Passkeys Finom: Merevolusi Keamanan Perbankan

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Perbankan modern membutuhkan keamanan terbaik di kelasnya, sekaligus harus mempermudah kehidupan nasabah. Itulah sebabnya Finom, sebuah fintech perintis yang berbasis di Amsterdam, telah mengambil langkah maju yang signifikan dengan memperkenalkan passkeys sebagai metode autentikasi utama yang baru untuk aplikasi web mereka. Sebagai bukti inovasi, implementasi passkeys oleh Finom tidak hanya menantang paradigma kata sandi tradisional (+ MFA tradisional melalui SMS OTP), tetapi juga sejalan dengan meningkatnya permintaan akan pengalaman pengguna yang lebih aman, nyaman, dan berfokus pada privasi. Postingan blog ini membahas pengaturan teknis dan manfaat bagi pengguna akhir dari implementasi passkey Finom, serta menawarkan wawasan mengapa pendekatan ini dapat menandai era baru untuk passkeys dalam perbankan dan layanan keuangan.

Passkeys merepresentasikan pergeseran paradigma dalam autentikasi, beralih dari sistem berbasis kata sandi yang rentan ke autentikasi yang lebih aman dan tahan-phishing. Aplikasi web Finom mengadopsi teknologi ini, memungkinkan pengguna untuk melakukan autentikasi melalui berbagai perangkat—komputer, smartphone, atau kunci keamanan perangkat keras (misalnya, YubiKeys), sehingga juga mendukung authenticator lintas platform / roaming.

Finom has introduced passkeys

Join them

Finom memastikan aksesibilitas yang luas dengan menyelaraskan diri dengan standar industri untuk kompatibilitas browser dan sistem operasi. Versi browser berikut mendukung passkeys (menurut FAQ resmi passkeys Finom):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Berbeda dengan FAQ resmi passkeys Finom, autentikasi passkey juga berfungsi selama pengujian kami pada versi Firefox terbaru (v122) di Windows 11 23H2 dan macOS Sonoma 14.2.1.

Mengenai dukungan sistem operasi secara umum, untuk perangkat desktop, kami berhasil menguji autentikasi passkey di Windows 11 dan macOS Sonoma (tidak ada versi OS minimum resmi yang disebutkan dalam FAQ).

Pengguna perangkat seluler harus memastikan sistem mereka diperbarui ke iOS 16+ atau Android 9+ untuk dukungan passkey penuh. Kabar baiknya adalah mayoritas perangkat seluler (lebih dari 94%) sudah mendukung passkeys.

Proses pembuatan passkeys di Finom mendukung seluruh spektrum passkeys, menggunakan berbagai mode transport termasuk USB, NFC, BLE, hybrid, dan opsi internal. Fleksibilitas ini memastikan bahwa pengguna memiliki banyak pilihan untuk autentikasi, sesuai dengan preferensi pribadi atau kebutuhan situasional mereka.

Beberapa aspek yang perlu disorot dari pengaturan server WebAuthn dan analisis mendalam tentang PublicKeyCredentialCreationOptions:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Penggunaan parameter excludeCredentials untuk menghindari pembuatan passkey baru di perangkat yang sudah memiliki passkey.
• Relying Party ID diatur ke app.finom.co untuk memastikan autentikasi yang aman dan spesifik untuk domain tersebut.
• Attestation langsung mengharuskan perangkat untuk memberikan pernyataan attestation, sehingga membuktikan keaslian kredensial autentikasi.
• userVerification diwajibkan, sehingga memastikan hanya pengguna yang sah yang dapat memulai proses autentikasi.
• Penggunaan residentKeys tidak dianjurkan karena Conditional UI belum diluncurkan. Namun, perilaku pembuatan passkey sangat bergantung pada authenticator apakah mereka mempertimbangkan nilai residentKeys (lihat artikel ini). Selain itu, Finom sebenarnya akan mendapat manfaat jika sudah membuat resident keys untuk dukungan Conditional UI di masa depan. Di sisi lain, keputusan ini menghemat penyimpanan pada kunci keamanan perangkat keras (misalnya, YubiKeys), karena seringkali hanya memiliki kapasitas terbatas untuk resident keys.

PublicKeyCredentialRequestOptions sama pentingnya, memfasilitasi proses autentikasi dengan konfigurasi yang memastikan fleksibilitas dan keamanan:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• allowCredentials diatur (semua kredensial diatur terlepas dari perangkat yang digunakan sebagai klien oleh pengguna) untuk memastikan hanya passkey terdaftar yang dapat digunakan.
• userVerification tidak dianjurkan, yang menarik dalam seremoni login, karena ini diwajibkan dalam seremoni pembuatan passkey.

Aspek berorientasi masa depan dari implementasi passkey Finom adalah potensi untuk berbagi passkey lintas perangkat. Dengan menganalisis file asosiasi yang disediakan di https://app.finom.co/.well-known/assetlinks.json untuk Android dan https://app.finom.co/.well-known/apple-app-site-association untuk iOS, menjadi jelas bahwa Finom sedang meletakkan dasar untuk integrasi passkey yang mulus di seluruh aplikasi web dan seluler native mereka. Menambahkan dukungan untuk berbagi lintas perangkat, misalnya menggunakan passkey macOS Anda dari aplikasi web juga di aplikasi iOS native melalui sinkronisasi iCloud Keychain, dapat ditambahkan dengan cepat. Inisiatif ini menjanjikan peningkatan lebih lanjut pada pengalaman pengguna dengan memungkinkan autentikasi yang mudah di berbagai platform dan perangkat.

Inti dari implementasi passkey Finom adalah komitmen untuk memprioritaskan tiga aspek fundamental: keamanan yang tak tertandingi, kesederhanaan yang luar biasa, dan privasi data tanpa kompromi.

• Keamanan: Sistem passkey Finom dirancang untuk membangun penghalang terhadap ancaman siber. Tidak seperti kata sandi konvensional, passkeys terhubung dengan aman ke perangkat pengguna dan domain terverifikasi Finom, yang secara virtual menghilangkan risiko phishing dan akses penipuan.
• Kesederhanaan: Kesederhanaan dalam autentikasi passkey Finom tercermin melalui proses login instannya. Dengan menggunakan Face ID, Touch ID, atau Windows Hello, pengguna dapat memperoleh akses ke akun mereka hanya dalam hitungan detik, tanpa perlu repot mengetik kata sandi yang rumit. Proses autentikasi yang disederhanakan ini tidak hanya meningkatkan kenyamanan pengguna tetapi juga secara signifikan mengurangi waktu login, menetapkan standar baru untuk kemudahan akses di industri perbankan.
• Privasi Data: Finom menempatkan prioritas tertinggi pada privasi dan keamanan data pengguna. Dengan menggunakan sistem di mana passkeys tetap terikat pada perangkat pengguna, Finom memastikan bahwa informasi pribadi, termasuk data biometrik, tetap berada di bawah kendali pengguna dan tidak pernah dibagikan dengan server. Pendekatan ini tidak hanya melindungi privasi pengguna tetapi juga memberdayakan mereka dengan keyakinan bahwa informasi pribadi dan keuangan mereka terlindungi dari akses dan pelanggaran yang tidak sah.

Di perangkat baru, pengguna perlu mengonfirmasi pembuatan passkey baik di aplikasi native Finom iOS / Android melalui notifikasi push atau menggunakan tautan ajaib email. Sampai konfirmasi diberikan, pengguna tidak dapat membuat passkey.

Konfirmasi permintaan pembuatan passkey melalui email:

Sebagai alternatif, Anda dapat mengonfirmasi permintaan pembuatan passkey melalui notifikasi push (di sini aplikasi Android native):

Setelah pembuatan passkey berhasil, Anda akan melihat popup ini:

Finom menyederhanakan pengalaman login dengan menjadikan passkeys sebagai metode autentikasi default (mengutamakan passkey) setelah alamat email pengguna dimasukkan dan pengguna mengklik Lanjutkan (tidak ada kolom kata sandi yang ditampilkan secara default). Pendekatan langsung ini meningkatkan pengalaman pengguna dengan menghilangkan pilihan yang tidak perlu dan tidak lagi memprioritaskan kata sandi. Namun, tidak adanya Conditional UI menandai area potensial untuk perbaikan di masa depan.

Saat membatalkan alur login passkey di pop-up passkey, pengguna menerima peringatan berikut:

Jika pengguna memutuskan untuk mengklik Coba lagi, alur login passkey dimulai lagi dan pop-up passkeys (misalnya Face ID, Touch ID, Windows Hello) muncul, memungkinkan pengguna untuk memindai biometrik lagi.

Jika pengguna memutuskan untuk mengklik Coba cara lain, mereka akan diarahkan ke login lama dengan kolom input alamat email dan kata sandi:

Finom sangat menyarankan untuk tidak menggunakan perangkat non-pribadi atau yang dapat diakses publik untuk autentikasi passkey (misalnya di perpustakaan umum). Risiko yang melekat pada perangkat semacam itu terletak pada aksesibilitasnya; siapa pun yang dapat membuka kunci perangkat (baik melalui kata sandi, kunci layar, atau data biometrik seperti sidik jari atau pengenalan wajah yang terdaftar di perangkat) berpotensi untuk melakukan autentikasi sebagai Anda dan mendapatkan akses ke akun Anda.

Mengadopsi realitas multi-perangkat pengguna saat ini, Finom mendukung autentikasi lintas perangkat (transport hybrid) menggunakan pemindaian kode QR dan pemeriksaan kedekatan Bluetooth. Fitur ini memungkinkan pengalaman autentikasi yang lancar di berbagai perangkat, memfasilitasi login yang mulus dari passkeys yang disimpan di perangkat seluler saat mencoba mengakses Finom dari lingkungan desktop (lihat juga artikel ini untuk detail lebih lanjut mengenai autentikasi lintas perangkat dengan passkeys).

Finom telah memperkenalkan fitur manajemen passkey yang intuitif yang memberdayakan pengguna untuk menyesuaikan dan mengontrol metode autentikasi mereka. Fitur-fitur ini, termasuk kemampuan untuk mengganti nama dan menghapus passkeys, mencerminkan pemahaman mendalam tentang perlunya fleksibilitas dan keamanan dalam mengelola akses digital.

• Beberapa Passkeys untuk Perangkat Berbeda: Finom merekomendasikan pembuatan beberapa passkeys di seluruh perangkat pengguna. Pendekatan ini menjamin akses tanpa gangguan ke layanan Finom melalui passkeys, melayani pengalaman multi-perangkat yang mulus.
• Pencegahan Duplikat yang Cerdas: Dengan memanfaatkan parameter excludeCredentials dalam PublicKeyCredentialCreationOptions, Finom mencegah pembuatan passkeys duplikat pada perangkat yang sama. Langkah ini tidak hanya meningkatkan keamanan tetapi juga menyederhanakan pengalaman pengguna dengan memastikan setiap perangkat memiliki passkey yang unik.
• Konfirmasi Penghapusan Passkey Memerlukan Autentikasi Passkey: Sebelum menghapus passkey, pengguna diharuskan untuk mengautentikasi tindakan tersebut menggunakan passkey. Lapisan keamanan tambahan ini menggarisbawahi pentingnya yang diberikan Finom pada perlindungan akses pengguna dan memastikan bahwa hanya pemilik yang sah yang dapat membuat perubahan signifikan tersebut.

Perhatikan bahwa, logika deteksi ikon tidak sepintar kelihatannya pada awalnya. Saya menyimpan passkeys untuk Google Password Manager di Android saya, namun ditampilkan sebagai Windows. Hal yang sama berlaku untuk authenticator lintas platform / roaming seperti YubiKeys yang pada dasarnya tidak terikat pada sistem operasi tertentu.

Setelah pembuatan passkey berhasil, pengguna akan menerima notifikasi email:

Jika pengguna harus mereset kata sandi mereka, tidak hanya ikatan perangkat dari iOS / Android native yang dihapus, tetapi juga semua passkeys Anda akan dihapus. Lebih tepatnya, kunci publik dari passkeys dihapus di sisi server sehingga login dengan passkeys menjadi tidak mungkin (bahkan setelah Anda memulihkan ikatan perangkat). Kunci privat dari passkey tetap ada di perangkat tetapi tidak berguna untuk upaya login berikutnya.

Implementasi passkey Finom bukan hanya tentang meningkatkan keamanan dan pengalaman pengguna; ini adalah langkah strategis menuju penghematan biaya dari sistem SMS OTP tradisional dan memposisikan diri sebagai fintech modern yang mengutamakan digital dan percaya diri untuk bersaing dengan bank dan lembaga keuangan yang sudah ada. Desain sistem saat ini menunjukkan janji, dengan ruang untuk ekspansi ke dukungan aplikasi native, peluncuran Conditional UI, dan konfirmasi transaksi melalui passkeys.

Dengan beralih dari SMS OTP - metode yang secara historis memiliki celah keamanan - Finom meletakkan dasar untuk manfaat besar dalam strategi autentikasi dan MFA mereka. Transisi ini tidak hanya mengurangi risiko yang terkait dengan SMS OTP tetapi juga sejalan dengan misi Finom untuk memanfaatkan teknologi canggih untuk melindungi data pengguna, meningkatkan pengalaman pengguna perbankan, dan menghemat biaya besar untuk MFA melalui SMS OTP.

Selama pengujian kami, kami mengidentifikasi beberapa area utama untuk perbaikan:

• Memperluas Dukungan Passkey ke Aplikasi Native: Menyadari maraknya perbankan seluler, Finom diharapkan akan segera meluncurkan dukungan passkey ke aplikasi iOS dan Android native mereka yang juga akan sejalan dengan strategi mobile-first mereka. Sebagai pengguna, terutama yang berasal dari perangkat desktop macOS, login di aplikasi iOS iPhone menggunakan iCloud Keychain yang sama dapat disederhanakan secara substansial dibandingkan dengan pengalaman login saat ini.
• Autentikasi Khusus Passkey: Seiring waktu, kami juga berharap Finom akan mempromosikan passkeys sebagai faktor pertama dan satu-satunya pada perangkat yang siap passkey. Ini juga termasuk pembuatan akun baru dengan passkeys sebagai satu-satunya bentuk autentikasi (dengan beberapa opsi cadangan).
• Menerapkan Conditional UI: Pengenalan Conditional UI akan menjadi optimisasi besar lainnya untuk pengalaman pengguna yang telah terbukti sukses besar untuk adopsi passkeys di pemain lain.
• Menggunakan Passkey untuk Konfirmasi Pembayaran: Selama pengujian kami, kami juga melakukan uji pembayaran untuk memeriksa apakah konfirmasi pembayaran juga berfungsi dengan passkeys. Namun, Finom masih menggunakan notifikasi push aplikasi native dan SMS OTP untuk konfirmasi (yang terakhir menjadi pendorong biaya yang substansial). Ini bisa jadi karena tujuan regulasi tetapi kami berharap passkeys dapat digunakan di sini juga di masa depan.

Become part of our Passkeys Community for updates & support.

Join

Satu pertanyaan masih belum terjawab dalam strategi passkey Finom: Apa sikap Finom terhadap kepatuhan PSD2 dan SCA dengan passkeys? Masalah ini secara umum belum sepenuhnya dibahas, tetapi akan menarik untuk mempelajari lebih lanjut tentang perspektif Finom mengenai masalah ini. Untuk wawasan dan pemikiran lebih lanjut tentang kepatuhan PSD2 dari passkeys, lihat postingan blog ini.

Peluncuran passkey Finom menjadi contoh utama bagi sektor perbankan dan layanan keuangan, menunjukkan bagaimana fintech dapat memimpin dalam mengadopsi langkah-langkah keamanan canggih yang memenuhi kebutuhan pengguna modern. Dengan memberikan analisis terperinci tentang sistem passkey Finom, postingan blog ini bertujuan untuk membantu pengembang perangkat lunak, manajer produk, dan spesialis keamanan lainnya belajar tentang implementasi passkeys di sektor keuangan dan perbankan.