Mewajibkan MFA & Beralih ke Passkeys: Praktik Terbaik

Multi-Factor Authentication (MFA) telah secara tegas beralih dari fitur keamanan untuk pengguna proaktif menjadi sebuah kenyataan yang tidak bisa ditawar dan diwajibkan bagi organisasi di seluruh dunia. Transformasi ini tidak didorong oleh pilihan, melainkan oleh kebutuhan, yang dipicu oleh serangan siber berbasis kredensial yang tak henti-hentinya dan tekanan regulasi yang meningkat. Berbagai industri, mulai dari jasa keuangan hingga sektor publik, kini beroperasi di bawah kerangka kerja yang menjadikan MFA sebagai standar dasar untuk kepatuhan. Era baru ini, di mana MFA diberlakukan alih-alih ditawarkan, membawa serangkaian tantangan kompleks yang jauh melampaui implementasi teknis awal.

Ketika setiap pengguna harus menggunakan MFA, muncullah serangkaian pertanyaan krusial baru yang harus dijawab oleh setiap organisasi. Artikel ini akan mengeksplorasi tantangan-tantangan ini secara mendalam, memberikan jalur yang jelas ke depan. Kita akan membahas:

1. Apa saja biaya operasional tersembunyi dan jebakan pengalaman pengguna dari pemberlakuan MFA dalam skala besar?

2. Ketika diberi pilihan, metode MFA mana yang sebenarnya diadopsi oleh pengguna, dan risiko keamanan apa yang ditimbulkannya?

3. Bagaimana pemulihan akun menjadi tantangan utama baru dalam lingkungan yang mewajibkan MFA, dan apa saja pertimbangannya dalam menyelesaikannya?

4. Mengapa passkeys menjadi solusi strategis untuk masalah yang diciptakan oleh kewajiban MFA, bukan sekadar opsi lain?

5. Apa cetak biru praktis dan langkah demi langkah untuk berhasil beralih dari MFA lawas yang diwajibkan ke keamanan dan pengalaman pengguna passkeys yang superior?

Analisis ini akan memberikan cetak biru yang jelas dan dapat ditindaklanjuti untuk transisi yang sukses dari autentikasi faktor tunggal ke MFA yang diwajibkan (hingga passkeys yang diwajibkan).

Sebelum menjelajahi tantangan pemberlakuan, penting untuk membangun pemahaman yang jelas tentang lanskap autentikasi dan mengapa kewajiban secara fundamental mengubahnya. Terminologi itu sendiri bisa menjadi sumber kebingungan, tetapi perbedaannya sangat penting untuk setiap strategi keamanan atau produk.

Evolusi autentikasi adalah respons langsung terhadap kelemahan inheren dari bentuknya yang paling dasar.

• Single-Factor Authentication (SFA): Kombinasi nama pengguna dan kata sandi yang kita kenal. Ini bergantung pada satu faktor "pengetahuan", sesuatu yang diketahui pengguna. Kerentanannya terhadap phishing, credential stuffing, dan serangan brute-force adalah pendorong utama untuk metode yang lebih kuat.

• Two-Step Verification (2SV): Sering digunakan secara bergantian dengan MFA, 2SV adalah proses yang berbeda dan lebih lemah. Ini memerlukan dua langkah verifikasi tetapi mungkin menggunakan dua faktor dari kategori yang sama. Contoh umum adalah kata sandi diikuti oleh pertanyaan keamanan, yang keduanya merupakan faktor "pengetahuan". Meskipun lebih baik dari SFA, ini tidak memenuhi kriteria untuk keamanan multi-faktor yang sejati.

• Multi-Factor Authentication (MFA): Standar emas keamanan, MFA memerlukan verifikasi dari setidaknya dua kategori faktor autentikasi yang berbeda. Tiga kategori utamanya adalah:

  • Pengetahuan: Sesuatu yang pengguna tahu (misalnya, kata sandi, PIN).

  • Kepemilikan: Sesuatu yang pengguna miliki (misalnya, ponsel yang menerima kode, kunci keamanan perangkat keras).

  • Inherensi: Sesuatu yang melekat pada pengguna (misalnya, sidik jari, pengenalan wajah).

Transisi dari MFA opsional ke wajib adalah sebuah pergeseran paradigma. Sistem opsional memungkinkan adopsi bertahap oleh pengguna yang paling sadar keamanan, menyembunyikan titik-titik gesekan yang sebenarnya. Kewajiban memaksa seluruh basis pengguna, dari yang melek teknologi hingga yang gagap teknologi, untuk menggunakan sistem baru secara bersamaan, mengekspos setiap kelemahan dalam pengalaman pengguna dan struktur dukungan.

Pergeseran ini telah dipercepat oleh katalisator regulasi, terutama Payment Services Directive kedua (PSD2) Eropa dan persyaratannya untuk Strong Customer Authentication (SCA). Regulasi ini secara fundamental membentuk kembali lanskap pembayaran Eropa dengan mewajibkan MFA untuk sebagian besar transaksi online. Dengan memaksa lembaga keuangan untuk mengadopsi API terbuka dan keamanan yang lebih kuat, PSD2 memberikan studi kasus dunia nyata yang masif dalam autentikasi yang diberlakukan.

Tujuan utama SCA adalah untuk mengurangi penipuan dengan mewajibkan dua faktor autentikasi independen untuk pembayaran elektronik. Namun, peluncuran awal menciptakan gesekan yang signifikan, dengan beberapa merchant Eropa kehilangan hampir 40% transaksi karena kebingungan pengguna dan pengabaian keranjang belanja. Seiring waktu, ekosistem beradaptasi, dan laporan Agustus 2024 dari Bank Sentral Eropa mengonfirmasi bahwa transaksi yang diautentikasi dengan SCA sekarang memiliki tingkat penipuan yang jauh lebih rendah. Ini menunjukkan manfaat keamanan jangka panjang, tetapi juga menyoroti kebutuhan kritis untuk menyeimbangkan keamanan dengan pengalaman pengguna.

Meskipun kewajiban ini pada awalnya menciptakan gesekan, mereka juga menghasilkan lingkungan pendidikan massal yang tidak disengaja. Ketika jutaan pengguna dipaksa oleh bank mereka untuk menyetujui transaksi dengan sidik jari atau kode, mereka menjadi akrab dengan konsep faktor kedua. Normalisasi ini, yang didorong oleh regulasi, secara paradoks justru memuluskan jalan bagi organisasi lain. Percakapan dapat berevolusi dari "Apa itu MFA dan mengapa saya membutuhkannya?" menjadi "Ini adalah cara baru kami yang lebih mudah untuk melakukan langkah keamanan yang sudah Anda ketahui." Ini menciptakan fondasi yang sempurna untuk memperkenalkan pengalaman superior seperti passkeys.

Jika Anda ingin membaca lebih lanjut tentang spesifik regulasi ini dan hubungannya dengan passkeys, Anda dapat menjelajahi sumber daya berikut:

• Analisis Persyaratan PSD2 & SCA

• Apa Arti Persyaratan SCA untuk Passkeys

• PSD2 Passkeys: MFA yang Tahan Phishing dan Sesuai PSD2

• Implikasi SD3 / PSR untuk Passkeys

• Autentikasi Delegasi & Passkeys di Bawah PSD3 / PSR

Pemberlakuan MFA di seluruh basis pengguna mengungkap sejumlah tantangan praktis yang sering diremehkan selama perencanaan awal. Masalah-masalah ini memengaruhi pengalaman pengguna, postur keamanan, dan biaya operasional.

Ketika pendaftaran diwajibkan, pengalaman pengguna yang buruk bukan lagi sekadar gangguan; itu menjadi hambatan langsung bagi operasi bisnis. Organisasi biasanya memilih antara dua strategi: pendaftaran paksa, yang mengharuskan pengaturan MFA pada login berikutnya, atau pendaftaran progresif, yang mendorong pengguna dari waktu ke waktu. Meskipun pendaftaran paksa mencapai kepatuhan lebih cepat, ini berisiko menimbulkan frustrasi dan penurunan pengguna yang lebih tinggi jika prosesnya tidak mulus. Keberhasilan bergantung pada kepatuhan terhadap praktik terbaik UX, seperti menawarkan beberapa metode autentikasi, memberikan instruksi yang sangat jelas, dan memastikan aksesibilitas untuk semua pengguna, misalnya dengan menyediakan kunci rahasia berbasis teks di samping kode QR untuk aplikasi authenticator.

Setelah MFA aktif di sebuah akun, kehilangan faktor kedua berarti terkunci sepenuhnya. Di dunia yang mewajibkan MFA, ini bukan insiden terisolasi bagi beberapa pengguna yang sadar keamanan; ini menjadi tantangan kritis yang meluas bagi seluruh basis pengguna dan tim dukungan yang melayani mereka. Ini menjadikan pemulihan akun sebagai tantangan terbesar.

Taruhannya secara finansial tinggi: satu kali reset kata sandi atau MFA yang dipandu oleh helpdesk dapat membebani perusahaan rata-rata $70. Bagi sebuah organisasi dengan ratusan ribu pengguna, bahkan persentase kecil yang membutuhkan pemulihan dapat berarti jutaan dolar dalam biaya operasional dan hilangnya produktivitas.

Organisasi dihadapkan pada pilihan sulit antara keamanan, biaya, dan kenyamanan:

• Pemulihan yang Dipandu Helpdesk: Seorang agen dukungan dapat memverifikasi identitas pengguna melalui panggilan video atau cara lain. Ini adalah proses yang aman dan diverifikasi oleh manusia tetapi sangat mahal dan lambat untuk diskalakan, membuatnya tidak berkelanjutan bagi sebagian besar bisnis.

• Pemulihan Berbasis Email/SMS: Ini adalah metode paling umum karena biayanya yang rendah dan keakraban pengguna. Namun, ini juga merupakan kerentanan keamanan yang kritis. Jika seorang penyerang telah membobol akun email pengguna, yang merupakan awal umum untuk serangan lain, mereka dapat dengan mudah mencegat kode pemulihan dan melewati MFA sepenuhnya. Metode ini secara efektif meniadakan manfaat keamanan yang seharusnya diberikan oleh kewajiban tersebut.

• Kode Cadangan yang Didaftarkan Sebelumnya: Pengguna diberi satu set kode cadangan sekali pakai selama pendaftaran. Meskipun lebih aman daripada pemulihan email, pendekatan ini menambah gesekan pada pengaturan awal. Selain itu, pengguna seringkali gagal menyimpan kode-kode ini dengan aman atau kehilangannya, yang pada akhirnya membawa mereka kembali ke masalah terkunci yang sama.

• Verifikasi Selfie-ID: Metode jaminan tinggi ini mengharuskan pengguna untuk mengambil selfie langsung dan foto ID yang dikeluarkan pemerintah (seperti SIM atau paspor). Sistem bertenaga AI kemudian mencocokkan wajah dengan ID untuk mengonfirmasi identitas. Meskipun umum di perbankan dan jasa keuangan di mana identitas diverifikasi selama onboarding, ini menimbulkan kekhawatiran privasi bagi beberapa pengguna dan mengharuskan mereka untuk memiliki ID fisik mereka.

• Kredensial & Dompet Digital: Opsi yang sedang berkembang dan berorientasi ke masa depan melibatkan penggunaan kredensial digital yang dapat diverifikasi yang disimpan di dompet digital. Pengguna dapat menunjukkan kredensial dari penerbit tepercaya (seperti pemerintah atau bank) untuk membuktikan identitas mereka tanpa melalui alur pemulihan khusus layanan. Metode ini masih dalam tahap awal tetapi menunjuk ke masa depan verifikasi identitas yang lebih portabel dan dikendalikan pengguna.

Titik kegagalan yang sering dan kritis dalam sistem MFA apa pun adalah siklus hidup perangkat. Ketika pengguna mendapatkan ponsel baru, kesinambungan metode autentikasi mereka adalah yang terpenting.

• SMS: Metode ini relatif portabel, karena nomor telepon dapat ditransfer ke perangkat baru melalui kartu SIM baru. Namun, proses inilah yang menjadi vektor serangan yang dieksploitasi dalam serangan SIM-swapping, di mana seorang penipu meyakinkan operator seluler untuk memindahkan nomor korban ke SIM yang mereka kendalikan.

• Aplikasi Authenticator (TOTP): Ini adalah sumber gesekan pengguna yang besar. Kecuali pengguna telah secara proaktif mengaktifkan fitur pencadangan cloud di dalam aplikasi authenticator mereka (fitur yang tidak universal dan tidak selalu digunakan), kunci rahasia yang menghasilkan kode akan hilang bersama perangkat lama. Ini memaksa pengguna ke dalam proses pemulihan akun yang lengkap, dan seringkali menyakitkan, untuk setiap layanan yang telah mereka amankan.

• Notifikasi Push: Mirip dengan aplikasi TOTP, MFA berbasis push terikat pada instalasi aplikasi tertentu di perangkat terdaftar. Ponsel baru memerlukan pendaftaran baru, yang memicu tantangan pemulihan yang sama.

Ketika sebuah organisasi mewajibkan MFA dan menawarkan pilihan metode, pola yang dapat diprediksi muncul: +95% pengguna cenderung memilih apa yang paling akrab dan dianggap paling mudah, yang seringkali adalah kode sandi sekali pakai (OTP) berbasis SMS. Perilaku ini menciptakan sebuah paradoks. Seorang CISO dapat mewajibkan MFA untuk meningkatkan keamanan. Namun, jika banyak pengguna terus mengandalkan metode yang dapat di-phishing seperti SMS, organisasi dapat mencapai kepatuhan 100% tanpa secara material meningkatkan pertahanannya terhadap serangan canggih. Menyadari hal ini, platform seperti Microsoft telah memperkenalkan "MFA pilihan sistem," yang secara aktif mendorong pengguna ke opsi yang lebih aman seperti aplikasi authenticator daripada SMS atau panggilan suara. Ini menyoroti pelajaran penting: sekadar mewajibkan MFA tidaklah cukup. Jenis MFA sangat penting, dan organisasi harus secara aktif mengarahkan pengguna menjauh dari faktor yang lebih lemah dan dapat di-phishing.

Keputusan untuk mewajibkan MFA memiliki dampak langsung dan terukur pada sumber daya operasional. Hal ini tak terhindarkan memicu lonjakan tiket helpdesk terkait masalah pendaftaran, kehilangan authenticator, dan permintaan pemulihan. Riset Gartner menunjukkan bahwa 30-50% dari semua panggilan dukungan TI sudah untuk masalah terkait kata sandi; MFA yang diwajibkan, terutama bila dipasangkan dengan alur pemulihan yang rumit, secara signifikan memperburuk beban ini. Ini berarti biaya langsung yang harus diantisipasi oleh CTO dan Manajer Proyek. Selain itu, helpdesk itu sendiri menjadi target utama serangan rekayasa sosial, di mana penyerang meniru pengguna yang frustrasi dan terkunci untuk menipu agen dukungan agar mereset faktor MFA atas nama mereka.

Mengkaji implementasi MFA yang diwajibkan dalam skala besar dan dunia nyata memberikan pelajaran berharga tentang apa yang berhasil dan apa yang menciptakan gesekan signifikan. Alih-alih berfokus pada perusahaan tertentu, kita dapat menyaring pengalaman ini menjadi beberapa kebenaran universal.

• Gesekan Awal Tidak Terhindarkan, tetapi Dapat Dikelola: Peluncuran SCA di Eropa menunjukkan bahwa memaksakan perubahan besar dalam perilaku pengguna, bahkan untuk keamanan, pada awalnya akan merusak tingkat konversi. Namun, ini juga menunjukkan bahwa dengan proses yang disempurnakan dan pembiasaan pengguna, efek negatif ini dapat dimitigasi seiring waktu. Kuncinya adalah mengantisipasi gesekan ini dan merancang alur yang paling ramping dan ramah pengguna sejak awal.

• Pilihan Pengguna adalah Pedang Bermata Dua: Ketika diberi pilihan, pengguna secara konsisten memilih jalan yang paling mudah, yang seringkali berarti memilih metode MFA yang akrab tetapi kurang aman seperti SMS. Ini mengarah pada keadaan "teater kepatuhan", di mana organisasi memenuhi isi mandat tetapi bukan semangatnya, tetap rentan terhadap phishing. Strategi yang sukses harus secara aktif membimbing pengguna menuju opsi yang lebih kuat dan tahan phishing.

• Pemulihan Menjadi Titik Lemah (Achilles' Heel): Di dunia yang mewajibkan MFA, pemulihan akun berubah dari kasus pinggiran menjadi beban operasional utama dan kerentanan keamanan yang kritis. Bergantung pada email atau SMS untuk pemulihan merusak seluruh model keamanan, sementara pemulihan yang dipandu helpdesk tidak berkelanjutan secara finansial. Proses pemulihan yang kuat, aman, dan ramah pengguna bukanlah hal yang dipikirkan belakangan; itu adalah persyaratan inti untuk setiap kewajiban yang sukses.

• Peluncuran Bertahap Secara Dramatis Mengurangi Risiko: Mencoba peluncuran "big bang" ke seluruh basis pengguna adalah strategi berisiko tinggi. Pendekatan yang lebih bijaksana, yang terbukti dalam penerapan perusahaan besar, adalah dengan mengujicobakan sistem baru dengan kelompok pengguna yang lebih kecil dan non-kritis terlebih dahulu. Ini memungkinkan tim proyek untuk mengidentifikasi dan menyelesaikan bug, menyempurnakan pengalaman pengguna, dan mengumpulkan umpan balik di lingkungan yang terkendali sebelum penerapan skala penuh.

• Platform Identitas Terpusat adalah Pendorong yang Kuat: Organisasi dengan platform Identitas dan Manajemen Akses (IAM) atau Single Sign-On (SSO) terpusat yang sudah ada jauh lebih siap untuk peluncuran yang mulus. Sistem identitas terpusat memungkinkan penerapan kebijakan autentikasi baru secara cepat dan konsisten di ratusan atau ribuan aplikasi, secara signifikan mengurangi kompleksitas dan biaya proyek.

Passkeys, yang dibangun di atas standar WebAuthn dari FIDO Alliance, bukan hanya peningkatan bertahap dari MFA lawas. Arsitektur dasarnya, yang berbasis pada kriptografi kunci publik, dibuat khusus untuk menyelesaikan masalah paling menyakitkan dan persisten yang diciptakan oleh kewajiban MFA.

• Menyelesaikan Mimpi Buruk Pemulihan: Tantangan terbesar dari MFA yang diwajibkan adalah pemulihan akun. Passkeys mengatasi ini secara langsung. Passkey adalah kredensial kriptografis yang dapat disinkronkan di seluruh perangkat pengguna melalui ekosistem platform mereka (seperti iCloud Keychain Apple atau Google Password Manager). Jika pengguna kehilangan ponselnya, passkey masih tersedia di laptop atau tabletnya. Ini secara dramatis mengurangi frekuensi terkunci dan mengurangi ketergantungan pada saluran pemulihan yang tidak aman seperti email atau intervensi helpdesk yang mahal.

• Menyelesaikan Masalah Siklus Hidup Perangkat: Karena passkeys disinkronkan, pengalaman mendapatkan perangkat baru berubah dari titik gesekan tinggi menjadi transisi yang mulus. Ketika pengguna masuk ke akun Google atau Apple mereka di ponsel baru, passkeys mereka secara otomatis dipulihkan dan siap digunakan. Ini menghilangkan proses pendaftaran ulang per aplikasi yang menyakitkan yang diperlukan oleh aplikasi authenticator tradisional yang terikat pada perangkat.

• Menyelesaikan Paradoks Preferensi Pengguna: Passkeys menyelesaikan dilema klasik antara keamanan dan kenyamanan. Metode autentikasi paling aman yang tersedia, kriptografi kunci publik yang tahan phishing, juga merupakan yang tercepat dan termudah bagi pengguna. Satu gerakan biometrik atau PIN perangkat adalah semua yang diperlukan. Tidak ada insentif bagi pengguna untuk memilih opsi yang lebih lemah dan kurang aman, karena opsi terkuat juga yang paling nyaman.

• Menyelesaikan Kerentanan Phishing: Passkeys tahan phishing secara desain. Pasangan kunci kriptografis yang dibuat selama pendaftaran terikat pada asal spesifik situs web atau aplikasi (misalnya, corbado.com). Pengguna tidak dapat ditipu untuk menggunakan passkey mereka di situs phishing yang mirip (misalnya, corbado.scam.com) karena browser dan sistem operasi akan mengenali ketidakcocokan asal dan menolak untuk melakukan autentikasi. Ini memberikan jaminan keamanan fundamental yang tidak dapat ditawarkan oleh metode berbasis rahasia bersama (seperti kata sandi atau OTP).

• Menyelesaikan Kelelahan MFA: Satu tindakan pengguna yang sederhana, seperti pemindaian Face ID atau sentuhan sidik jari, secara bersamaan membuktikan kepemilikan kunci kriptografis pada perangkat ("sesuatu yang Anda miliki") dan inherensi melalui biometrik ("sesuatu yang melekat pada Anda"). Ini terasa seperti satu langkah mudah bagi pengguna tetapi secara kriptografis memenuhi persyaratan untuk multi-factor authentication. Ini memungkinkan organisasi untuk memenuhi standar kepatuhan yang ketat tanpa menambahkan langkah-langkah ekstra dan beban kognitif yang terkait dengan MFA lawas.

Beralih dari MFA lawas ke strategi yang mengutamakan passkey memerlukan pendekatan multi-tahap yang disengaja yang membahas teknologi, pengalaman pengguna, dan tujuan bisnis.

Sebelum Anda dapat mewajibkan passkeys, Anda harus memahami kapasitas teknis basis pengguna Anda untuk mengadopsinya. Ini adalah langkah pertama yang penting untuk mengukur kelayakan dan jadwal peluncuran.

• Analisis Lanskap Perangkat Anda: Gunakan alat analisis web yang ada untuk mengumpulkan data tentang sistem operasi (iOS, Android, versi Windows) dan browser yang disukai pengguna Anda.

• Gunakan Alat Kesiapan Passkey: Untuk data yang lebih tepat, alat yang ringan dan menjaga privasi seperti Corbado Passkeys Analyzer dapat diintegrasikan ke dalam situs web atau aplikasi Anda. Ini memberikan analitik waktu nyata tentang persentase pengguna Anda yang perangkatnya mendukung authenticator platform (seperti Face ID, Touch ID, dan Windows Hello) dan peningkatan UX penting seperti Conditional UI, yang memungkinkan pengisian otomatis passkey. Data ini penting untuk membangun model adopsi yang realistis.

Transisi ke passkeys akan bertahap, tidak instan. Strategi yang sukses memerlukan sistem hibrida yang mempromosikan passkeys sebagai metode utama yang lebih disukai sambil menyediakan cadangan yang aman untuk pengguna pada perangkat yang tidak kompatibel atau bagi mereka yang belum mendaftar.

• Pilih Pola Integrasi:

  • Identifier-First: Pengguna memasukkan email atau nama pengguna mereka. Sistem kemudian memeriksa apakah passkey terdaftar untuk pengenal tersebut dan, jika ya, memulai alur login passkey. Jika tidak, sistem akan beralih ke kata sandi atau metode aman lainnya dengan mulus. Pendekatan ini menawarkan pengalaman pengguna terbaik dan biasanya menghasilkan tingkat adopsi yang lebih tinggi.

  • Tombol Passkey Khusus: Tombol "Masuk dengan passkey" ditempatkan di samping formulir login tradisional. Ini lebih sederhana untuk diimplementasikan tetapi membebankan pada pengguna untuk memilih metode baru, yang dapat mengakibatkan penggunaan yang lebih rendah.

• Pastikan Cadangan Aman: Mekanisme cadangan Anda tidak boleh merusak tujuan keamanan Anda. Hindari beralih ke metode yang tidak aman seperti OTP SMS. Alternatif yang lebih kuat adalah menggunakan kode sekali pakai yang sensitif terhadap waktu atau tautan ajaib yang dikirim ke alamat email terverifikasi pengguna, yang berfungsi sebagai faktor kepemilikan untuk sesi tertentu.

Komunikasi yang efektif sangat penting untuk peluncuran yang mulus. Tujuannya adalah untuk membingkai passkeys bukan sebagai kerepotan keamanan lain, tetapi sebagai peningkatan signifikan pada pengalaman pengguna.

• Pesan Berbasis Manfaat: Gunakan bahasa yang jelas dan sederhana yang berfokus pada manfaat pengguna: "Masuk lebih cepat dan lebih aman," "Ucapkan selamat tinggal pada lupa kata sandi," dan "Sidik jari Anda sekarang adalah kunci Anda." Gunakan ikon passkey FIDO resmi secara konsisten untuk membangun pengenalan.

• Strategi Peluncuran Bertahap:

  1. Mulai dengan Adopsi "Tarik" (Pull): Awalnya, tawarkan pembuatan passkey sebagai opsi di dalam halaman Pengaturan Akun pengguna. Ini memungkinkan pengguna awal dan yang melek teknologi untuk ikut serta tanpa mengganggu alur bagi semua orang.

  2. Beralih ke Adopsi "Dorong" (Push): Setelah sistem stabil, mulailah secara proaktif meminta pengguna untuk membuat passkey segera setelah mereka berhasil masuk dengan kata sandi lama mereka. Ini menangkap pengguna ketika mereka sudah dalam "pola pikir autentikasi."

  3. Integrasikan ke dalam Onboarding: Akhirnya, jadikan pembuatan passkey sebagai opsi utama yang direkomendasikan untuk semua pendaftaran pengguna baru.

Pendekatan berbasis data sangat penting untuk memvalidasi investasi dalam passkeys dan untuk terus mengoptimalkan pengalaman. Semua tim harus melacak metrik yang relevan dengan peran mereka.

• Metrik Adopsi & Keterlibatan:

  • Tingkat Pembuatan Passkey: Persentase pengguna yang memenuhi syarat yang membuat passkey.

  • Tingkat Penggunaan Passkey: Persentase total login yang dilakukan dengan passkey.

  • Waktu hingga Tindakan Kunci Pertama: Seberapa cepat pengguna baru melakukan tindakan penting setelah mengadopsi passkeys.

• Metrik Bisnis & Operasional:

  • Pengurangan Tiket Reset Kata Sandi: Ukuran langsung dari pengurangan biaya helpdesk.

  • Pengurangan Biaya OTP SMS: Penghematan biaya nyata dari penghapusan faktor lawas.

  • Tingkat Keberhasilan Login: Membandingkan tingkat keberhasilan login passkey dengan login kata sandi/MFA.

  • Penurunan Insiden Pengambilalihan Akun: Ukuran utama dari efektivitas keamanan.

Tabel berikut memberikan ringkasan singkat, membandingkan metode autentikasi dan memetakan solusi passkey secara langsung ke masalah bisnis umum.

Bagaimana Passkeys Memberikan Solusi untuk Masalah Kewajiban MFA

Era kewajiban Multi-Factor Authentication akan terus berlanjut. Meskipun lahir dari kebutuhan kritis untuk bertahan dari serangan berbasis kredensial, kewajiban ini secara tidak sengaja telah menciptakan lanskap tantangan baru.

Kita telah melihat bahwa pemberlakuan MFA menimbulkan beban operasional yang signifikan, dari biaya langsung biaya SMS hingga lonjakan tiket helpdesk dari pengguna yang kesulitan dengan pendaftaran dan penggantian perangkat. Kita telah belajar bahwa ketika diberi pilihan, pengguna cenderung memilih metode yang akrab tetapi dapat di-phishing seperti SMS, mencapai kepatuhan di atas kertas tetapi meninggalkan organisasi terpapar serangan dunia nyata. Yang paling penting, kita telah menetapkan bahwa di dunia yang mewajibkan MFA, pemulihan akun menjadi titik kegagalan terbesar, sumber frustrasi pengguna yang luar biasa, dan lubang keamanan yang menganga jika tidak ditangani dengan benar.

Metode MFA lawas tidak dapat menyelesaikan masalah ini. Tetapi passkeys bisa. Kita telah menunjukkan bahwa passkeys adalah jawaban definitif, secara langsung menyelesaikan masalah yang saling terkait yaitu pemulihan, gesekan pengguna, dan keamanan. Sifatnya yang tersinkronisasi menghilangkan sebagian besar skenario terkunci, kemudahan penggunaan biometriknya menghilangkan insentif untuk memilih opsi yang lebih lemah, dan desain kriptografisnya membuatnya kebal terhadap phishing. Terakhir, kita telah menyusun cetak biru empat langkah yang jelas, dari mengaudit kesiapan hingga mengukur keberhasilan, yang memberikan jalur praktis bagi setiap organisasi untuk melakukan transisi strategis ini.

Melihat pergeseran ini semata-mata sebagai masalah kepatuhan berarti melewatkan peluang strategis yang ditawarkannya. Para pelopor Strong Customer Authentication di perbankan Eropa, meskipun mengalami kesulitan awal, pada akhirnya membentuk ekspektasi pengguna untuk seluruh industri. Hari ini, para pelopor passkeys memiliki kesempatan yang sama. Dengan merangkul transisi ini, organisasi dapat mengubah mandat keamanan dari kewajiban yang memberatkan menjadi keunggulan kompetitif yang kuat dan langgeng. Waktunya untuk merencanakan langkah Anda dari kewajiban menjadi momentum adalah sekarang.