Passkeys FSA Jepang: Dorongan untuk MFA Tahan Phishing (2026)

1. Pendahuluan: Mengapa halaman FSA 16 April 2026 penting#

Halaman FSA Jepang 16 April 2026 penting karena secara publik mengalihkan target dari MFA umum ke autentikasi tahan phishing. Halaman tersebut menyebutkan passkeys dan PKI sebagai contoh pilihan, menolak email dan SMS OTP sebagai perlindungan yang cukup terhadap phishing modern, dan mengubah diskusi kepatuhan khusus industri menjadi sinyal pasar yang berhadapan langsung dengan konsumen.

Pengumuman FSA Jepang pada 16 April 2026 sekilas terlihat sederhana. Ini bukanlah undang-undang baru. Ini juga bukan tindakan penegakan hukum langsung. Ini tidak menerbitkan tenggat waktu kepatuhan yang baru. Alih-alih, ini memperkenalkan kampanye publik dengan brosur dan poster yang dapat diunduh.

Apa yang dilakukan oleh Badan Layanan Keuangan (FSA) di sini adalah memindahkan percakapan dari saluran industri/regulator ke ranah publik. Regulator tidak lagi sekadar memberi tahu bank, pialang, dan asosiasi perdagangan untuk memperkuat autentikasi. Mereka kini memberi tahu pengguna biasa bahwa:

• autentikasi hanya dengan kata sandi adalah lemah,
• email dan SMS OTP tidak lagi memadai,
• pengguna sebaiknya memilih MFA tahan phishing, dan
• passkeys serta autentikasi PKI adalah arah yang benar.

Itu adalah perubahan besar dalam nada penyampaian. Dan dalam industri yang sangat diatur seperti perbankan, nada penyampaian sering kali menjadi tekanan implementasi jauh sebelum teks aturan formal berikutnya muncul.

Kampanye publik ini juga tidak muncul secara tiba-tiba. Dalam PDF pengarahan berbahasa Inggris Juni 2025 miliknya, FSA telah memperingatkan bahwa autentikasi hanya ID/kata sandi itu rentan dan bahwa kata sandi sekali pakai (OTP) yang dikirim melalui email atau SMS tidak cukup efektif terhadap phishing. Sementara itu, liputan industri pada akhir 2025 menggambarkan pasar Jepang dengan 64 organisasi FIDO Japan Working Group dan 50+ penyedia passkeys yang aktif atau direncanakan, mengindikasikan bahwa momentum penyebaran sudah nyata sebelum kampanye publik April 2026 (liputan CNET Japan). Untuk pandangan yang lebih luas tentang bagaimana bank, platform, dan regulator Jepang telah beralih ke tanpa kata sandi (passwordless), lihat ikhtisar passkeys di Jepang kami.

2. Apa yang sebenarnya dipublikasikan FSA pada 16 April 2026#

Halaman 16 April adalah paket kampanye publik yang terkoordinasi, bukan sekadar rilis pers tunggal. Ini menggabungkan 9 aset yang dapat digunakan kembali (5 brosur PDF dan 4 video promosi), menyelaraskan bank, kelompok sekuritas, dan kepolisian di seputar pesan yang sama, serta memberi tahu konsumen bahwa MFA tahan phishing harus menggantikan ketergantungan pada kata sandi plus OTP untuk aktivitas keuangan berisiko tinggi.

Halaman resmi tersebut menautkan 5 brosur PDF, yang diatur sebagai ikhtisar ditambah versi terperinci dari dua tema (MFA tahan phishing dan kesadaran email phishing):

• Ikhtisar (概要版)
• MFA tahan phishing, ikhtisar
• MFA tahan phishing, terperinci
• Kesadaran email phishing, ikhtisar
• Kesadaran email phishing, terperinci

Selain PDF, halaman ini mempromosikan 4 video promosi dengan dua tema yang sama, diproduksi dalam format drama maupun manga sehingga kampanye dapat menjangkau berbagai kelompok usia dan konteks membaca, tidak hanya pembaca kebijakan.

Kampanye ini diposisikan sebagai upaya bersama oleh FSA dengan:

• asosiasi perbankan berskala nasional,
• bank shinkin,
• koperasi kredit,
• bank pekerja (labor banks),
• kelompok industri sekuritas, dan
• Badan Kepolisian Nasional.

Keluasan jangkauan ini penting. Ini bukan sekadar peringatan khusus untuk sekuritas. Ini adalah pesan terkoordinasi di seluruh ekosistem keuangan ritel Jepang.

2.1 Pesan kebijakan utama#

Istilah kunci yang digunakan dalam kampanye ini adalah フィッシングに耐性のある多要素認証, yang berarti MFA tahan phishing (phishing-resistant multi-factor authentication).

Brosur tersebut menjelaskan bahwa autentikasi lama telah tertinggal di belakang model ancaman saat ini:

• kata sandi dapat di-phishing atau digunakan kembali,
• email / SMS OTP dapat dicuri secara real-time,
• malware dapat memantau atau memanipulasi sesi pengguna, dan
• situs palsu dapat meniru merek asli dengan sangat mirip sehingga pemeriksaan visual bukan lagi pertahanan yang andal.

Kampanye tersebut kemudian menyajikan dua contoh utama dari autentikasi yang lebih kuat:

1. Passkeys
2. Autentikasi berbasis PKI

Bagian kedua itu penting. Jepang tidak membingkai ini murni sebagai "semua orang harus menggunakan passkeys." Regulator membingkai hasil yang diinginkan sebagai autentikasi tahan phishing, dan passkeys adalah salah satu cara tingkat konsumen yang paling jelas untuk mencapainya.

Untuk membuat pembedaan itu menjadi konkret, pembingkaian FSA secara implisit memisahkan metode autentikasi seperti ini:

2.2 Kampanye ini juga bersifat perilaku#

Materi kampanye tidak hanya berfokus pada teknologi autentikasi. Mereka juga memberi tahu pengguna untuk:

• menghindari masuk (login) dari tautan di dalam email atau SMS,
• menggunakan markah buku (bookmarks) atau aplikasi resmi,
• tidak memercayai layar yang tidak dikenal dan permintaan yang tidak biasa,
• memilih toko aplikasi resmi, dan
• berhati-hati terhadap instruksi peramban (browser) yang aneh, seperti pintasan papan tik yang tidak terduga.

Dengan kata lain, FSA tidak berpura-pura bahwa teknologi autentikasi saja yang akan menyelesaikan seluruh masalah. Mereka memasangkan tindakan penanggulangan teknis dengan kebersihan (hygiene) perilaku.

3. Apa yang baru di sini, dan apa yang tidak#

Halaman 16 April ini baru karena mengubah pembingkaian publik, bukan karena ia menciptakan undang-undang baru yang berdiri sendiri. Perkembangan nyatanya adalah bahwa regulator Jepang kini secara terbuka menjelaskan mengapa passkeys dan PKI lebih baik daripada alur kata sandi plus OTP, memberikan institusi keuangan perlindungan yang lebih kuat untuk merancang ulang autentikasi seputar ketahanan terhadap phishing.

3.1 Apa yang sebenarnya baru#

Halaman 16 April ini merupakan hal baru dalam setidaknya empat hal:

3.1.1 Passkeys kini menjadi bagian dari kosa kata publik regulator#

Banyak regulator berbicara tentang MFA secara abstrak. FSA Jepang melakukan sesuatu yang lebih konkret: mereka memberi tahu publik bahwa passkeys adalah pertahanan yang lebih kuat terhadap phishing dan peniruan identitas daripada pola masuk lama.

Hal itu penting karena penamaan di depan publik akan mengubah keputusan produk. Setelah regulator menyebutkan passkeys secara publik, institusi keuangan dapat menjustifikasi investasi secara internal dengan lebih mudah:

• tim kepatuhan dapat mengutip pernyataan regulator,
• tim risiko dapat menghubungkan passkeys secara langsung dengan pengurangan kerugian akibat phishing,
• tim produk dapat memosisikan passkeys sebagai sejalan dengan panduan resmi, bukan sekadar proyek inovasi opsional.

3.1.2 FSA secara publik menurunkan kelas OTP#

Ini bukanlah implikasi yang halus. Materi tersebut menyatakan bahwa OTP yang dikirimkan melalui email atau SMS masih dapat digagalkan oleh:

• phishing real-time,
• intersepsi man-in-the-middle, dan
• pencurian berbantuan malware.

Itu lebih kuat dari sekadar catatan praktik terbaik yang umum yang mengatakan bahwa OTP itu "kurang aman". Ini adalah regulator yang memberi tahu publik bahwa MFA berbasis OTP tidak memberikan ketahanan terhadap phishing yang berarti.

3.1.3 Pesan ini bersifat lintas sektor#

Jepang tidak membatasi ini pada satu vertikal saja. Bank, pialang, dan pelaku keuangan lainnya merupakan bagian dari sinyal publik yang sama. Ini meningkatkan peluang normalisasi ekosistem yang lebih luas:

• bank dapat melatih pengguna untuk mengharapkan login yang lebih kuat,
• pialang dapat menjadikan autentikasi yang lebih kuat sebagai bawaan (default) untuk tindakan berisiko tinggi,
• pengguna akan menemukan bahasa yang serupa di berbagai institusi, alih-alih penjelasan yang saling bertentangan.

3.1.4 FSA mengedukasi konsumen secara langsung#

Ini adalah poin yang paling penting.

Ada perbedaan besar antara:

• regulator yang memberi tahu institusi keuangan apa yang harus mereka terapkan, dan
• regulator yang memberi tahu pelanggan seperti apa rupa autentikasi yang aman saat ini.

Langkah kedua ini mengurangi risiko politis dan UX dari peluncuran. Sebuah bank atau pialang kini dapat mengatakan: "Ini bukan hanya ide kami; ini adalah arah yang sedang dipromosikan oleh regulator itu sendiri."

3.2 Apa yang tidak baru#

Halaman tersebut tidak dengan sendirinya menciptakan:

• mandat baru yang berdiri sendiri,
• tenggat waktu implementasi yang baru,
• spesifikasi teknis terperinci untuk passkeys,
• deklarasi bahwa passkeys adalah satu-satunya teknologi yang dapat diterima, atau
• daftar sanksi yang terkait langsung dengan kampanye ini.

Pembedaan ini penting karena banyak pembaca akan melebih-lebihkan pengumuman ini sebagai "Jepang baru saja mewajibkan passkeys". Itu tidak cukup tepat.

Pemahaman yang lebih baik adalah:

Hal itu penting secara strategis meskipun ini bukanlah aturan baru itu sendiri.

4. Mengapa FSA benar dengan berfokus pada MFA tahan phishing alih-alih MFA umum#

FSA mengambil langkah yang benar karena MFA umum masih menyisakan jalur penipuan (fraud) utama yang utuh. Kata sandi ditambah OTP sekadar menambah satu lagi rahasia yang dapat digunakan kembali, sedangkan MFA tahan phishing mengubah protokolnya sehingga situs palsu tidak dapat menyelesaikan autentikasi bahkan ketika pengguna tertipu untuk mencobanya.

4.1 OTP memecahkan masalah masa lalu#

SMS dan email OTP dirancang untuk mempersulit replay kredensial. Keduanya berfungsi terhadap beberapa pola serangan lama, tetapi penyerang modern tidak perlu memutar ulang (replay) kode beberapa jam kemudian. Mereka mencurinya secara real-time. Hal ini menjadi lebih penting di pasar yang tingkat penggunaan kembali kata sandi di Jepang masih sangat tinggi, yang berarti faktor pertama sering kali telah disusupi sebelum langkah OTP itu sendiri dimulai.

Itulah masalah utama pada phishing real-time:

1. Korban mendarat di situs palsu.
2. Korban memasukkan nama pengguna dan kata sandi.
3. Penyerang meneruskan kredensial tersebut ke situs yang asli.
4. Situs yang asli meminta OTP.
5. Situs palsu meminta OTP dari korban.
6. Penyerang segera menggunakannya untuk menyelesaikan login yang sebenarnya.

Dalam alur kerja tersebut, OTP tidak menghentikan penyerang. Itu hanya menjadi rahasia lain yang dapat diperdaya agar diungkapkan oleh korban.

4.2 Passkeys mengubah model kepercayaan#

Passkeys bekerja secara berbeda karena keduanya terikat pada asal (origin-bound). Kredensial tersebut hanya dapat digunakan pada situs sah yang terkait dengan relying party dari passkey tersebut. Dasar teknis untuk perilaku ini terdapat di dalam spesifikasi W3C WebAuthn dan dokumentasi passkey FIDO Alliance, yang keduanya mendeskripsikan model tantangan-tanggapan (challenge-response) terikat-situs yang mencegah domain palsu menggunakan kembali kredensial yang dibuat untuk domain aslinya.

Itu berarti domain palsu tidak dapat sekadar meminta pengguna untuk "mengetikkan passkey" sebagaimana ia meminta kata sandi atau OTP. Tidak ada hal yang dapat digunakan kembali untuk diketik, dan peramban / sistem operasi akan memeriksa konteks situs sebelum autentikasi dapat dilanjutkan.

Inilah sebabnya mengapa passkeys merupakan pusat dari autentikasi tahan phishing:

• tidak ada rahasia bersama (shared secret) yang perlu dimasukkan kembali,
• pengguna tidak diminta untuk mentransmisikan kode yang dapat digunakan kembali secara manual,
• kunci privat tidak pernah meninggalkan perangkat pengguna, dan
• autentikator terikat pada asal (origin) yang sah.

Ini jugalah sebabnya kampanye 16 April itu penting. FSA tidak hanya mengatakan "gunakan MFA yang lebih baik." Mereka menunjuk pada metode autentikasi yang mana situs phishing akan gagal pada lapisan protokol alih-alih meminta pengguna untuk mendeteksi penipuan secara manual.

4.3 PKI juga penting#

Kampanye Jepang juga menyoroti PKI dan secara eksplisit menyebutkan bahwa kredensial kartu My Number dapat digunakan dalam konteks autentikasi.

Itu bukanlah suatu kebetulan. Jepang memiliki sejarah institusional yang lebih dalam terkait model identitas berorientasi sertifikat dibandingkan banyak pasar konsumen Barat. Sehingga keadaan akhir (end-state) Jepang kemungkinan bukanlah "hanya passkeys". Hal itu lebih mendekati:

• passkeys untuk aktivitas konsumen arus utama (mainstream) dan peningkatan keamanan (step-up),
• PKI / autentikasi berbasis sertifikat untuk jaminan yang lebih kuat atau kasus identitas layaknya sektor publik,
• dan preferensi peraturan yang lebih luas untuk hasil tahan phishing.

Bagi tim produk, itu berarti perbandingan strategis yang tepat bukanlah "passkeys vs kata sandi". Ini lebih menyerupai:

• passkeys vs email/SMS OTP untuk login konsumen,
• passkeys vs token perangkat lunak dalam aplikasi untuk UX perbankan,
• passkeys vs PKI untuk lapisan jaminan dan pemeriksaan identitas (identity proofing).

5. Mengapa 16 April menjadi lebih penting dalam konteks arah regulasi Jepang sebelumnya#

16 April menjadi penting karena ia mengubah tren pengawasan menjadi norma publik. Setelah FSA menghabiskan tahun 2025 dengan memperingatkan bahwa autentikasi yang hanya menggunakan kata sandi dan sangat bergantung pada OTP adalah terlalu lemah, kampanye April 2026 memberi tahu konsumen secara langsung seperti apa seharusnya penggantinya: MFA tahan phishing menggunakan passkeys, PKI, atau keduanya.

Menjelang tahun 2025 dan awal tahun 2026, sektor keuangan Jepang sudah bergerak menuju pengendalian yang lebih kuat pasca insiden pembobolan akun (account compromise) terkait phishing di sekuritas dan layanan keuangan daring lainnya. Latar belakangnya adalah serangkaian insiden pelanggaran data (data breaches) terkemuka di Jepang yang telah mempertahankan pengambilalihan akun dan pencurian kredensial di dalam agenda regulasi. Dalam materi FSA terkait dan komentar selanjutnya seputar perubahan panduan, regulator membuat pembedaan yang lebih tajam antara:

• "beberapa jenis MFA", dan
• MFA tahan phishing.

Perbedaan itulah segalanya.

MFA umum masih dapat membuat pengguna rentan terhadap:

• pencurian OTP,
• penerusan (forwarding) ke situs palsu,
• kelelahan akan dorongan (push fatigue) / penyalahgunaan persetujuan,
• endpoint yang disusupi,
• alur pemulihan (recovery flows) yang lemah.

Sebaliknya, MFA tahan phishing secara eksplisit berupaya memblokir jalur inti penipuan alih-alih sekadar menambahkan rintangan lainnya. Kampanye 16 April karenanya paling baik dipandang sebagai operasionalisasi publik atas arah yang lebih besar yang telah terbentuk di Jepang:

• layanan keuangan tidak boleh sekadar menambahkan lebih banyak friksi,
• mereka harus beralih ke metode autentikasi yang mematahkan keekonomisan dari phishing.

Secara sekilas, progres ini berjalan melintasi empat tonggak sejarah (milestones) dalam waktu kurang dari satu tahun:

Dengan sumbernya, progres yang sama dibaca sebagai berikut:

• Juni 2025: ringkasan isu berbahasa Inggris FSA menyatakan bahwa autentikasi hanya kata sandi adalah lemah dan bahwa email / SMS OTP tidak cukup efektif terhadap phishing.
• 15 Juli 2025: draf panduan JSDA mendorong penggunaan MFA tahan phishing untuk aktivitas sekuritas yang sensitif seperti login, penarikan dana, dan perubahan akun bank.
• Akhir 2025: pelaporan pasar menggambarkan adanya 50+ penyedia passkeys dan 64 organisasi FIDO Japan Working Group di Jepang (CNET Japan).
• 16 April 2026: kampanye publik FSA membawa pesan tahan phishing yang sama langsung kepada konsumen.

Dalam artian, halaman tersebut bukanlah sekadar "pemasaran kesadaran (awareness marketing)" seperti yang terlihat. Ini merupakan wajah publik dari pergeseran regulasi dan ekosistem yang lebih dalam.

6. Apa artinya ini bagi bank, pialang, dan perusahaan tekfin di Jepang#

Institusi keuangan Jepang sebaiknya memperlakukan kampanye 16 April ini sebagai ekspektasi minimum yang ditingkatkan untuk login, pemulihan, dan tindakan akun berisiko tinggi. Begitu regulator secara terbuka menyatakan bahwa email dan SMS OTP tidak cukup efektif, MFA yang sangat bergantung pada opsi mundur (fallback) yang lemah menjadi lebih sulit untuk dipertahankan dari perspektif penipuan, produk, maupun pengawasan.

6.1 "MFA tersedia" tidak lagi memadai#

Menawarkan SMS OTP sebagai opsi mundur sembari memasarkan pengalamannya sebagai "MFA aman" kini menjadi semakin sulit untuk dipertahankan. Pesan publik dari regulator kini membuat pembedaan yang lebih menuntut: MFA tahan phishing harus menjadi tujuannya. Pekerjaan industri yang lebih luas terkait kewajiban MFA dengan passkeys mengarah ke tujuan yang sama.

Itu berarti organisasi perlu mengevaluasi:

• di mana SMS/email OTP masih ada,
• alur mana yang berisiko tinggi,
• apakah passkeys opsional atau benar-benar dianjurkan,
• seberapa besar ketergantungan yang tersisa pada metode fallback yang rentan di-phishing.

6.2 Alur berisiko tinggi memerlukan perlakuan khusus#

Perjalanan (journeys) paling sensitif bukan hanya sekadar login. Dalam praktiknya, institusi harus meninjau setiap permukaan yang rentan terhadap phishing:

• login,
• pembayaran (payout) / penarikan,
• perubahan akun tujuan,
• pemulihan dan pengikatan kembali perangkat (device re-binding),
• perubahan profil dan detail kontak,
• akses API atau agregasi.

Banyak institusi masih melindungi halaman login dengan lebih kuat daripada jalur pemulihan akun. Itu terbalik. Penyerang akan menggunakan rute terlemah yang tersedia.

6.3 Pemulihan menjadi masalah produk yang strategis#

Begitu autentikasi tahan phishing menjadi tolok ukur, pemulihan (recovery) akan menjadi bagian tersulit dalam rancangannya.

Peluncuran passkeys masih dapat gagal secara operasional jika pemulihannya kembali pada alur email yang lemah, rekayasa sosial, atau prosedur dukungan pelanggan yang memperkenalkan kembali langkah-langkah yang rentan phishing. Kampanye FSA Jepang ini tidak memecahkan tantangan desain tersebut, tetapi menjadikannya mustahil untuk diabaikan.

6.4 UX "Akses resmi" harus menjadi bagian dari desain produk#

Satu detail yang kurang dihargai dari brosur-brosur tersebut adalah dorongan menuju penggunaan markah buku (bookmarks) dan aplikasi resmi. Hal itu menyarankan pembelajaran produk yang lebih luas:

• penjenamaan (branding) saja tidak cukup,
• titik masuk (entry points) login itu penting,
• perutean (routing) yang aman itu penting,
• UX anti-phishing adalah bagian dari tumpukan (stack) autentikasi.

Bagi institusi keuangan, ini berarti:

• membuat jalur login berbasis aplikasi menjadi menonjol,
• mengurangi ketergantungan pada tautan (link) dari email,
• menjelaskan dengan jernih di mana akses resmi dimulai,
• memperlakukan kebersihan (hygiene) tautan masuk sebagai bagian dari pencegahan penipuan (fraud).

6.5 Token perangkat lunak tidak sama dengan passkeys#

Beberapa institusi akan meresponsnya dengan memperkuat persetujuan berbasis aplikasi dan menganggap masalah telah terpecahkan. Itu mungkin meningkatkan keamanan, tetapi itu tidaklah setara dengan passkeys.

Mengapa?

• Banyak alur token perangkat lunak (soft-token) kepemilikan yang masih bergantung pada pengguna untuk membedakan situs yang asli dengan situs yang palsu.
• Beberapa alur masih dapat disalahgunakan melalui relai (relay) real-time atau manipulasi persetujuan.
• Pergantian aplikasi (app-switching) dan penanganan kode menambah hambatan (friction) serta kebingungan.

Passkeys menjadi penting karena keduanya mengurangi eksposur phishing sekaligus upaya pengguna.

6.6 Standar bagi pesaing baru saja bergerak#

Begitu FSA mulai mengedukasi konsumen secara langsung, mereka yang tertinggal (laggards) akan menjadi lebih terlihat. Sebuah perusahaan yang masih bergantung pada kata sandi + OTP mungkin akan segera tampak ketinggalan zaman jika dibandingkan dengan para pesaing yang menawarkan:

• passkeys,
• autentikasi terikat-perangkat (device-bound) yang lebih kuat,
• atau pengalaman login tahan phishing yang bermerek (branded) jelas.

Hal itu mengubah lanskap kompetitif, bukan hanya lanskap kepatuhan.

Sebagian besar dari hal ini bukanlah ranah baru. Panduan Passkeys Perusahaan membahas langkah demi langkah melalui penilaian, penyelarasan pemangku kepentingan (stakeholder), integrasi, dan pengujian untuk penyebaran ke konsumen dalam skala besar, serta 10 Kesalahan Penerapan Passkey yang Dilakukan Bank mengompilasi mode kegagalan berulang yang terus-menerus diulangi dalam peluncuran perbankan yang terburu-buru. Apa yang ditambahkan oleh kampanye FSA tersebut adalah urgensi dan dukungan publik, bukan sebuah buku pedoman baru.

7. Apa artinya ini bagi passkeys secara khusus#

Kampanye 16 April Jepang ini membantu passkeys dalam tiga cara konkret: ia membingkai passkeys sebagai kontrol penipuan (fraud) daripada fitur kenyamanan, memperluas alasan internal kepada pemangku kepentingan untuk pelaksanaannya, serta mengajarkan kepada konsumen bahwa passkeys merupakan bagian dari model login keuangan aman yang kini disukai oleh regulator.

7.1 Ini membingkai ulang passkeys sebagai kontrol penipuan, bukan sekadar kenyamanan#

Banyak peluncuran passkeys untuk konsumen dipasarkan sebagai:

• masuk (sign-in) yang lebih mudah,
• tidak ada kata sandi yang perlu diingat,
• login yang lebih cepat.

Pembingkaian FSA jauh lebih tajam:

• passkeys adalah pertahanan terhadap peniruan identitas,
• passkeys membantu memblokir phishing,
• passkeys mengurangi ketergantungan pada rahasia yang dapat digunakan kembali.

Itulah tepatnya bingkai (frame) yang dibutuhkan bank dan pialang secara internal. Anggaran keamanan lebih mudah disetujui untuk pengurangan penipuan (fraud) daripada untuk sekadar kenyamanan semata.

7.2 Ini memperluas audiens passkey di dalam institusi keuangan#

Sebuah proyek autentikasi biasanya harus memenangkan dukungan dari tim:

• produk,
• penipuan (fraud),
• keamanan,
• kepatuhan,
• hukum,
• operasional,
• dan dukungan.

Halaman FSA memberi masing-masing kelompok ini alasan untuk peduli:

• tim penipuan (fraud) melihat adanya pengurangan phishing,
• tim keamanan melihat kriptografi terikat-asal (origin-bound cryptography),
• tim kepatuhan melihat keselarasan (alignment) dengan regulator,
• tim operasional melihat lebih sedikit hambatan terkait OTP,
• tim produk melihat cerita konsumen yang lebih kuat.

7.3 Ini membantu menormalkan passkeys bagi pengguna biasa#

Ini mungkin menjadi dampak yang paling bertahan lama.

Ketika regulator nasional, asosiasi keuangan, dan kepolisian bersama-sama menyajikan passkeys sebagai pertahanan yang direkomendasikan, persepsi pengguna pun berubah. Tim produk tidak perlu lagi memperkenalkan passkeys sebagai fitur baru yang aneh. Mereka dapat memperkenalkannya sebagai metode keamanan di mana ekosistem tersebut sedang menuju kepadanya.

Itu penting karena keberhasilan peluncuran sering kali tidak terlalu bergantung pada kriptografi, tetapi lebih pada apakah pengguna cukup mempercayai alur baru tersebut untuk mengadopsinya.

7.4 Ini memperluas jangkauan audiens passkeys di luar segmen melek teknologi (tech-forward)#

Kampanye FSA ini tidak hanya berlabuh pada aplikasi perbankan yang digunakan oleh konsumen yang melek teknologi. Ini mencakup akun sekuritas, bank pekerja, bank shinkin, dan koperasi kredit, yang merupakan bagian dari sistem keuangan Jepang yang menjadi tumpuan sehari-hari bagi pelanggan yang lebih tua dan tidak terlalu melek teknologi. Ini penting secara strategis untuk passkeys. Begitu para pelanggan ini menjumpai passkeys melalui pialang, bank pekerja, atau koperasi lokal mereka, keakraban akan passkeys menyebar jauh melampaui segmen pengguna awal (early-adopter) dan mulai menjadi normal di seluruh basis pelanggan. Untuk adopsi passkey konsumen di Jepang, dorongan pendorong (tailwind) ini adalah jenis yang tidak dapat dibeli oleh anggaran pemasaran murni mana pun.

Namun, hal ini memiliki dua sisi. Basis demografis yang lebih luas juga berarti variasi perangkat, versi OS, peramban dalam-aplikasi (in-app browsers), dan perilaku pengelola kredensial (credential manager) yang jauh lebih luas daripada yang akan disentuh oleh peluncuran (rollout) melek-teknologi. Di situlah letak kesalahan passkeys aplikasi native yang menjadi masalah tingkat produksi, alih-alih kasus pinggiran (edge case). Bank dan pialang yang merespons sinyal FSA tersebut harus merencanakan keragaman perangkat dan lingkungan aplikasi sejak hari pertama, bukan baru menyadarinya di saat lonjakan permintaan dukungan pelanggan (support surges) pasca-mandat.

8. Apa yang diajarkan oleh pendekatan Jepang ke negara-negara lain#

Jepang menjadi sebuah studi kasus yang berguna karena ia menggabungkan pengawasan, pendidikan publik, dan penerapan (deployment) ekosistem secara berurutan. Pasar lain sering kali merevisi panduan tanpa menjelaskan model keamanan yang baru kepada pengguna, sehingga memperlambat adopsi dan membuat autentikasi yang lebih kuat tampak seperti friksi (hambatan) produk yang terisolasi daripada peningkatan sistem secara keseluruhan.

8.1 Kampanye publik dapat mempercepat migrasi teknis#

Banyak regulator yang merevisi panduannya namun tidak melakukan pendidikan publik. Jepang menunjukkan pola yang berbeda:

1. tekanan penipuan (fraud) meningkat,
2. arah pengawasan mengeras,
3. regulator mulai menyebutkan secara terbuka tentang metode tahan phishing,
4. pelaku ekosistem mendapatkan pelindung untuk meluncurkannya dengan lebih cepat.

Urutan itu dapat mengurangi hambatan dalam peluncuran dengan cara yang sering kali tidak dapat dilakukan oleh sekadar teks kebijakan murni.

8.2 Targetnya haruslah ketahanan terhadap phishing, bukan hanya penggantian OTP#

Beberapa negara terlalu sempit berfokus pada "ganti SMS OTP". Itu membantu, tetapi ini belum lengkap.

Kampanye Jepang dibingkai dengan lebih baik karena kampanye tersebut mengajukan pertanyaan yang lebih mendasar:

Itulah tes yang tepat.

8.3 Autentikasi konsumen pada akhirnya mungkin menjadi gabungan (hybrid)#

Penekanan Jepang yang simultan pada passkeys maupun PKI menyiratkan kebenaran yang lebih luas yang akan ditemukan kembali oleh banyak pasar:

• passkeys sangat baik untuk adopsi konsumen massal,
• PKI tetap penting untuk identitas dengan tingkat jaminan yang tinggi (high-assurance identity),
• ekosistem terkuat akan menggabungkan keduanya, alih-alih memaksakan satu teknologi untuk melakukan semuanya.

Hal ini secara khusus relevan di sektor-sektor yang diatur dengan program identitas digital nasional.

9. Peta jalan praktis bagi tim yang merespons sinyal ini#

Respons yang tepat terhadap sinyal 16 April ini adalah migrasi bertahap, bukan program penggantian yang terburu-buru. Tim sebaiknya terlebih dahulu memetakan perjalanan (journeys) mana saja yang rentan phishing, lalu memutuskan di mana passkeys akan langsung cocok, di mana PKI atau pengikatan identitas yang lebih kuat masih diperlukan, dan bagaimana pemulihan dapat didesain ulang tanpa menciptakan kembali pengecualian-pengecualian yang lemah dan ramah-phishing.

9.1 Langkah 1: petakan semua permukaan autentikasi yang rentan phishing#

Mulailah dengan:

• login,
• pemulihan (recovery),
• perubahan akun,
• konfirmasi transaksi,
• perubahan akun yang terhubung,
• titik masuk (entry points) melalui tautan email,
• proses pengabaian (override) call center.

9.2 Langkah 2: identifikasi di mana passkeys langsung cocok#

Passkeys sering kali merupakan keuntungan (win) paling jelas untuk:

• login ritel,
• reautentikasi (reauthentication) yang sering,
• perjalanan web/aplikasi pihak pertama (first-party),
• sesi peramban (browser) konsumen.

9.3 Langkah 3: putuskan di mana PKI atau pengikatan identitas yang lebih kuat masih dibutuhkan#

Beberapa alur mungkin memerlukan:

• bukti identitas yang didukung sertifikat,
• pengikatan ID nasional (national ID binding),
• jaminan yang lebih kuat terkait perubahan sensitif,
• kontrol organisasional atau perangkat keras di luar passkeys konsumen.

9.4 Langkah 4: rancang ulang pemulihan sebelum memaksa pengguna untuk mengadopsinya#

Jangan meluncurkan autentikasi yang kuat tanpa merancang pemulihan (recovery) yang kuat pula. Jika tidak, organisasi hanya akan menciptakan kembali solusi alternatif (workarounds) yang rentan phishing melalui prosedur dukungan dan pengecualian.

9.5 Langkah 5: ajari pengguna tentang bagaimana cara kerja akses resmi#

Pesan FSA untuk "gunakan markah buku (bookmarks) / gunakan aplikasi resmi" harus menjadi bagian dari pengenalan (onboarding) dan dukungan pelanggan:

• tunjukkan rute yang aman,
• jelaskan mengapa tautan (link) untuk login berisiko,
• buat agar rute (jalur) akses resmi tersebut mudah diingat,
• kurangi ketergantungan pada pintasan kenyamanan yang tidak aman.

10. Kesimpulan#

16 April 2026 bukanlah hari di mana Jepang secara hukum mewajibkan penggunaan passkeys. Itu adalah hari di mana FSA menjadikan autentikasi tahan phishing sebagai ekspektasi publik, secara publik menurunkan kelas (downgraded) keamanan berbasis OTP, serta memberikan sinyal yang jauh lebih jelas kepada bank, pialang, dan perusahaan fintech bahwa tujuan jangka panjangnya adalah passkeys, PKI, dan model login non-phishing lainnya.

Halaman FSA Jepang tanggal 16 April 2026 tidak boleh disalahartikan sebagai "Jepang secara hukum mewajibkan passkeys hari ini." Bukan itu yang terjadi.

Namun, mengabaikannya sebagai sekadar halaman edukasi biasa juga akan sama salahnya.

Apa yang terjadi ini jauh lebih penting secara strategis:

• regulator tersebut secara publik memberi tahu konsumen bahwa alur berbasis hanya-kata sandi dan OTP sudah tidak lagi memadai,
• mereka menyebutkan passkeys dan PKI sebagai contoh autentikasi yang lebih kuat,
• mereka menyelaraskan pesan tersebut di seluruh asosiasi keuangan dan kepolisian,
• dan mereka mendorong percakapan pasar dari sekadar MFA umum menjadi autentikasi tahan phishing.

Itulah jenis sinyal pasti yang akan mengubah prioritas peta jalan di layanan keuangan.

Bagi Jepang, hal ini memperkuat alasan agar penerapan passkeys dilakukan lebih luas di berbagai bank, pialang, dan fintech. Bagi seluruh dunia lainnya, ini adalah sebuah contoh jelas tentang bagaimana seorang regulator dapat melakukan hal yang lebih dari sekadar menetapkan aturan: mereka dapat membentuk kembali narasi autentikasi itu sendiri.

Jika ada satu hal yang bisa diambil sebagai kesimpulan, maka hal itu adalah:

Keadaan masa depan bukanlah "lebih banyak MFA". Keadaan masa depan adalah autentikasi tahan phishing. FSA Jepang kini menyatakannya secara lantang.

Tentang Corbado#

FSA Jepang telah secara terbuka menurunkan tingkat kelas (downgraded) keamanan kata sandi plus OTP, tetapi penyebutan passkeys oleh regulator hanyalah separuh dari pekerjaannya. Bank dan pialang masih harus menghentikan opsi mundur (fallbacks) yang rentan phishing pada seluruh perangkat yang terfragmentasi tanpa membuat penggunanya terkunci di luar sistem.

Corbado merupakan platform analitik passkeys untuk tim CIAM tingkat perusahaan (enterprise). Platform ini menambahkan kontrol analitik dan peluncuran (rollout) passkeys di atas IDP Anda yang sudah ada, sehingga berbagai institusi yang memenuhi tolok ukur MFA tahan phishing dari FSA tersebut dapat menghapus SMS dan email OTP secara bertahap dengan visibilitas tingkat-audit serta sakelar pemutus (kill switches) pada tingkat perangkat (device-level), dan bukannya dengan mandat buta (blind mandates).

Lihat bagaimana berbagai institusi keuangan Jepang dapat meluncurkan MFA tahan phishing tanpa harus mengunci seluruh pengguna dari terminalnya. → Hubungi pakar passkey

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

FAQ#

Apakah FSA Jepang mewajibkan passkeys pada 16 April 2026?#

Tidak. Halaman tanggal 16 April 2026 tersebut adalah kampanye kesadaran publik, bukan teks aturan yang berdiri sendiri. Hal yang membuatnya penting adalah bahwa Badan Layanan Keuangan (FSA) secara terbuka dan eksplisit mempromosikan autentikasi multi-faktor tahan phishing, menyoroti passkeys dan PKI sebagai contoh, serta menyelaraskan pesan tersebut dengan bank, perusahaan sekuritas, dan Badan Kepolisian Nasional.

Mengapa FSA mengatakan bahwa email dan SMS OTP tidak lagi memadai?#

Materi kampanye menjelaskan bahwa OTP yang dikirim melalui email atau SMS masih dapat dielakkan melalui phishing real-time, serangan man-in-the-middle, dan malware. Dengan kata lain, menambahkan kode tidaklah cukup jika penyerang dapat menipu pengguna agar memasukkannya di situs palsu atau mencurinya dari endpoint.

Apakah passkeys satu-satunya opsi tahan phishing yang diterima di sektor keuangan Jepang?#

Tidak. Materi kampanye FSA menyajikan passkeys dan autentikasi berbasis PKI sebagai dua contoh utama dari MFA tahan phishing. Ini berarti passkeys sangat diunggulkan, tetapi arah regulasi yang lebih luas adalah pada hasil autentikasi tahan phishing, bukan pada satu teknologi konsumen yang wajib.

Mengapa 16 April 2026 penting jika panduan pengawasan Jepang telah bergeser lebih awal?#

Karena ini menandai pergeseran dari sinyal regulator-ke-industri menjadi sinyal regulator-ke-publik. Setelah FSA mulai memberi tahu konsumen secara langsung bahwa passkeys dan PKI melindungi mereka dengan lebih baik daripada kata sandi ditambah OTP, bank dan pialang Jepang memperoleh dukungan yang lebih kuat untuk merancang ulang autentikasi pelanggan seputar metode yang tahan phishing.