Bank-Bank Singapura dan Passkeys: Menggantikan OTP SMS

Monetary Authority of Singapore (MAS) telah mengumumkan bahwa semua bank ritel besar di negara tersebut harus menghapus OTP secara bertahap dan menggantinya dengan “token digital” dalam tiga bulan ke depan. Langkah ini, yang bekerja sama dengan Association of Banks in Singapore (ABS), bertujuan untuk melindungi konsumen dari phishing dan penipuan lainnya yang telah merugikan lebih dari $14 juta pada tahun 2023. Dalam postingan blog ini, kami ingin membahas:

• Menghentikan OTP: Mengapa MAS memprioritaskan penghentian OTP?
• Token Digital: Apa itu token digital dan mengapa lebih aman?
• Passkeys: Dapatkah passkeys membantu memenuhi persyaratan baru?

Mari kita mulai dengan melihat lebih dekat pengumuman Monetary Authority of Singapore (MAS) “Bank-Bank di Singapura akan Memperkuat Ketahanan Terhadap Penipuan Phishing”.

Pada 9 Juli 2024, Monetary Authority of Singapore (MAS) dan Association of Banks in Singapore (ABS) mengumumkan langkah signifikan untuk meningkatkan keamanan perbankan digital dengan menghapus penggunaan One-Time Passcodes (OTP) secara bertahap. Transisi ini akan dilakukan secara progresif selama tiga bulan ke depan dan bertujuan untuk melindungi konsumen dengan lebih baik dari penipuan phishing, yang telah menjadi ancaman utama dalam perbankan digital. Meskipun pengumuman tersebut hanya merujuk pada “One-Time Passwords” dan OTP, pengumuman ini secara khusus menargetkan OTP SMS.

Pelanggan yang telah mengaktifkan token digital mereka di perangkat seluler sekarang akan diminta untuk menggunakan token ini untuk masuk ke rekening bank mereka melalui browser atau aplikasi perbankan seluler. Token digital akan mengautentikasi login pelanggan tanpa memerlukan OTP, yang dapat dicuri oleh penipu atau membuat pelanggan tertipu untuk mengungkapkannya. Kami akan memberikan detail lebih lanjut tentang apa itu token digital di bab berikutnya.

Kemajuan teknologi dan teknik phishing yang canggih telah melampaui keamanan yang pernah diberikan oleh OTP SMS. Penipu sekarang membuat situs web bank palsu yang sangat mirip dengan situs asli, memikat pelanggan untuk memasukkan OTP dan kredensial lainnya. Peralihan ke faktor autentikasi yang tahan phishing memperkuat keamanan, membuatnya jauh lebih sulit bagi penipu untuk mendapatkan akses tidak sah ke akun pelanggan.

Penipuan phishing tetap menjadi perhatian yang terus-menerus di Singapura. Bank terus bekerja sama secara erat dengan MAS dan Kepolisian Singapura untuk mengembangkan dan memperkenalkan langkah-langkah yang memperkuat perlawanan kolektif terhadap lanskap penipuan yang terus berkembang. Ibu Ong-Ang Ai Boon, Direktur ABS, menekankan bahwa meskipun langkah baru ini mungkin menimbulkan beberapa ketidaknyamanan, ini adalah langkah yang diperlukan untuk mencegah penipuan dan melindungi pelanggan.

Ibu Loo Siew Yee, Asisten Direktur Pelaksana (Kebijakan, Pembayaran & Kejahatan Keuangan) di MAS, menyoroti bahwa MAS berkomitmen untuk bekerja sama secara erat dengan bank untuk melindungi konsumen dari penipuan perbankan digital. Dia mencatat bahwa langkah terbaru ini akan melengkapi praktik kebersihan siber yang baik yang harus terus diikuti oleh pelanggan, seperti menjaga kredensial perbankan mereka.

Langkah oleh MAS dan ABS ini menunjukkan komitmen mereka untuk meningkatkan keamanan perbankan digital dengan mewajibkan penggunaan token digital. Yang kurang dari pengumuman tersebut adalah garis besar yang jelas tentang apa persyaratan untuk token digital dalam hal autentikasi. Mari kita lihat lebih dekat hal itu di bagian selanjutnya.

Token digital merupakan kemajuan dalam keamanan online, memberikan alternatif yang lebih kuat daripada One-Time Passcodes (OTP) SMS tradisional. Tidak seperti OTP SMS, yang dikirimkan melalui SMS (atau email) dan dapat disadap atau di-phishing, token digital terikat pada perangkat tertentu, biasanya ponsel, memastikan bahwa hanya pemilik perangkat yang dapat menghasilkan kode autentikasi yang diperlukan.

Token digital dapat beroperasi secara berbeda:

• Token digital berbasis waktu (kurang aman): Token ini adalah kode dinamis berbasis waktu yang digunakan untuk mengautentikasi identitas pengguna. Token ini diproduksi oleh aplikasi native di perangkat seluler pengguna, seperti aplikasi milik bank – dalam sebagian besar implementasi, kode sebenarnya tidak lagi ditampilkan tetapi hanya notifikasi push yang meminta persetujuan pengguna dengan detail transaksi dan kemudian dikirim kembali ke server perbankan.
• Token digital kriptografis (lebih aman): Token digital kriptografis merupakan metode autentikasi yang bahkan lebih aman dibandingkan dengan token berbasis waktu. Token ini menggunakan pasangan kunci publik-privat yang disimpan di dalam aplikasi atau di dalam secure enclave ponsel. Selama proses autentikasi, server perbankan mengirimkan tantangan ke perangkat pengguna. Perangkat kemudian menggunakan kunci privatnya untuk menandatangani tantangan ini, dan respons yang ditandatangani dikirim kembali ke server. Server memverifikasi tanda tangan menggunakan kunci publik yang sesuai. Metode ini memastikan bahwa bahkan jika penyerang menyadap komunikasi, mereka tidak dapat mereplikasi proses autentikasi tanpa akses ke kunci privat pengguna, yang tetap tersimpan dengan aman di perangkat.

Keamanan token digital lebih kuat karena beberapa fitur utama:

1. Pengikatan Perangkat: Token terikat pada perangkat tertentu, yang berarti kode autentikasi hanya dapat dibuat oleh perangkat tersebut. Pengikatan perangkat ini membuatnya sangat sulit bagi penyerang untuk mereplikasi atau mentransfer token ke perangkat lain.
2. Pengaturan Multi-faktor: Pengaturan awal token digital sering kali melibatkan penggunaan OTP yang dikirim melalui SMS dan email untuk memverifikasi identitas pengguna selain PIN perbankan (beberapa bank juga memensiunkan token fisik dengan pendekatan ini. Kemudian, token OTP fisik dapat digunakan). Setelah token diaktifkan, token tersebut menjadi metode utama untuk autentikasi, menghilangkan kebutuhan akan OTP di masa mendatang dan kerentanan terkaitnya. Misalnya, DBS Bank menggunakan kombinasi OTP SMS dan email selama pengaturan awal token digital, setelah itu autentikasi yang sedang berlangsung hanya mengandalkan token tersebut.
3. Perlindungan berbasis waktu atau kriptografis: Token digital menggunakan algoritme kriptografis yang kuat atau algoritme berbasis waktu (TOTP) untuk menghasilkan kode autentikasi, memastikan bahwa bahkan jika komunikasi antara perangkat dan server autentikasi disadap, kode tersebut tidak dapat dengan mudah didekripsi atau dipalsukan.

DBS Bank, sebuah lembaga keuangan besar di Singapura, telah berhasil mengimplementasikan token digital untuk meningkatkan keamanan bagi para nasabahnya. Bank meminta

• Sesuatu yang pengguna ketahui: PIN
• Sesuatu yang pengguna miliki: OTP SMS (akses ke telepon yang ditetapkan ke nomor telepon)
• Sesuatu yang pengguna miliki: OTP email (akses ke email yang ditetapkan ke akun)

untuk mengatur token digital di perangkat seluler nasabah. Setelah diatur, token digital menjadi satu-satunya metode untuk mengautentikasi login dan transaksi, yang secara efektif mengurangi risiko serangan phishing yang menargetkan OTP.

Jika alamat email yang terhubung tidak mutakhir dan token fisik tidak tersedia, pengguna dapat mengatur token digital dengan opsi fallback:

Opsi fallback termasuk identitas digital dengan Singpass, menggunakan mesin Video Teller (VTM) di cabang terdekat dengan nasabah atau meminta kode registrasi untuk dikirimkan secara fisik dalam 3-5 hari.

Langkah dari OTP ke token digital mengatasi beberapa kerentanan yang terkait dengan metode autentikasi tradisional:

• Resistensi Phishing Sebagian: Karena token digital dibuat dan digunakan langsung di perangkat pengguna, tidak ada risiko intersepsi melalui phishing. Bahkan jika seorang penipu menipu pengguna untuk memberikan detail login, mereka tidak dapat menghasilkan kode autentikasi yang diperlukan tanpa akses fisik ke perangkat.
• Mengurangi Area Serangan: Dengan menghilangkan kebutuhan akan SMS dan email sebagai saluran transmisi untuk kode autentikasi, token digital mengurangi area serangan yang dapat dieksploitasi oleh penipu.
• Kenyamanan Pengguna: Meskipun pengaturan awal mungkin memerlukan langkah-langkah ekstra, penggunaan token digital yang berkelanjutan mulus dan nyaman bagi pengguna. Mereka tidak perlu lagi menunggu OTP tiba melalui SMS atau email, yang terkadang bisa tertunda atau terblokir.

Sementara phishing sebagian ditingkatkan, risiko baru sekarang adalah pelanggan akan menjadi korban serangan kelelahan MFA dengan terus-menerus terbiasa dengan permintaan autentikasi token digital, penyerang mungkin memanfaatkan ini dan mengirimkan permintaan semacam itu dari halaman phishing.

Itulah alasan mengapa perusahaan teknologi yang lebih besar (misalnya Google dan Microsoft) yang telah mengalami banyak pelanggaran telah mulai memperkenalkan tantangan ke dalam notifikasi push tersebut, misalnya memilih nomor yang tepat untuk melindungi pelanggan.

Token digital menawarkan metode yang lebih aman untuk autentikasi dalam lanskap perbankan digital tetapi tidak menghilangkan risiko phishing sepenuhnya. Seorang penyerang masih bisa menipu korban untuk mengautentikasi aksesnya dengan meyakinkan korban untuk mengonfirmasi permintaan token digital. Apa yang ditunjukkan oleh implementasi DBS Bank adalah bahwa dimungkinkan untuk dengan mudah mendaftarkan pelanggan ke bentuk autentikasi lain dengan menggunakan faktor-faktor yang ada yang digabungkan. Pertanyaannya pada saat itu, mengapa MAS dan DBS bank tidak memperkenalkan passkeys? Mari kita lihat itu.

Seperti yang telah kita lihat, token digital merupakan langkah maju dalam mengamankan transaksi perbankan digital dibandingkan dengan OTP SMS tradisional. Namun, meskipun token digital memberikan fitur keamanan yang ditingkatkan, token tersebut tidak sepenuhnya tahan terhadap phishing. Seorang penyerang masih bisa menipu korban untuk mengautentikasi permintaan penipuan dengan meyakinkan mereka untuk mengonfirmasi permintaan token digital. Kerentanan yang berkelanjutan ini menunjukkan bahwa token digital, meskipun merupakan perbaikan, bukan merupakan langkah yang cukup berani untuk mengamankan perbankan online.

Passkeys menawarkan metode autentikasi yang benar-benar tahan phishing. Tidak seperti token digital, passkeys secara inheren tahan terhadap serangan phishing karena hanya dapat digunakan di situs web atau aplikasi yang benar. Ini memastikan bahwa pengguna tidak dapat ditipu untuk memasukkan kredensial mereka di situs palsu. Passkeys mengandalkan kriptografi kunci publik-privat, di mana kunci privat disimpan dengan aman di perangkat pengguna dan dienkripsi dengan aman di cloud sistem operasi yang terpasang. Kunci publik dibagikan dengan layanan autentikasi.

Berikut cara passkeys meningkatkan keamanan:

1. Resistensi Phishing: Passkeys menghilangkan risiko memasukkan detail autentikasi di situs web palsu. Karena proses autentikasi hanya dapat dilanjutkan di situs sah yang mengeluarkan tantangan, upaya phishing menjadi tidak efektif. Secara teknis tidak mungkin menggunakan passkey di halaman yang salah dan juga tidak mungkin bagi konsumen rata-rata untuk mengekspor passkey ke pihak asing.
2. Dukungan Multi-Perangkat: Tidak seperti token digital, yang sering terikat pada satu perangkat, passkeys dapat disinkronkan di seluruh perangkat yang diautentikasi dalam cloud yang sama atau pengelola kata sandi dengan cara yang aman. Ini memberikan fleksibilitas dan kenyamanan bagi pengguna yang mengakses layanan perbankan mereka dari berbagai perangkat.
3. Keamanan Perangkat yang Kuat: Passkeys mengharuskan 2FA diaktifkan dalam ekosistem ponsel (seperti iOS atau Android). Lapisan keamanan tambahan ini memastikan bahwa bahkan jika perangkat disusupi, penyerang perlu melewati 2FA perangkat untuk mendapatkan akses ke passkeys. Kami telah menguraikan detailnya saat menjelaskan detail SCA/PSD2 pada passkeys dan menjelaskan mengapa passkeys yang disinkronkan dapat digunakan untuk perbankan.

Australia telah mengakui pentingnya autentikasi tahan phishing dalam standar Essential Eight, yang menguraikan praktik terbaik untuk cybersecurity. Standar tersebut secara khusus menyebutkan perlunya persyaratan teknis yang mengurangi risiko phishing, memposisikan Australia sebagai pemimpin dalam cybersecurity di kawasan Asia-Pasifik. Singapura, dengan infrastruktur digitalnya yang canggih, harus mengikuti jejak Australia dengan mengintegrasikan passkeys ke dalam standar dan rekomendasinya untuk perusahaan. Ini tidak hanya akan memperkuat keamanan tetapi juga menyelaraskan Singapura dengan praktik terbaik global dalam keamanan digital.

Industri perbankan sedang menunggu panduan peraturan yang jelas yang secara eksplisit akan mengizinkan penggunaan passkeys yang disinkronkan dalam perbankan. Langkah seperti itu akan memberikan kepercayaan diri kepada bank untuk mengadopsi teknologi canggih ini dan menawarkan kepada pelanggan mereka metode autentikasi yang benar-benar aman dan nyaman. Monetary Authority of Singapore (MAS) memiliki kesempatan untuk menetapkan standar baru dalam keamanan perbankan digital dengan mendukung penggunaan passkeys. Dengan melakukan itu, MAS akan menandakan komitmennya untuk memelopori langkah-langkah keamanan mutakhir, memastikan bahwa Singapura tetap berada di garis depan inovasi perbankan digital.

Mengonversi pengguna ke token digital yang lebih aman adalah langkah signifikan untuk meningkatkan keamanan perbankan online di Singapura. Namun, ke depan, penting bagi bank untuk mulai mengadopsi passkeys, yang akan menjadi standar de-facto untuk autentikasi web. Berikut adalah beberapa rekomendasi utama bagi bank-bank Singapura untuk menjamin masa depan infrastruktur keamanan mereka:

1. Mulai Mengumpulkan Passkeys Sejak Dini: Saat beralih ke token digital, bank juga harus memulai proses pengumpulan passkeys dari pengguna. Pendekatan proaktif ini akan mempersiapkan bank untuk transisi yang mulus setelah passkeys diterima dan diadopsi secara luas. Dengan mengintegrasikan pengumpulan passkey ke dalam proses orientasi dan autentikasi saat ini, bank dapat secara bertahap membangun basis data passkeys yang aman.
2. Ganti PIN dengan Passkeys: Langkah praktis dan segera untuk mengadopsi passkeys adalah mengganti PIN tradisional dengan passkeys. Passkeys menawarkan alternatif yang lebih aman dan nyaman daripada PIN, dengan memanfaatkan kriptografi kunci publik-privat. Dengan menerapkan passkeys sebagai metode autentikasi utama, bank dapat meningkatkan keamanan sambil memberikan pengalaman pengguna yang lebih lancar.
3. Gunakan Passkeys sebagai Faktor Pertama atau Ukuran Risiko Tambahan: Passkeys dapat digunakan sebagai faktor autentikasi pertama atau sebagai ukuran risiko tambahan dalam pengaturan autentikasi multi-faktor (MFA). Memasukkan passkeys ke dalam proses autentikasi akan memberikan lapisan keamanan ekstra, membuatnya jauh lebih sulit bagi penyerang untuk menyusupi akun pengguna. Bank dapat memulai dengan menawarkan passkeys sebagai fitur keamanan opsional dan secara bertahap menjadikannya bagian standar dari proses autentikasi.
4. Edukasi Pelanggan tentang Passkeys: Implementasi passkeys yang berhasil memerlukan kesadaran dan penerimaan pelanggan. Bank harus berinvestasi dalam kampanye edukasi untuk memberi tahu pelanggan tentang manfaat dan fitur keamanan passkeys. Komunikasi yang jelas tentang cara kerja passkeys dan perannya dalam melindungi dari serangan phishing akan mendorong lebih banyak pelanggan untuk mengadopsi teknologi ini.
5. Berkolaborasi dengan Regulator dan Rekan Industri: Bank harus secara aktif berkolaborasi dengan badan pengatur seperti Monetary Authority of Singapore (MAS) dan rekan industri untuk menetapkan pedoman standar untuk implementasi passkey. Upaya bersama akan memastikan pendekatan yang konsisten dan aman di seluruh sektor perbankan, meningkatkan keamanan perbankan digital secara keseluruhan di Singapura.
6. Berinvestasi dalam Infrastruktur dan Sistem Pendukung: Menerapkan passkeys memerlukan infrastruktur dan sistem pendukung yang kuat. Bank harus berinvestasi dalam teknologi dan sumber daya yang diperlukan untuk mendukung autentikasi passkey, termasuk sistem manajemen kunci yang aman dan integrasi dengan kerangka kerja autentikasi yang ada. Memastikan pengalaman pengguna yang lancar dan aman akan sangat penting untuk adopsi yang luas.
7. Pantau dan Beradaptasi dengan Ancaman yang Muncul: Memantau lanskap ancaman secara teratur dan memperbarui langkah-langkah keamanan yang sesuai akan membantu bank tetap terdepan dari risiko potensial. Passkeys, dikombinasikan dengan peningkatan keamanan yang berkelanjutan, akan memberikan pertahanan yang tangguh terhadap taktik phishing dan penipuan yang muncul.

Dengan mengikuti rekomendasi ini, keamanan autentikasi di industri Perbankan Singapura dapat meningkat lebih jauh dan juga menemukan integrasinya ke dalam kerangka kerja dan standar kepatuhan seperti Standar Aplikasi Aman yang saat ini kurang menyebutkan passkeys sebagai teknologi autentikasi.

Singkatnya, pengumuman Monetary Authority of Singapore (MAS) untuk menghapus OTP SMS secara bertahap dan beralih ke token digital menandai langkah penting dalam memperkuat keamanan perbankan digital. Langkah ini mengatasi ancaman penipuan phishing yang meningkat, yang telah berdampak signifikan pada konsumen dan sektor perbankan.

• Mengapa menghentikan OTP: MAS memprioritaskan penghentian OTP karena kerentanannya terhadap phishing dan intersepsi. Penipu telah mengeksploitasi kerentanan OTP SMS, mendorong perlunya metode autentikasi yang lebih aman.
• Apa itu Token Digital: Token digital memberikan keamanan yang ditingkatkan dengan terikat pada perangkat dan menggunakan algoritme kriptografis yang kuat. Ini membuat mereka lebih tahan terhadap serangan phishing dibandingkan dengan OTP tradisional. Mereka juga menawarkan kenyamanan dan mengurangi permukaan serangan dengan menghilangkan kebutuhan akan kode autentikasi berbasis SMS atau email.
• Dapatkah Passkeys membantu perbankan Singapura: Passkeys muncul sebagai alternatif yang unggul, menawarkan autentikasi yang kuat dan tahan phishing. Dengan memanfaatkan kriptografi kunci publik-privat, passkeys memastikan bahwa autentikasi hanya dapat terjadi di situs yang sah, secara signifikan mengurangi risiko phishing. Dukungan multi-perangkat dan keamanan perangkat yang kuat semakin meningkatkan daya tarik mereka.

Saat kami menjelajahi keuntungan token digital, kami mencatat keterbatasan mereka dalam menghilangkan risiko phishing sepenuhnya. Passkeys, di sisi lain, memberikan solusi komprehensif, sejalan dengan praktik terbaik internasional dalam keamanan digital. Meskipun transisi ke token digital adalah langkah maju, tujuan utamanya adalah mengadopsi passkeys sebagai standar masa depan untuk autentikasi perbankan digital.