang terjadi sehubungan dengan PSD3/PSR1 terkait Otentikasi Pelanggan yang Kuat?

PSD3 dan PSR1 memperketat persyaratan SCA dalam PSD2 dengan menetapkan harapan yang jelas terkait otentikasi yang tahan terhadap phishing, peningkatan tanggung jawab bank dalam skenario penipuan di mana metode yang tahan terhadap phishing tersedia namun tidak diterapkan, serta kewajiban penggunaan metode otentikasi alternatif. Jangka waktu transisi diperpanjang hingga tahun 2027 dan 2028.

Apakah solusi otentikasi berbasis cloud dapat memenuhi persyaratan kelangsungan operasional DORA?

Otentikasi berbasis awan dapat memenuhi persyaratan DORA jika platform dan kontraknya sesuai dengan Pasal 30. Lembaga yang hanya mengandalkan otentikasi berbasis awan tanpa sistem failover hibrida mungkin akan kesulitan menunjukkan kelangsungan operasional yang disyaratkan oleh DORA. RSA ID Plus mendukung otentikasi berbasis cloud, hibrida, dan di lokasi (on-premises) dari satu platform tunggal, dengan sistem failover hibrida yang memastikan layanan otentikasi tetap tersedia jika konektivitas cloud terputus.

Minta Demo

Dapatkan Demo