---
url: 'https://www.corbado.com/id/blog/japan-fsa-passkeys-phishing-resistant-mfa'
title: 'Passkeys FSA Jepang: Dorongan untuk MFA Tahan Phishing (2026)'
description: 'Pelajari apa arti kampanye FSA Jepang pada 16 April 2026 tentang passkeys, MFA tahan phishing, penggantian SMS OTP, dan strategi autentikasi layanan keuangan.'
lang: 'id'
author: 'Vincent Delitz'
date: '2026-05-20T09:56:16.102Z'
lastModified: '2026-05-20T09:58:24.113Z'
keywords: 'passkeys FSA Jepang, MFA tahan phishing Jepang, autentikasi tahan phishing FSA Jepang, passkeys regulator keuangan Jepang, penggantian SMS OTP Jepang, passkeys perbankan Jepang 2026, passkeys badan layanan keuangan Jepang, 金融庁 パスキー 認証, フィッシングに耐性のある多'
category: 'Passkeys Strategy'
---

# Passkeys FSA Jepang: Dorongan untuk MFA Tahan Phishing (2026)

## Key Facts

- Pada **16 April 2026**, **Badan Layanan Keuangan (FSA)** Jepang meluncurkan
  **kampanye kesadaran publik** bersama bank, asosiasi sekuritas, dan **Badan Kepolisian
  Nasional** terkait **MFA tahan phishing**, secara eksplisit menyebutkan **passkeys**
  dan **PKI** sebagai opsi yang lebih kuat daripada alur kata sandi lama.
- Kampanye ini menyediakan **5 brosur PDF resmi** yang mencakup MFA tahan phishing dan
  kesadaran email phishing, ditambah **4 video promosi** yang diproduksi dalam format
  drama dan manga, menunjukkan bahwa pesan tersebut ditujukan untuk penggunaan publik yang
  luas di seluruh ekosistem keuangan, tidak hanya untuk audiens kebijakan yang terbatas.
- Materi kampanye menyebutkan bahwa **email dan SMS OTP tidak cukup efektif** terhadap
  **phishing real-time**, **serangan man-in-the-middle**, dan **malware**, yang
  merupakan pernyataan publik yang jauh lebih kuat daripada sekadar saran umum "gunakan
  MFA".
- Halaman tersebut **bukanlah undang-undang baru atau tenggat waktu yang berdiri
  sendiri**, tetapi ini masih merupakan sinyal besar: ini menunjukkan bahwa regulator
  Jepang kini secara terbuka membingkai target sasarannya sebagai **autentikasi tahan
  phishing**, bukan sekadar "lebih banyak MFA".
- Pada akhir 2025, laporan industri menggambarkan **FIDO Japan Working Group** Jepang
  memiliki **64 organisasi** dengan **50+ penyedia passkeys** yang aktif atau
  direncanakan, menunjukkan bahwa FSA sedang memperkuat pasar yang sudah berakselerasi
  alih-alih memperkenalkan konsep teoretis semata.
- Jepang kemungkinan akan beralih ke **model dua jalur** untuk autentikasi keuangan
  berisiko tinggi: **passkeys ramah konsumen** di satu sisi dan **autentikasi berbasis
  sertifikat / PKI** di sisi lain, termasuk potensi penggunaan kredensial **kartu My
  Number**.

## 1. Pendahuluan: Mengapa halaman FSA 16 April 2026 penting

Halaman FSA Jepang 16 April 2026 penting karena secara publik mengalihkan target dari MFA
umum ke autentikasi tahan [phishing](https://www.corbado.com/glossary/phishing). Halaman tersebut menyebutkan
passkeys dan PKI sebagai contoh pilihan, menolak email dan SMS OTP sebagai perlindungan
yang cukup terhadap [phishing](https://www.corbado.com/glossary/phishing) modern, dan mengubah diskusi
kepatuhan khusus industri menjadi sinyal pasar yang berhadapan langsung dengan konsumen.

[Pengumuman FSA](https://www.fsa.go.jp/news/r7/sonota/20260416-2/20260416-2.html) Jepang
pada 16 April 2026 sekilas terlihat sederhana. Ini bukanlah undang-undang baru. Ini juga
bukan tindakan penegakan hukum langsung. Ini tidak menerbitkan tenggat waktu kepatuhan
yang baru. Alih-alih, ini memperkenalkan kampanye publik dengan brosur dan poster yang
dapat diunduh.

Apa yang dilakukan oleh **Badan Layanan Keuangan (FSA)** di sini adalah **memindahkan
percakapan dari saluran industri/regulator ke ranah publik**. Regulator tidak lagi sekadar
memberi tahu bank, pialang, dan asosiasi perdagangan untuk memperkuat autentikasi. Mereka
kini memberi tahu pengguna biasa bahwa:

- autentikasi hanya dengan kata sandi adalah lemah,
- email dan SMS OTP tidak lagi memadai,
- pengguna sebaiknya memilih **MFA tahan phishing**, dan
- **passkeys** serta **autentikasi PKI** adalah arah yang benar.

Itu adalah perubahan besar dalam nada penyampaian. Dan dalam industri yang sangat
diatur seperti [perbankan](https://www.corbado.com/passkeys-for-banking), nada penyampaian sering kali menjadi
tekanan implementasi jauh sebelum teks aturan formal berikutnya muncul.

Kampanye publik ini juga tidak muncul secara tiba-tiba. Dalam
[PDF pengarahan berbahasa Inggris Juni 2025](https://www.fsa.go.jp/en/press_releases/issues/202506/02.pdf)
miliknya, FSA telah memperingatkan bahwa **autentikasi hanya ID/kata sandi** itu rentan
dan bahwa **kata sandi sekali pakai (OTP) yang dikirim melalui email atau SMS tidak cukup
efektif terhadap phishing**. Sementara itu, liputan industri pada akhir 2025 menggambarkan
pasar Jepang dengan **64 organisasi FIDO Japan Working Group** dan **50+ penyedia
passkeys** yang aktif atau direncanakan, mengindikasikan bahwa momentum penyebaran sudah
nyata sebelum kampanye publik April 2026
([liputan CNET Japan](https://japan.cnet.com/article/35241293/)). Untuk pandangan yang
lebih luas tentang bagaimana bank, platform, dan regulator Jepang telah beralih ke tanpa
kata sandi (passwordless), lihat [ikhtisar passkeys di Jepang](https://www.corbado.com/blog/passkeys-japan-overview)
kami.

## 2. Apa yang sebenarnya dipublikasikan FSA pada 16 April 2026

Halaman 16 April adalah paket kampanye publik yang terkoordinasi, bukan sekadar rilis
pers tunggal. Ini menggabungkan 9 aset yang dapat digunakan kembali (5 brosur PDF dan 4
video promosi), menyelaraskan bank, kelompok sekuritas, dan kepolisian di seputar pesan
yang sama, serta memberi tahu konsumen bahwa MFA tahan phishing harus menggantikan
ketergantungan pada kata sandi plus OTP untuk aktivitas keuangan berisiko tinggi.

Halaman resmi tersebut menautkan **5 brosur PDF**, yang diatur sebagai ikhtisar ditambah
versi terperinci dari dua tema (MFA tahan phishing dan kesadaran email phishing):

- [Ikhtisar (概要版)](https://www.fsa.go.jp/news/r7/sonota/20260416-2/01.pdf)
- [MFA tahan phishing, ikhtisar](https://www.fsa.go.jp/news/r7/sonota/20260416-2/02.pdf)
- [MFA tahan phishing, terperinci](https://www.fsa.go.jp/news/r7/sonota/20260416-2/03.pdf)
- [Kesadaran email phishing, ikhtisar](https://www.fsa.go.jp/news/r7/sonota/20260416-2/04.pdf)
- [Kesadaran email phishing, terperinci](https://www.fsa.go.jp/news/r7/sonota/20260416-2/05.pdf)

Selain PDF, halaman ini mempromosikan **4 video promosi** dengan dua tema yang sama,
diproduksi dalam format drama maupun manga sehingga kampanye dapat menjangkau berbagai
kelompok usia dan konteks membaca, tidak hanya pembaca kebijakan.

Kampanye ini diposisikan sebagai upaya bersama oleh FSA dengan:

- asosiasi [perbankan](https://www.corbado.com/passkeys-for-banking) berskala nasional,
- bank shinkin,
- koperasi kredit,
- bank pekerja (labor banks),
- kelompok industri sekuritas, dan
- **Badan Kepolisian Nasional**.

Keluasan jangkauan ini penting. Ini bukan sekadar peringatan khusus untuk sekuritas. Ini
adalah pesan terkoordinasi di seluruh ekosistem keuangan [ritel](https://www.corbado.com/passkeys-for-e-commerce)
Jepang.

### 2.1 Pesan kebijakan utama

Istilah kunci yang digunakan dalam kampanye ini adalah **`フィッシングに耐性のある多要素認証`**,
yang berarti **MFA tahan phishing (phishing-resistant multi-factor authentication)**.

Brosur tersebut menjelaskan bahwa [autentikasi lama](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys)
telah tertinggal di belakang model ancaman saat ini:

- **kata sandi** dapat di-phishing atau digunakan kembali,
- **email / SMS OTP** dapat dicuri secara real-time,
- **malware** dapat [memantau](https://www.corbado.com/blog/how-to-use-passkeys-apple-watch) atau memanipulasi
  sesi pengguna, dan
- situs palsu dapat meniru merek asli dengan sangat mirip sehingga pemeriksaan visual
  bukan lagi pertahanan yang andal.

Kampanye tersebut kemudian menyajikan **dua contoh utama** dari autentikasi yang lebih
kuat:

1. **Passkeys**
2. **Autentikasi berbasis PKI**

Bagian kedua itu penting. Jepang tidak membingkai ini murni sebagai "semua orang harus
menggunakan [passkeys](https://www.corbado.com/blog/passkeys-vs-passwords)." Regulator membingkai hasil yang
diinginkan sebagai **autentikasi tahan phishing**, dan passkeys adalah salah satu cara
tingkat konsumen yang paling jelas untuk mencapainya.

Untuk membuat pembedaan itu menjadi konkret, pembingkaian FSA secara implisit memisahkan
metode autentikasi seperti ini:

| Metode                                      | Tahan phishing? | Pengguna harus mentransmisikan rahasia secara manual? | Kecocokan strategis di Jepang                                                              |
| ------------------------------------------- | --------------- | ----------------------------------------------------- | ------------------------------------------------------------------------------------------ |
| Hanya kata sandi                            | Tidak           | Ya                                                    | Tidak dapat lagi dipertahankan untuk alur berisiko tinggi                                  |
| Email OTP / SMS OTP                         | Tidak           | Ya                                                    | Hanya sebagai transisi, lemah terhadap serangan relai (relay attacks)                      |
| Token perangkat lunak aplikasi kepemilikan | Sebagian        | Sering kali ya atau berbasis persetujuan              | Lebih baik dari OTP, tetapi masih tidak setara dengan passkeys                             |
| Passkeys                                    | Ya              | Tidak                                                 | Jalur konsumen pasar massal terbaik                                                        |
| PKI / autentikasi sertifikat                | Ya              | Tidak                                                 | Pilihan kuat untuk kasus penggunaan dengan jaminan lebih tinggi atau terikat pada identitas |

### 2.2 Kampanye ini juga bersifat perilaku

Materi kampanye tidak hanya berfokus pada teknologi autentikasi. Mereka juga memberi
tahu pengguna untuk:

- menghindari masuk (login) dari tautan di dalam email atau SMS,
- menggunakan **markah buku (bookmarks)** atau **aplikasi** resmi,
- tidak memercayai layar yang tidak dikenal dan permintaan yang tidak biasa,
- memilih toko aplikasi resmi, dan
- berhati-hati terhadap instruksi peramban (browser) yang aneh, seperti pintasan
  papan tik yang tidak terduga.

Dengan kata lain, FSA tidak berpura-pura bahwa teknologi autentikasi saja yang akan
menyelesaikan seluruh masalah. Mereka memasangkan **tindakan penanggulangan teknis**
dengan **kebersihan (hygiene) perilaku**.

## 3. Apa yang baru di sini, dan apa yang tidak

Halaman 16 April ini baru karena mengubah pembingkaian publik, bukan karena ia
menciptakan undang-undang baru yang berdiri sendiri. Perkembangan nyatanya adalah bahwa
regulator Jepang kini secara terbuka menjelaskan mengapa passkeys dan PKI lebih baik
daripada alur kata sandi plus OTP, memberikan institusi keuangan perlindungan yang lebih
kuat untuk merancang ulang autentikasi seputar ketahanan terhadap phishing.

### 3.1 Apa yang sebenarnya baru

Halaman 16 April ini merupakan hal baru dalam setidaknya empat hal:

#### 3.1.1 Passkeys kini menjadi bagian dari kosa kata publik regulator

Banyak regulator berbicara tentang MFA secara abstrak. FSA Jepang melakukan sesuatu yang
lebih konkret: mereka memberi tahu publik bahwa **passkeys** adalah pertahanan yang lebih
kuat terhadap [phishing](https://www.corbado.com/glossary/phishing) dan peniruan identitas daripada pola masuk
lama.

Hal itu penting karena penamaan di depan publik akan mengubah keputusan produk. Setelah
regulator menyebutkan passkeys secara publik, institusi keuangan dapat menjustifikasi
investasi secara internal dengan lebih mudah:

- tim kepatuhan dapat mengutip pernyataan regulator,
- tim risiko dapat menghubungkan passkeys secara langsung dengan pengurangan kerugian
  akibat phishing,
- tim produk dapat memosisikan passkeys sebagai sejalan dengan panduan resmi, bukan
  sekadar proyek inovasi opsional.

#### 3.1.2 FSA secara publik menurunkan kelas OTP

Ini bukanlah implikasi yang halus. Materi tersebut menyatakan bahwa OTP yang dikirimkan
melalui email atau SMS masih dapat digagalkan oleh:

- phishing real-time,
- intersepsi man-in-the-middle, dan
- pencurian berbantuan [malware](https://www.corbado.com/glossary/malware).

Itu lebih kuat dari sekadar catatan praktik terbaik yang umum yang mengatakan bahwa OTP
itu "kurang aman". Ini adalah regulator yang memberi tahu publik bahwa MFA berbasis OTP
**tidak** memberikan ketahanan terhadap phishing yang berarti.

#### 3.1.3 Pesan ini bersifat lintas sektor

Jepang tidak membatasi ini pada satu vertikal saja. Bank, pialang, dan pelaku keuangan
lainnya merupakan bagian dari sinyal publik yang sama. Ini meningkatkan peluang normalisasi
ekosistem yang lebih luas:

- bank dapat melatih pengguna untuk mengharapkan login yang lebih kuat,
- pialang dapat menjadikan autentikasi yang lebih kuat sebagai bawaan (default) untuk
  tindakan berisiko tinggi,
- pengguna akan menemukan bahasa yang serupa di berbagai institusi, alih-alih
  penjelasan yang saling bertentangan.

#### 3.1.4 FSA mengedukasi konsumen secara langsung

Ini adalah poin yang paling penting.

Ada perbedaan besar antara:

- regulator yang memberi tahu institusi keuangan apa yang harus mereka terapkan, dan
- regulator yang memberi tahu pelanggan seperti apa rupa autentikasi yang aman saat ini.

Langkah kedua ini mengurangi risiko politis dan UX dari peluncuran. Sebuah bank atau
pialang kini dapat mengatakan: "Ini bukan hanya ide kami; ini adalah arah yang sedang
dipromosikan oleh regulator itu sendiri."

### 3.2 Apa yang tidak baru

Halaman tersebut **tidak** dengan sendirinya menciptakan:

- mandat baru yang berdiri sendiri,
- tenggat waktu implementasi yang baru,
- spesifikasi teknis terperinci untuk passkeys,
- deklarasi bahwa passkeys adalah satu-satunya teknologi yang dapat diterima, atau
- daftar sanksi yang terkait langsung dengan kampanye ini.

Pembedaan ini penting karena banyak pembaca akan melebih-lebihkan pengumuman ini
sebagai "Jepang baru saja mewajibkan passkeys". Itu tidak cukup tepat.

Pemahaman yang lebih baik adalah:

> Regulator Jepang kini telah menyelaraskan diri secara publik dengan model autentikasi
> tahan phishing, dan passkeys adalah salah satu contoh yang berhadapan langsung dengan
> konsumen yang didukung oleh regulator.

Hal itu penting secara strategis meskipun ini bukanlah aturan baru itu sendiri.

## 4. Mengapa FSA benar dengan berfokus pada MFA tahan phishing alih-alih MFA umum

FSA mengambil langkah yang benar karena MFA umum masih menyisakan jalur penipuan (fraud)
utama yang utuh. Kata sandi ditambah OTP sekadar menambah satu lagi rahasia yang dapat
digunakan kembali, sedangkan MFA tahan phishing mengubah protokolnya sehingga situs palsu
tidak dapat menyelesaikan autentikasi bahkan ketika pengguna tertipu untuk mencobanya.

### 4.1 OTP memecahkan masalah masa lalu

SMS dan email OTP dirancang untuk mempersulit replay kredensial. Keduanya berfungsi
terhadap beberapa pola serangan lama, tetapi penyerang modern tidak perlu memutar ulang
(replay) kode beberapa jam kemudian. Mereka mencurinya secara real-time. Hal ini menjadi
lebih penting di pasar yang tingkat [penggunaan kembali kata sandi di Jepang](https://www.corbado.com/blog/password-reuse-japan)
masih sangat tinggi, yang berarti faktor pertama sering kali telah disusupi sebelum langkah
OTP itu sendiri dimulai.

Itulah masalah utama pada **phishing real-time**:

1. Korban mendarat di situs palsu.
2. Korban memasukkan nama pengguna dan kata sandi.
3. Penyerang meneruskan kredensial tersebut ke situs yang asli.
4. Situs yang asli meminta OTP.
5. Situs palsu meminta OTP dari korban.
6. Penyerang segera menggunakannya untuk menyelesaikan login yang sebenarnya.

Dalam alur kerja tersebut, OTP tidak menghentikan penyerang. Itu hanya menjadi rahasia
lain yang dapat diperdaya agar diungkapkan oleh korban.

### 4.2 Passkeys mengubah model kepercayaan

[Passkeys](https://www.corbado.com/blog/passkeys-phishing-resistant) bekerja secara berbeda karena keduanya
**terikat pada asal (origin-bound)**. Kredensial tersebut hanya dapat digunakan pada
situs sah yang terkait dengan [relying party](https://www.corbado.com/glossary/relying-party) dari passkey
tersebut. Dasar teknis untuk perilaku ini terdapat di dalam [spesifikasi W3C WebAuthn](https://www.w3.org/TR/webauthn-3/)
dan [dokumentasi passkey FIDO Alliance](https://fidoalliance.org/passkeys/), yang keduanya
mendeskripsikan model tantangan-tanggapan (challenge-response) terikat-situs yang
mencegah domain palsu menggunakan kembali kredensial yang dibuat untuk domain aslinya.

Itu berarti domain palsu tidak dapat sekadar meminta pengguna untuk "mengetikkan passkey"
sebagaimana ia meminta kata sandi atau OTP. Tidak ada hal yang dapat digunakan kembali
untuk diketik, dan peramban / sistem operasi akan memeriksa konteks situs sebelum
autentikasi dapat dilanjutkan.

Inilah sebabnya mengapa passkeys merupakan pusat dari autentikasi tahan phishing:

- **tidak ada rahasia bersama (shared secret)** yang perlu dimasukkan kembali,
- pengguna tidak diminta untuk mentransmisikan kode yang dapat digunakan kembali secara
  manual,
- kunci privat tidak pernah meninggalkan perangkat pengguna, dan
- [autentikator](https://www.corbado.com/glossary/authenticator) terikat pada asal (origin) yang sah.

Ini jugalah sebabnya kampanye 16 April itu penting. FSA tidak hanya mengatakan "gunakan
MFA yang lebih baik." Mereka menunjuk pada metode autentikasi yang mana situs phishing
akan gagal pada lapisan protokol alih-alih meminta pengguna untuk mendeteksi penipuan
secara manual.

### 4.3 PKI juga penting

Kampanye Jepang juga menyoroti **PKI** dan secara eksplisit menyebutkan bahwa kredensial
**kartu My Number** dapat digunakan dalam konteks autentikasi.

Itu bukanlah suatu kebetulan. Jepang memiliki sejarah institusional yang lebih dalam
terkait model identitas berorientasi sertifikat dibandingkan banyak pasar konsumen Barat.
Sehingga keadaan akhir (end-state) Jepang kemungkinan bukanlah "hanya passkeys". Hal itu
lebih mendekati:

- **passkeys** untuk aktivitas konsumen arus utama (mainstream) dan peningkatan keamanan (step-up),
- **PKI / autentikasi berbasis sertifikat** untuk jaminan yang lebih kuat atau kasus
  identitas layaknya [sektor publik](https://www.corbado.com/passkeys-for-public-sector),
- dan preferensi peraturan yang lebih luas untuk **hasil tahan phishing**.

Bagi tim produk, itu berarti perbandingan strategis yang tepat bukanlah "passkeys vs
kata sandi". Ini lebih menyerupai:

- passkeys vs email/SMS OTP untuk login konsumen,
- passkeys vs token perangkat lunak dalam aplikasi untuk UX [perbankan](https://www.corbado.com/passkeys-for-banking),
- passkeys vs PKI untuk lapisan jaminan dan [pemeriksaan identitas (identity proofing)](https://www.corbado.com/blog/digital-identity-guide).

## 5. Mengapa 16 April menjadi lebih penting dalam konteks arah regulasi Jepang sebelumnya

16 April menjadi penting karena ia mengubah tren pengawasan menjadi norma publik. Setelah
FSA menghabiskan tahun 2025 dengan memperingatkan bahwa autentikasi yang hanya
menggunakan kata sandi dan sangat bergantung pada OTP adalah terlalu lemah, kampanye
April 2026 memberi tahu konsumen secara langsung seperti apa seharusnya penggantinya:
MFA tahan phishing menggunakan passkeys, PKI, atau keduanya.

Menjelang tahun 2025 dan awal tahun 2026, sektor keuangan Jepang sudah bergerak menuju
pengendalian yang lebih kuat pasca insiden pembobolan akun (account compromise) terkait
phishing di sekuritas dan [layanan keuangan](https://www.corbado.com/passkeys-for-banking) daring lainnya. Latar
belakangnya adalah serangkaian insiden [pelanggaran data (data breaches) terkemuka di Jepang](https://www.corbado.com/blog/data-breaches-japan)
yang telah mempertahankan pengambilalihan akun dan pencurian kredensial di dalam agenda
regulasi. Dalam materi FSA terkait dan komentar selanjutnya seputar perubahan panduan,
regulator membuat pembedaan yang lebih tajam antara:

- **"beberapa jenis MFA"**, dan
- **MFA tahan phishing**.

Perbedaan itulah segalanya.

MFA umum masih dapat membuat pengguna rentan terhadap:

- pencurian OTP,
- penerusan (forwarding) ke situs palsu,
- kelelahan akan dorongan (push fatigue) / penyalahgunaan persetujuan,
- endpoint yang disusupi,
- alur pemulihan (recovery flows) yang lemah.

Sebaliknya, MFA tahan phishing secara eksplisit berupaya memblokir jalur inti penipuan
alih-alih sekadar menambahkan rintangan lainnya. Kampanye 16 April karenanya paling
baik dipandang sebagai **operasionalisasi publik** atas arah yang lebih besar yang telah
terbentuk di Jepang:

- [layanan keuangan](https://www.corbado.com/passkeys-for-banking) tidak boleh sekadar menambahkan lebih banyak
  friksi,
- mereka harus beralih ke metode autentikasi yang mematahkan keekonomisan dari
  phishing.

Secara sekilas, progres ini berjalan melintasi empat tonggak sejarah (milestones) dalam
waktu kurang dari satu tahun:

Dengan sumbernya, progres yang sama dibaca sebagai berikut:

- **Juni 2025:** [ringkasan isu berbahasa Inggris FSA](https://www.fsa.go.jp/en/press_releases/issues/202506/02.pdf)
  menyatakan bahwa autentikasi hanya kata sandi adalah lemah dan bahwa email / SMS OTP
  tidak cukup efektif terhadap phishing.
- **15 Juli 2025:** [draf panduan JSDA](https://www.jsda.or.jp/about/public/bosyu/files/20250715_guideline_public.pdf)
  mendorong penggunaan MFA tahan phishing untuk aktivitas sekuritas yang sensitif seperti
  login, penarikan dana, dan perubahan akun bank.
- **Akhir 2025:** pelaporan pasar menggambarkan adanya **50+ penyedia passkeys** dan
  **64 organisasi FIDO Japan Working Group** di Jepang
  ([CNET Japan](https://japan.cnet.com/article/35241293/)).
- **16 April 2026:** [kampanye publik FSA](https://www.fsa.go.jp/news/r7/sonota/20260416-2/20260416-2.html)
  membawa pesan tahan phishing yang sama langsung kepada konsumen.

Dalam artian, halaman tersebut bukanlah sekadar "pemasaran kesadaran (awareness marketing)"
seperti yang terlihat. Ini merupakan wajah publik dari pergeseran regulasi dan ekosistem
yang lebih dalam.

## 6. Apa artinya ini bagi bank, pialang, dan perusahaan tekfin di Jepang

Institusi keuangan Jepang sebaiknya memperlakukan kampanye 16 April ini sebagai ekspektasi
minimum yang ditingkatkan untuk login, pemulihan, dan tindakan akun berisiko tinggi.
Begitu regulator secara terbuka menyatakan bahwa email dan SMS OTP tidak cukup efektif,
MFA yang sangat bergantung pada opsi mundur (fallback) yang lemah menjadi lebih sulit
untuk dipertahankan dari perspektif penipuan, produk, maupun pengawasan.

### 6.1 "MFA tersedia" tidak lagi memadai

Menawarkan SMS OTP sebagai opsi mundur sembari memasarkan pengalamannya sebagai "MFA aman"
kini menjadi semakin sulit untuk dipertahankan. Pesan publik dari regulator kini membuat
pembedaan yang lebih menuntut: **MFA tahan phishing** harus menjadi tujuannya. Pekerjaan
industri yang lebih luas terkait [kewajiban MFA dengan passkeys](https://www.corbado.com/blog/mandating-mfa)
mengarah ke tujuan yang sama.

Itu berarti organisasi perlu mengevaluasi:

- di mana SMS/email OTP masih ada,
- alur mana yang berisiko tinggi,
- apakah passkeys opsional atau benar-benar dianjurkan,
- seberapa besar ketergantungan yang tersisa pada metode fallback yang rentan di-phishing.

### 6.2 Alur berisiko tinggi memerlukan perlakuan khusus

Perjalanan (journeys) paling sensitif bukan hanya sekadar login. Dalam praktiknya,
institusi harus [meninjau setiap permukaan yang rentan terhadap phishing](https://www.corbado.com/blog/passkeys-enterprise-guide-initial-assessment):

- login,
- pembayaran (payout) / penarikan,
- perubahan akun tujuan,
- pemulihan dan pengikatan kembali perangkat (device re-binding),
- perubahan profil dan detail kontak,
- akses API atau agregasi.

Banyak institusi masih melindungi halaman login dengan lebih kuat daripada jalur
[pemulihan akun](https://www.corbado.com/blog/passkey-fallback-recovery). Itu terbalik. Penyerang akan menggunakan
rute terlemah yang tersedia.

### 6.3 Pemulihan menjadi masalah produk yang strategis

Begitu autentikasi tahan phishing menjadi tolok ukur, pemulihan (recovery) akan menjadi
bagian tersulit dalam rancangannya.

Peluncuran passkeys masih dapat gagal secara operasional jika pemulihannya kembali pada
alur email yang lemah, rekayasa sosial, atau prosedur dukungan pelanggan yang memperkenalkan
kembali langkah-langkah yang rentan phishing. Kampanye FSA Jepang ini tidak memecahkan
tantangan desain tersebut, tetapi menjadikannya mustahil untuk diabaikan.

### 6.4 UX "Akses resmi" harus menjadi bagian dari desain produk

Satu detail yang kurang dihargai dari brosur-brosur tersebut adalah dorongan menuju
penggunaan **markah buku (bookmarks)** dan **aplikasi resmi**. Hal itu menyarankan
pembelajaran produk yang lebih luas:

- penjenamaan (branding) saja tidak cukup,
- titik masuk (entry points) login itu penting,
- perutean (routing) yang aman itu penting,
- UX anti-phishing adalah bagian dari tumpukan (stack) autentikasi.

Bagi institusi keuangan, ini berarti:

- [membuat jalur login berbasis aplikasi menjadi menonjol](https://www.corbado.com/blog/passkey-login-best-practices),
- mengurangi ketergantungan pada tautan (link) dari email,
- menjelaskan dengan jernih di mana akses resmi dimulai,
- memperlakukan kebersihan (hygiene) tautan masuk sebagai bagian dari pencegahan
  penipuan (fraud).

### 6.5 Token perangkat lunak tidak sama dengan passkeys

Beberapa institusi akan meresponsnya dengan memperkuat persetujuan berbasis aplikasi dan
menganggap masalah telah terpecahkan. Itu mungkin meningkatkan keamanan, tetapi itu
tidaklah setara dengan [passkeys](https://www.corbado.com/blog/passkeys-vs-2fa-security).

Mengapa?

- Banyak alur token perangkat lunak (soft-token) kepemilikan yang masih bergantung pada
  pengguna untuk membedakan situs yang asli dengan situs yang palsu.
- Beberapa alur masih dapat disalahgunakan melalui relai (relay) real-time atau
  manipulasi persetujuan.
- Pergantian aplikasi (app-switching) dan penanganan kode menambah hambatan (friction)
  serta kebingungan.

Passkeys menjadi penting karena keduanya mengurangi **eksposur phishing** sekaligus
**upaya pengguna**.

### 6.6 Standar bagi pesaing baru saja bergerak

Begitu FSA mulai mengedukasi konsumen secara langsung, mereka yang tertinggal (laggards)
akan menjadi lebih terlihat. Sebuah perusahaan yang masih bergantung pada kata sandi + OTP
mungkin akan segera tampak ketinggalan zaman jika dibandingkan dengan para pesaing yang
menawarkan:

- passkeys,
- autentikasi terikat-perangkat (device-bound) yang lebih kuat,
- atau pengalaman login tahan phishing yang bermerek (branded) jelas.

Hal itu mengubah [lanskap kompetitif](https://www.corbado.com/blog/passkey-adoption-business-case), bukan
hanya lanskap kepatuhan.

**Sebagian besar dari hal ini bukanlah ranah baru.**
[Panduan Passkeys Perusahaan](https://www.corbado.com/blog/introducing-passkeys-large-scale-overview)
membahas langkah demi langkah melalui penilaian, penyelarasan [pemangku kepentingan (stakeholder)](https://www.corbado.com/blog/passkeys-stakeholder),
integrasi, dan pengujian untuk penyebaran ke konsumen dalam [skala besar](https://www.corbado.com/blog/introducing-passkeys-large-scale-overview),
serta [10 Kesalahan Penerapan Passkey yang Dilakukan Bank](https://www.corbado.com/blog/passkey-deployment-mistakes-banks)
mengompilasi mode kegagalan berulang yang terus-menerus diulangi dalam peluncuran
perbankan yang terburu-buru. Apa yang ditambahkan oleh kampanye FSA tersebut adalah urgensi
dan dukungan publik, bukan sebuah buku pedoman baru.

## 7. Apa artinya ini bagi passkeys secara khusus

Kampanye 16 April Jepang ini membantu passkeys dalam tiga cara konkret: ia membingkai
passkeys sebagai kontrol penipuan (fraud) daripada fitur kenyamanan, memperluas alasan
internal kepada [pemangku kepentingan](https://www.corbado.com/blog/passkeys-stakeholder) untuk pelaksanaannya,
serta mengajarkan kepada konsumen bahwa passkeys merupakan bagian dari model login
keuangan aman yang kini disukai oleh regulator.

### 7.1 Ini membingkai ulang passkeys sebagai kontrol penipuan, bukan sekadar kenyamanan

Banyak peluncuran passkeys untuk konsumen dipasarkan sebagai:

- masuk (sign-in) yang lebih mudah,
- tidak ada kata sandi yang perlu diingat,
- login yang lebih cepat.

Pembingkaian FSA jauh lebih tajam:

- passkeys adalah pertahanan terhadap **peniruan identitas**,
- passkeys membantu memblokir **phishing**,
- passkeys mengurangi ketergantungan pada **rahasia yang dapat digunakan kembali**.

Itulah tepatnya bingkai (frame) yang dibutuhkan bank dan pialang secara internal.
Anggaran keamanan lebih mudah disetujui untuk pengurangan penipuan (fraud) daripada
untuk sekadar kenyamanan semata.

### 7.2 Ini memperluas audiens passkey di dalam institusi keuangan

Sebuah proyek autentikasi biasanya harus memenangkan dukungan dari tim:

- produk,
- penipuan (fraud),
- keamanan,
- kepatuhan,
- hukum,
- operasional,
- dan dukungan.

Halaman FSA memberi masing-masing kelompok ini alasan untuk peduli:

- **tim penipuan (fraud)** melihat adanya pengurangan phishing,
- **tim keamanan** melihat kriptografi terikat-asal (origin-bound cryptography),
- **tim kepatuhan** melihat keselarasan (alignment) dengan regulator,
- **tim operasional** melihat lebih sedikit hambatan terkait OTP,
- **tim produk** melihat cerita konsumen yang lebih kuat.

### 7.3 Ini membantu menormalkan passkeys bagi pengguna biasa

Ini mungkin menjadi dampak yang paling bertahan lama.

Ketika regulator nasional, asosiasi keuangan, dan kepolisian bersama-sama menyajikan
passkeys sebagai pertahanan yang direkomendasikan, persepsi pengguna pun berubah. Tim
produk tidak perlu lagi memperkenalkan passkeys sebagai fitur baru yang aneh. Mereka dapat
memperkenalkannya sebagai metode keamanan di mana ekosistem tersebut sedang menuju
kepadanya.

Itu penting karena keberhasilan peluncuran sering kali tidak terlalu bergantung pada
kriptografi, tetapi lebih pada apakah pengguna cukup mempercayai alur baru tersebut untuk
mengadopsinya.

### 7.4 Ini memperluas jangkauan audiens passkeys di luar segmen melek teknologi (tech-forward)

Kampanye FSA ini tidak hanya berlabuh pada aplikasi perbankan yang digunakan oleh
konsumen yang melek teknologi. Ini mencakup **akun sekuritas**, bank pekerja, bank shinkin,
dan koperasi kredit, yang merupakan bagian dari sistem keuangan Jepang yang menjadi
tumpuan sehari-hari bagi pelanggan yang lebih tua dan tidak terlalu melek teknologi. Ini
penting secara strategis untuk passkeys. Begitu para pelanggan ini menjumpai passkeys
melalui pialang, bank pekerja, atau koperasi lokal mereka, keakraban akan passkeys
menyebar jauh melampaui segmen pengguna awal (early-adopter) dan mulai menjadi normal
di seluruh basis pelanggan. Untuk [adopsi passkey](https://www.corbado.com/blog/passkey-adoption-business-case)
konsumen di Jepang, dorongan pendorong (tailwind) ini adalah jenis yang tidak dapat dibeli
oleh anggaran pemasaran murni mana pun.

Namun, hal ini memiliki dua sisi. Basis demografis yang lebih luas juga berarti variasi
perangkat, versi OS, peramban dalam-aplikasi (in-app browsers), dan perilaku pengelola
kredensial (credential manager) yang jauh lebih luas daripada yang akan disentuh oleh
peluncuran (rollout) melek-teknologi. Di situlah letak kesalahan [passkeys aplikasi native](https://www.corbado.com/blog/native-app-passkey-errors)
yang menjadi masalah tingkat produksi, alih-alih kasus pinggiran (edge case). Bank dan pialang
yang merespons sinyal FSA tersebut harus merencanakan keragaman perangkat dan
lingkungan aplikasi sejak hari pertama, bukan baru menyadarinya di saat lonjakan
permintaan dukungan pelanggan (support surges) pasca-mandat.

## 8. Apa yang diajarkan oleh pendekatan Jepang ke negara-negara lain

Jepang menjadi sebuah studi kasus yang berguna karena ia menggabungkan pengawasan,
pendidikan publik, dan penerapan (deployment) ekosistem secara berurutan. Pasar lain
sering kali merevisi panduan tanpa menjelaskan model keamanan yang baru kepada pengguna,
sehingga memperlambat adopsi dan membuat autentikasi yang lebih kuat tampak seperti
friksi (hambatan) produk yang terisolasi daripada peningkatan sistem secara keseluruhan.

### 8.1 Kampanye publik dapat mempercepat migrasi teknis

Banyak regulator yang merevisi panduannya namun tidak melakukan pendidikan publik.
Jepang menunjukkan pola yang berbeda:

1. tekanan penipuan (fraud) meningkat,
2. arah pengawasan mengeras,
3. regulator mulai menyebutkan secara terbuka tentang metode tahan phishing,
4. pelaku ekosistem mendapatkan pelindung untuk meluncurkannya dengan lebih cepat.

Urutan itu dapat mengurangi hambatan dalam peluncuran dengan cara yang sering kali
tidak dapat dilakukan oleh sekadar teks kebijakan murni.

### 8.2 Targetnya haruslah ketahanan terhadap phishing, bukan hanya penggantian OTP

Beberapa negara terlalu sempit berfokus pada "ganti SMS OTP". Itu membantu, tetapi
ini belum lengkap.

Kampanye Jepang dibingkai dengan lebih baik karena kampanye tersebut mengajukan
pertanyaan yang lebih mendasar:

> Apakah metode ini masih dapat disalahgunakan ketika pengguna sedang melihat situs
> palsu atau sesi yang disusupi?

Itulah tes yang tepat.

### 8.3 Autentikasi konsumen pada akhirnya mungkin menjadi gabungan (hybrid)

Penekanan Jepang yang simultan pada passkeys maupun PKI menyiratkan kebenaran yang
lebih luas yang akan ditemukan kembali oleh banyak pasar:

- passkeys sangat baik untuk adopsi konsumen massal,
- PKI tetap penting untuk identitas dengan tingkat jaminan yang tinggi (high-assurance identity),
- ekosistem terkuat akan menggabungkan keduanya, alih-alih memaksakan satu teknologi
  untuk melakukan semuanya.

Hal ini secara khusus relevan di sektor-sektor yang diatur dengan program [identitas digital](https://www.corbado.com/blog/digital-identity-guide)
nasional.

## 9. Peta jalan praktis bagi tim yang merespons sinyal ini

Respons yang tepat terhadap sinyal 16 April ini adalah migrasi bertahap, bukan program
penggantian yang terburu-buru. Tim sebaiknya terlebih dahulu memetakan perjalanan
(journeys) mana saja yang rentan phishing, lalu memutuskan di mana passkeys akan langsung
cocok, di mana PKI atau pengikatan identitas yang lebih kuat masih diperlukan, dan
bagaimana pemulihan dapat didesain ulang tanpa menciptakan kembali pengecualian-pengecualian
yang lemah dan ramah-phishing.

### 9.1 Langkah 1: petakan semua permukaan autentikasi yang rentan phishing

Mulailah dengan:

- login,
- pemulihan (recovery),
- perubahan akun,
- konfirmasi transaksi,
- perubahan akun yang terhubung,
- titik masuk (entry points) melalui tautan email,
- proses pengabaian (override) call center.

### 9.2 Langkah 2: identifikasi di mana passkeys langsung cocok

Passkeys sering kali merupakan keuntungan (win) paling jelas untuk:

- login [ritel](https://www.corbado.com/passkeys-for-e-commerce),
- reautentikasi (reauthentication) yang sering,
- perjalanan web/aplikasi pihak pertama (first-party),
- sesi peramban (browser) konsumen.

### 9.3 Langkah 3: putuskan di mana PKI atau pengikatan identitas yang lebih kuat masih dibutuhkan

Beberapa alur mungkin memerlukan:

- bukti identitas yang didukung sertifikat,
- pengikatan ID nasional (national ID binding),
- jaminan yang lebih kuat terkait perubahan sensitif,
- kontrol organisasional atau perangkat keras di luar passkeys konsumen.

### 9.4 Langkah 4: rancang ulang pemulihan sebelum memaksa pengguna untuk mengadopsinya

Jangan meluncurkan autentikasi yang kuat tanpa merancang pemulihan (recovery) yang
kuat pula. Jika tidak, organisasi hanya akan menciptakan kembali solusi alternatif
(workarounds) yang rentan phishing melalui prosedur dukungan dan pengecualian.

### 9.5 Langkah 5: ajari pengguna tentang bagaimana cara kerja akses resmi

Pesan FSA untuk "gunakan markah buku (bookmarks) / gunakan aplikasi resmi" harus
menjadi bagian dari pengenalan (onboarding) dan dukungan pelanggan:

- tunjukkan rute yang aman,
- jelaskan mengapa tautan (link) untuk login berisiko,
- buat agar rute (jalur) akses resmi tersebut mudah diingat,
- kurangi ketergantungan pada pintasan kenyamanan yang tidak aman.

## 10. Kesimpulan

16 April 2026 bukanlah hari di mana Jepang secara hukum mewajibkan penggunaan passkeys.
Itu adalah hari di mana FSA menjadikan autentikasi tahan phishing sebagai ekspektasi
publik, secara publik menurunkan kelas (downgraded) keamanan berbasis OTP, serta memberikan
sinyal yang jauh lebih jelas kepada bank, pialang, dan perusahaan fintech bahwa tujuan
jangka panjangnya adalah passkeys, PKI, dan model login non-phishing lainnya.

Halaman FSA Jepang tanggal 16 April 2026 tidak boleh disalahartikan sebagai "Jepang
secara hukum mewajibkan passkeys hari ini." Bukan itu yang terjadi.

Namun, mengabaikannya sebagai sekadar halaman edukasi biasa juga akan sama salahnya.

Apa yang terjadi ini jauh lebih penting secara strategis:

- regulator tersebut secara publik memberi tahu konsumen bahwa alur berbasis hanya-kata
  sandi dan OTP sudah tidak lagi memadai,
- mereka menyebutkan **passkeys** dan **PKI** sebagai contoh autentikasi yang lebih kuat,
- mereka menyelaraskan pesan tersebut di seluruh asosiasi keuangan dan kepolisian,
- dan mereka mendorong percakapan pasar dari sekadar MFA umum menjadi **autentikasi
  tahan phishing**.

Itulah jenis sinyal pasti yang akan mengubah prioritas peta jalan di [layanan keuangan](https://www.corbado.com/passkeys-for-banking).

Bagi Jepang, hal ini memperkuat alasan agar penerapan passkeys dilakukan lebih luas di
berbagai [bank](https://www.corbado.com/passkeys-for-banking), pialang, dan fintech. Bagi seluruh dunia lainnya,
ini adalah sebuah contoh jelas tentang bagaimana seorang regulator dapat melakukan hal
yang lebih dari sekadar menetapkan aturan: mereka dapat membentuk kembali narasi autentikasi
itu sendiri.

Jika ada satu hal yang bisa diambil sebagai kesimpulan, maka hal itu adalah:

**Keadaan masa depan bukanlah "lebih banyak MFA". Keadaan masa depan adalah autentikasi
tahan phishing. FSA Jepang kini menyatakannya secara lantang.**

## Tentang Corbado

FSA Jepang telah secara terbuka menurunkan tingkat kelas (downgraded) keamanan
kata sandi plus OTP, tetapi penyebutan passkeys oleh regulator hanyalah separuh dari
pekerjaannya. Bank dan pialang masih harus menghentikan opsi mundur (fallbacks) yang
rentan phishing pada seluruh perangkat yang terfragmentasi tanpa membuat penggunanya
terkunci di luar sistem.

Corbado merupakan **platform analitik passkeys** untuk tim CIAM tingkat perusahaan (enterprise).
Platform ini menambahkan **kontrol analitik dan peluncuran (rollout) passkeys** di atas
IDP Anda yang sudah ada, sehingga berbagai institusi yang memenuhi tolok ukur MFA tahan
phishing dari FSA tersebut dapat menghapus SMS dan email OTP secara bertahap
dengan visibilitas tingkat-audit serta sakelar pemutus (kill switches) pada tingkat
perangkat (device-level), dan bukannya dengan mandat buta (blind mandates).

Lihat bagaimana berbagai institusi keuangan Jepang dapat meluncurkan MFA tahan phishing
tanpa harus mengunci seluruh pengguna dari terminalnya. → [Hubungi pakar passkey](https://www.corbado.com/contact)

## FAQ

### Apakah FSA Jepang mewajibkan passkeys pada 16 April 2026?

Tidak. Halaman tanggal 16 April 2026 tersebut adalah kampanye kesadaran publik, bukan teks
aturan yang berdiri sendiri. Hal yang membuatnya penting adalah bahwa Badan Layanan
Keuangan (FSA) secara terbuka dan eksplisit mempromosikan autentikasi multi-faktor tahan
phishing, menyoroti passkeys dan PKI sebagai contoh, serta menyelaraskan pesan tersebut
dengan bank, perusahaan sekuritas, dan Badan Kepolisian Nasional.

### Mengapa FSA mengatakan bahwa email dan SMS OTP tidak lagi memadai?

Materi kampanye menjelaskan bahwa OTP yang dikirim melalui email atau SMS masih dapat
dielakkan melalui phishing real-time, serangan man-in-the-middle, dan [malware](https://www.corbado.com/glossary/malware).
Dengan kata lain, menambahkan kode tidaklah cukup jika penyerang dapat menipu pengguna
agar memasukkannya di situs palsu atau mencurinya dari endpoint.

### Apakah passkeys satu-satunya opsi tahan phishing yang diterima di sektor keuangan Jepang?

Tidak. Materi kampanye FSA menyajikan passkeys dan autentikasi berbasis PKI sebagai dua
contoh utama dari MFA tahan phishing. Ini berarti passkeys sangat diunggulkan, tetapi arah
regulasi yang lebih luas adalah pada hasil autentikasi tahan phishing, bukan pada satu
teknologi konsumen yang wajib.

### Mengapa 16 April 2026 penting jika panduan pengawasan Jepang telah bergeser lebih awal?

Karena ini menandai pergeseran dari sinyal regulator-ke-industri menjadi sinyal
regulator-ke-publik. Setelah FSA mulai memberi tahu konsumen secara langsung bahwa passkeys
dan PKI melindungi mereka dengan lebih baik daripada kata sandi ditambah OTP, bank dan
pialang Jepang memperoleh dukungan yang lebih kuat untuk merancang ulang autentikasi
pelanggan seputar metode yang tahan phishing.