Passkey Revolut: Langkah Berani dengan Ruang untuk Peningkatan

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Dalam perbankan digital, kebutuhan akan keamanan yang kuat tanpa mengorbankan pengalaman pengguna telah mendorong lahirnya solusi-solusi inovatif. Di antaranya, passkey sebagai standar baru untuk autentikasi pengguna menjadi yang paling menonjol. Revolut, sebuah neo-bank terkemuka yang berbasis di London, baru-baru ini secara diam-diam mulai meluncurkan passkey untuk akun Personal dan Bisnis. Langkah strategis ini tidak hanya sejalan dengan meningkatnya permintaan akan pengalaman digital yang lebih aman dan nyaman, tetapi juga menempatkan Revolut sebagai pelopor dalam adopsi passkey di sektor perbankan.

Get a free passkey assessment in 15 minutes.

Book free consultation

Dengan peluncuran passkey, Revolut mengikuti tren di kalangan raksasa teknologi, dengan Coinbase, WhatsApp, Nintendo, dan Uber yang memimpin gelombang passkey. Di sektor keuangan, Revolut adalah salah satu bank pertama, jika bukan bank terbesar sejauh ini, yang meluncurkan passkey.

Sanggahan: Kami memperkirakan bahwa dalam beberapa minggu mendatang, passkey akan diluncurkan secara bertahap dalam skala yang lebih luas dan bug akan diperbaiki. Kami akan memperbarui postingan ini sesuai dengan perkembangan. Versi saat ini adalah per tanggal 7 Februari 2024.

Passkey merupakan tahap selanjutnya dalam autentikasi tanpa kata sandi, yang menawarkan cara yang mulus namun aman bagi pengguna untuk mengakses akun mereka. Berbeda dengan kata sandi tradisional, passkey menghilangkan keharusan untuk mengingat kata sandi yang rumit, dan sebagai gantinya mengandalkan kriptografi asimetris dengan kunci yang unik untuk setiap pengguna dan perangkat. Metode ini tidak hanya meningkatkan keamanan dengan mengurangi risiko serangan phishing dan pelanggaran data, tetapi juga menyederhanakan proses login, karena pengguna hanya perlu menggunakan Face ID, Touch ID, atau Windows Hello, sehingga meningkatkan pengalaman pengguna secara keseluruhan.

Revolut menerapkan pengenalan passkey secara bertahap dan juga tidak meluncurkan fitur secara serentak untuk akun Bisnis dan Personal. Perbedaan utama yang kami temukan selama riset kami diuraikan dalam tabel berikut:

Aspek-aspek berikut perlu disebutkan secara positif dalam integrasi passkey Revolut:

• Kepemimpinan Digital yang Aman di Sektor Perbankan: Dengan memimpin dalam adopsi passkey, Revolut tidak hanya mengamankan posisinya sebagai pemimpin digital dalam lanskap perbankan, tetapi juga mendorong lembaga keuangan lain untuk mengikutinya.
• Meningkatkan Pengalaman Pengguna: Passkey adalah bentuk autentikasi pengguna yang paling sederhana, karena pengguna tidak memerlukan perangkat kedua untuk MFA dan juga tidak perlu mengingat kata sandi yang rumit.
• Menghemat Biaya SMS OTP: Salah satu pendorong di balik inisiatif passkey di tingkat perusahaan sering kali bukan hanya peningkatan UX dan manfaat keamanan, tetapi juga penghematan biaya yang sangat besar untuk SMS OTP yang sudah usang dan kurang aman (yang masih tersebar luas di kalangan bank).

Meskipun langkah berani Revolut menuju integrasi passkey patut dipuji, peluncurannya bukannya tanpa kekurangan.

• Kurangnya Sumber Daya Informasi Passkey: Tidak adanya FAQ atau panduan passkey resmi untuk pengguna (kami tidak menemukannya) menunjukkan adanya celah dalam mengomunikasikan peluncuran ini, meskipun fitur-fitur tersebut ditawarkan kepada pengguna. Menyediakan dokumentasi terperinci dapat membantu menjelaskan passkey, mendorong transisi yang lebih lancar bagi semua pengguna.
• UX Passkey yang Tidak Konsisten: Pengamatan mengungkapkan bahwa ketersediaan dan fungsionalitas fitur passkey bervariasi di berbagai perangkat dan platform. Memastikan pengalaman pengguna yang konsisten, di mana pengaturan passkey ditampilkan dengan andal dan popup promosi passkey mengarah pada seremoni pembuatan passkey yang sebenarnya (selama pengujian kami, ini hanya berfungsi di Windows 11), akan meningkatkan kepercayaan pengguna.
• Tidak Adanya Conditional UI: Pengenalan Conditional UI bisa menjadi terobosan. Meningkatkan pengalaman pengguna dengan menawarkan login tidak hanya tanpa kata sandi tetapi juga tanpa nama pengguna akan lebih menyederhanakan proses login dan membuatnya lebih intuitif.
• Tidak Ada Integrasi Aplikasi Native: Saat ini, pendekatan mobile-first Revolut tidak mencakup dukungan passkey dalam aplikasi native iOS dan Android-nya. Mengintegrasikan passkey dengan aplikasi native akan memanfaatkan kesiapan passkey yang tinggi pada perangkat iOS dan Android.
• Tidak Ada Autentikasi Terpadu di Seluruh Platform: Menjembatani kesenjangan antara autentikasi passkey web dan aplikasi native merupakan tantangan yang kompleks (baca postingan blog ini untuk detail teknis lebih lanjut tentang contoh penyiapan). Namun, menciptakan mekanisme autentikasi terpadu yang memungkinkan passkey bersama antara aplikasi web, aplikasi iOS, dan aplikasi Android dapat meningkatkan keamanan dan kenyamanan pengguna.

Revolut has introduced passkeys

Join them

Berikutnya, kami akan membahas lebih dalam tentang akun Revolut Personal dan Bisnis serta bagaimana passkey diluncurkan pada perangkat dan platform tertentu.

Kami memulai analisis passkey Revolut Business dengan melihat lebih dekat pada aplikasi web sebelum menganalisis aplikasi native.

Agar tetap ringkas, selanjutnya kami hanya akan menyoroti kombinasi platform, perangkat, dan browser tertentu.

Perlu dicatat, Anda hanya akan menerima popup passkey dari Revolut satu kali, setelah berhasil login dengan metode autentikasi yang ada. Untuk memicu popup lagi, Anda perlu menghapus cookie Revolut atau mengakses situs dalam mode Incognito / Private Browser.

Saat Anda mengakses halaman login Revolut Business, Anda akan langsung melihat opsi login baru yang menonjol di bawah kolom input email dan di atas login sosial Google / Apple, dengan label: Lanjutkan dengan passkey.

Popup promosi passkey terlihat sebagai berikut:

Menariknya, untuk Revolut Business, meskipun pengidentifikasi pengguna utamanya adalah alamat email, passkey-nya terikat pada nomor telepon, mungkin karena akun Revolut Personal dibuat dengan nomor telepon terlebih dahulu.

Sekarang setelah Anda berhasil membuat passkey di Windows 11 dan Chrome, Anda dapat logout dan mengklik Lanjutkan dengan passkey di halaman login. Selanjutnya, UI browser untuk menangani autentikasi passkey akan muncul:

Berbeda dengan prosedur login saat ini untuk Revolut Business, di mana Anda perlu memberikan kata sandi dan mengonfirmasi identitas Anda melalui notifikasi push di aplikasi native atau tautan ajaib email sebagai faktor kedua, tidak ada metode autentikasi tambahan yang diperlukan untuk login dengan passkey, karena passkey secara inheren berfungsi sebagai 2FA. Ini merupakan peningkatan signifikan dalam pengalaman pengguna, terutama pada perangkat desktop, karena menghilangkan kebutuhan untuk beralih konteks atau menggunakan perangkat kedua.

Di Android 14 dan di Chrome 121, tombol login Lanjutkan dengan passkey sangat menonjol.

Di iOS 17.3 dan di Safari, tombol login Lanjutkan dengan passkey juga sangat menonjol.

Aplikasi native iOS dan Android untuk Revolut Business belum mendukung passkey. Oleh karena itu, tidak ada opsi Passkey di bagian Keamanan & privasi pada aplikasi iOS (lihat tangkapan layar) atau Android:

Salah satu perbedaan awal yang perlu diperhatikan adalah bahwa Revolut Personal menggunakan nomor telepon sebagai pengidentifikasi pengguna utama. Alih-alih kata sandi, autentikasi dikelola melalui kode sandi 6 hingga 12 digit, sementara Revolut Business menggunakan kode sandi 4 digit dan memanfaatkan kata sandi dalam proses login default.

Agar tetap ringkas, selanjutnya kami hanya akan menyoroti kombinasi platform, perangkat, dan browser tertentu.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Popup promosi passkey berikut ditampilkan saat pertama kali Anda login (atau setelah menghapus cookie / berada dalam mode Private Browser):

Untuk beberapa alasan, setelah mengklik Tambahkan passkey di layar sebelumnya, kami langsung diarahkan ke halaman yang sudah login, tanpa sempat memulai seremoni passkey dengan Touch ID. Setelah menyelidiki masalah ini, kami menemukan panggilan API yang sesuai (https://sso.revolut.com/api/challenges /webauthn) di tab jaringan pada alat pengembang Safari. Namun, panggilan API ini mengembalikan kode status HTTP 403, yang menunjukkan bahwa fitur ini tampaknya belum diluncurkan sepenuhnya.

Berbeda dengan akun Revolut Business, pengaturan akun di Revolut Personal memiliki bagian untuk passkey:

Popup promosi passkey berikut ditampilkan saat pertama kali Anda login (atau setelah menghapus cookie / berada dalam mode Private Browser):

Aplikasi native iOS dan Android untuk Revolut Personal belum mendukung passkey. Namun, aplikasi iOS maupun aplikasi Android (lihat tangkapan layar di bawah) memiliki bagian pengaturan keamanan untuk passkey:

Di bawah ini, kami akan membahas lebih dalam beberapa aspek teknis.

Become part of our Passkeys Community for updates & support.

Join

Kami memeriksa secara spesifik implementasi teknisnya. Pada dasarnya, setiap kali halaman login dimuat, sebuah client_id dikirim ke backend, yang kemudian mengembalikan opsi autentikasi yang berbeda berdasarkan jenis akun:

• Akun Bisnis: Login Apple, Google, Passkeys (WebAuthn)
• Akun Personal: Login Apple, Google

Menariknya, opsi passkey untuk akun Revolut Personal telah disiapkan tetapi belum diaktifkan (lihat tangkapan layar di bawah), yang mengindikasikan bahwa peluncuran bisa segera terjadi dan diimplementasikan dengan cepat, sehingga memungkinkan tombol "Lanjutkan dengan passkey" juga untuk akun Personal.

Keputusan untuk menampilkan opsi login didasarkan pada client_id. Contohnya: https://sso.revolut.com/signin?client_id=o3r08ao16zvdlf2y5fde Untuk tujuan eksperimental, kami mengubah client_id menjadi nilai acak, yang mengungkapkan semua opsi login (termasuk kemungkinan untuk beralih antara nomor telepon dan email sebagai pengidentifikasi login) di Windows 11 dengan Chrome.

Selama seremoni login, kami menganalisis PublicKeyCredentialRequestOptions. Terutama, allowCredentials tidak diatur, sementara ID relying party ditetapkan sebagai "sso.revolut.com." Mengatur userVerification ke 'preferred' adalah pilihan yang bijaksana dari sudut pandang keamanan.

publicKeyCredentialRequestOptions.json
{
    "allowCredentials": [],
    "challenge": "WHAxZnJDaDB1VnNXMmlOQW1hVndqdTYzSzF3emR3b3gtRFRCWHVxRjJYRQ",
    "rpId": "sso.revolut.com",
    "userVerification": "preferred"
}

Kami juga menganalisis bagaimana peluncuran ke aplikasi native iOS dan Android dapat terlihat dan oleh karena itu menggunakan ID relying party dari sso.revolut.com dan menambahkan path ke file assetlinks.json (Android) dan apple-app-site-association (iOS) untuk melihat informasi apa yang mungkin sudah ada di file-file ini mengenai peluncuran passkey.

Upaya untuk mengakses https://sso.revolut.com/.well-known/assetlinks.json menghasilkan error 404 dari nginx, yang menunjukkan penggunaan reverse proxy untuk manajemen file. Dengan menggunakan domain https://app.revolut.com, kami menemukan assetlinks.json di https://app.revolut.com/.well-known/assetlinks.json, yang memberikan informasi mendalam untuk Revolut Personal:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "11:F2:5B:D6:30:60:CE:B4:EF:EC:48:7C:C8:1F:6D:3D:D0:3A:75:C3:E9:D2:C5:32:3D:69:55:9D:C1:7F:6A:23"
            ]
        }
    },
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.revolut.test",
            "sha256_cert_fingerprints": [
                "90:EC:5D:75:11:4E:67:B7:F1:3F:C0:D0:57:85:9B:78:0D:A0:BA:49:E2:22:4C:60:42:7E:D2:EA:00:84:D1:B7"
            ]
        }
    }
]

Melalui https://well-known.dev, kami juga menemukan file asosiasi untuk Revolut Business di https://business.revolut.com/.well-known/assetlinks.json:

assetlinks.json
[
    {
        "relation": ["delegate_permission/common.handle_all_urls"],
        "target": {
            "namespace": "android_app",
            "package_name": "com.revolut.business",
            "sha256_cert_fingerprints": [
                "9C:9B:E0:71:35:E9:72:78:02:82:C2:E5:D2:7D:A0:6E:CB:8E:E3:AD:FC:75:30:39:17:DD:F6:6D:6F:AA:EF:A4",
                "9F:07:80:54:0F:3A:C9:6F:D7:26:02:8A:37:C5:CD:48:DB:A3:67:EE:2D:93:B3:9D:DE:51:BC:F2:2E:7F:B1:88",
                "F8:F5:95:3A:C3:85:DB:0D:85:C3:56:E9:9B:37:BD:CA:4D:EE:B0:D2:52:C6:2A:36:4F:BA:C8:3B:C6:AF:3A:C2"
            ]
        }
    }
]

Karena baik file assetlinks.json untuk Revolut Personal maupun untuk Revolut Business tidak terletak di jalur yang ditentukan oleh ID relying party untuk mengasosiasikan aplikasi Android native dengan aplikasi web, menarik untuk mempertimbangkan perubahan apa yang diperlukan agar passkey dapat berfungsi di kedua aplikasi, web dan Android native.

File apple-app-site-association untuk Revolut Personal dapat diakses di https://revolut.com/.well-known/apple-app-site-association, tanpa detail yang ditambahkan mengenai kredensial web:

apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            }
        ]
    }
}

Sebaliknya, file apple-app-site-association Revolut Business berisi informasi yang lebih komprehensif, terutama mengenai kredensial web. Ini menunjukkan bahwa aplikasi iOS QUZEZSEARC.com.revolut.business dikonfigurasi untuk berbagi kredensial dengan aplikasi web Revolut Business. File ini dapat diakses di https://business.revolut.com/.well-known/apple-app-site-association.

{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.business",
                "paths": [
                    "/",
                    "/accept-payments/in-person",
                    "/accept-payments/online-requests",
                    "/accept-payments/web-integrations",
                    "/accounts",
                    "/accounts/connect-external",
                    "/accounts/connect-external/*",
                    "/accounts/new",
                    "/accounts/transactions",
                    "/account-transactions/*",
                    "/action/confirm",
                    "/add-card-to-wallet",
                    "/advances",
                    "/advances/manual-repayment",
                    "/app/*",
                    "/application",
                    "/approvals/requests",
                    "/article/*",
                    "/articles/*",
                    "/bug-report",
                    "/card-reader/order",
                    "/cards",
                    "/cards/*",
                    "/cards/*/sca-counters-exceed",
                    "/cards/*/sca-counters-warn",
                    "/cards/*/security",
                    "/cards/*/settings",
                    "/cards/*/transactions",
                    "/cashback",
                    "/catalogue/manage",
                    "/challenges/*",
                    "/consumer-tickets/*",
                    "/crypto",
                    "/e-commerce",
                    "/exchange",
                    "/expense-documents/*",
                    "/expenses",
                    "/expenses/*",
                    "/faq",
                    "/faq/*",
                    "/favourites",
                    "/form",
                    "/form/*",
                    "/help-centre",
                    "/help-centre/topic/*",
                    "/hub/integrations",
                    "/insurance",
                    "/invoices",
                    "/invoices/*",
                    "/marketplace",
                    "/merchant",
                    "/merchant/*",
                    "/new-card-acceptance-pricing",
                    "/offboarding",
                    "/open-onboarding-application-next-step",
                    "/orders",
                    "/pay-in-store/order/*",
                    "/payments",
                    "/payments/scheduled",
                    "/payments/transfers",
                    "/plan/subscriptions",
                    "/points",
                    "/pricing-plans",
                    "/qr-code-sign-in/*",
                    "/referrals",
                    "/referrals/invite-contacts",
                    "/referrals/invitee-details/*",
                    "/request-info",
                    "/request-info/merchant",
                    "/requests",
                    "/requests/request",
                    "/reset-password",
                    "/rewards",
                    "/sales/revolut-me",
                    "/statements",
                    "/savings",
                    "/send",
                    "/settings/accounts-and-documents",
                    "/settings/business-profile",
                    "/settings/manage-devices",
                    "/settings/merchant-profile",
                    "/settings/merchant-profile/branding",
                    "/settings/notifications",
                    "/settings/personal-profile",
                    "/settings/trusted-merchants",
                    "/settings/vat-number",
                    "/signup/invite",
                    "/stories/*",
                    "/story/*",
                    "/subscriptions",
                    "/team",
                    "/team/approvals",
                    "/team/member/add",
                    "/team/roles",
                    "/tip/settings",
                    "/topup",
                    "/transactions",
                    "/transactions/*/add-expense-info",
                    "/transactions/*/add-info-flow",
                    "/transactions/*/chargeback-status",
                    "/transfers",
                    "/treasury",
                    "/upgrade",
                    "/vouchers"
                ]
            }
        ]
    },
    "webcredentials": {
        "apps": ["QUZEZSEARC.com.revolut.business"]
    }
}

Sama seperti Android, tetap menarik bagaimana pembagian passkey lintas platform antara aplikasi native dan web dapat diimplementasikan, mengingat ID relying party untuk aplikasi web (sso.revolut.com) tidak memiliki file asosiasi di lokasi yang diharapkan.

Sebagai kesimpulan, peluncuran passkey oleh Revolut adalah langkah signifikan menuju revolusi autentikasi pengguna di sektor perbankan. Dengan mengadopsi passkey, Revolut tidak hanya meningkatkan keamanan dengan beralih dari kata sandi tradisional, tetapi juga secara signifikan meningkatkan UX melalui proses login yang lebih sederhana. Meskipun menghadapi tantangan dalam peluncuran awal, termasuk inkonsistensi di berbagai perangkat dan tidak adanya dukungan aplikasi native, upaya Revolut menggarisbawahi komitmen terhadap inovasi digital dan desain yang berpusat pada pengguna.

Analisis teknis mengungkapkan bahwa meskipun landasan untuk integrasi passkey yang mulus telah diletakkan, ada area yang matang untuk perbaikan. Meningkatkan komunikasi, memastikan konsistensi di seluruh platform, dan memperluas dukungan untuk mencakup aplikasi seluler native adalah langkah-langkah penting berikutnya. Mengatasi area-area ini tidak hanya akan menyempurnakan implementasi Revolut tetapi juga menetapkan tolok ukur bagi industri, mendorong lembaga keuangan lain untuk segera mengadopsi passkey (lihat juga postingan blog kami tentang kepatuhan passkey terhadap PSD2).