Passkeys PSD2: MFA Tahan Phishing yang Sesuai dengan PSD2

Dalam perbankan digital, keamanan dan pengalaman pengguna tidak lagi harus bertentangan. Passkeys menggabungkan kedua faktor tersebut dengan memperkenalkan MFA yang tahan phishing yang sejalan dengan persyaratan PSD2 dan SCA. Passkeys adalah bentuk autentikasi yang paling aman dan paling ramah pengguna yang dapat diimplementasikan di seluruh layanan keuangan. Lompatan ke depan ini datang pada saat yang krusial, ketika industri perbankan berjuang untuk menerapkan Revised Payment Services Directive (PSD2) - sebuah kerangka kerja peraturan yang dirancang untuk meningkatkan keamanan dan daya saing sektor perbankan Eropa.

Passkeys muncul dalam konteks ini bukan hanya sebagai solusi kepatuhan, tetapi juga sebagai bentuk inovasi yang hebat, menjanjikan untuk memenuhi persyaratan ketat PSD2 tanpa mengorbankan UX. Dalam postingan blog ini, kita akan menganalisis nuansa PSD2 dan mandatnya untuk Strong Customer Authentication (SCA): menjadi jelas bahwa passkeys mewakili masa depan MFA yang tahan phishing di dunia perbankan.

PSD2 adalah sebuah legislasi yang diperkenalkan oleh Uni Eropa untuk merevolusi lanskap layanan pembayaran dan perbankan di Eropa. Tujuan utamanya adalah untuk meningkatkan persaingan, memperkuat perlindungan konsumen, dan mendorong inovasi di ranah pembayaran digital. Dengan mewajibkan akses terbuka ke informasi keuangan nasabah kepada pihak ketiga yang disetujui (dengan persetujuan nasabah), PSD2 membuka jalan bagi ekosistem keuangan yang lebih terintegrasi, efisien, dan ramah pengguna. Namun, dengan kekuatan besar datang tanggung jawab besar, dan PSD2 mengatasi hal ini melalui fokusnya pada keamanan, terutama melalui lensa protokol autentikasi.

Inti dari langkah-langkah keamanan PSD2 adalah persyaratan untuk Strong Customer Authentication (SCA), sebuah protokol yang dirancang untuk secara drastis mengurangi penipuan dan meningkatkan keamanan pembayaran elektronik. SCA dibangun di atas prinsip bahwa pembayaran elektronik tidak hanya harus mulus tetapi juga cukup aman untuk menahan berbagai ancaman. Kerangka kerja autentikasi ini wajib bagi penyedia layanan pembayaran, bank, dan gerbang pembayaran elektronik yang beroperasi di bawah lingkup PSD2.

Penerapan SCA di bawah PSD2 ditentukan oleh beberapa persyaratan penting:

Autentikasi harus melibatkan setidaknya dua elemen dari kategori berikut:

• Pengetahuan: Sesuatu yang hanya diketahui oleh pengguna, seperti kata sandi atau PIN.
• Kepemilikan: Sesuatu yang hanya dimiliki oleh pengguna, seperti perangkat seluler, smart card, atau token perangkat keras.
• Inherensi: Sesuatu yang melekat pada pengguna, termasuk pengidentifikasi biometrik seperti sidik jari, pengenalan wajah, atau pola suara.

Untuk setiap transaksi, kode autentikasi unik harus dibuat yang secara dinamis menautkan detail spesifik transaksi, seperti jumlah dan nomor rekening penerima.

Pengguna diharuskan untuk melakukan reautentikasi secara berkala, biasanya setiap 90 hari, untuk mempertahankan akses ke layanan perbankan online. Namun, persyaratan ini telah direvisi untuk mengoptimalkan keseimbangan antara keamanan dan kenyamanan.

SCA harus diterapkan pada semua transaksi elektronik, memastikan autentikasi spesifik untuk jumlah dan penerima pembayaran, menciptakan tanda tangan unik untuk setiap transaksi.

Penyedia layanan pembayaran harus menggunakan pendekatan berbasis risiko untuk menerapkan SCA, di mana transaksi berisiko lebih rendah dapat dikecualikan dari SCA untuk menyederhanakan proses pembayaran tanpa mengorbankan keamanan (perhatikan kaitannya dengan passkeys di sini?).

Seluruh proses autentikasi harus dapat dilacak dan diaudit, dengan catatan yang disimpan untuk membuktikan kepatuhan terhadap persyaratan SCA.

Dengan memperkenalkan SCA, PSD2 telah secara signifikan meningkatkan standar keamanan transaksi di sektor perbankan. Berikutnya, kita akan fokus pada berbagai faktor yang terlibat dalam Multi-Factor Authentication (MFA). Faktor-faktor ini juga berdampak pada persyaratan Autentikasi Spesifik Transaksi (baca lebih lanjut di bawah).

Berikut ini, kami akan menyajikan berbagai tahap evolusi autentikasi di sektor perbankan.

Perjalanan autentikasi di industri perbankan dimulai dengan penggunaan Personal Identification Numbers (PIN) dan Transaction Authentication Numbers (TAN). Nasabah akan menerima daftar TAN, masing-masing untuk digunakan sekali untuk verifikasi transaksi. Metode ini, meskipun revolusioner pada masanya, memiliki kekurangan, termasuk risiko daftar TAN dicuri atau disalahgunakan.

Seiring kemajuan teknologi, bank memperkenalkan TAN elektronik (eTAN) dan TAN seluler (mTAN), di mana TAN dibuat dan dikirim ke perangkat seluler nasabah melalui SMS. Metode ini meningkatkan keamanan dengan menautkan TAN ke perangkat, tetapi juga memperkenalkan kerentanan baru, seperti risiko penyadapan SMS dan ketidaknyamanan karena harus menunggu dan mengelola pesan-pesan ini. Hingga diperkenalkannya passkeys, SMS OTP masih dianggap sebagai opsi 2FA paling nyaman yang tersedia untuk perbankan dari sudut pandang UX.

Untuk lebih meningkatkan keamanan, bank mengadopsi smart card dan perangkat token yang menghasilkan kode unik untuk autentikasi. Solusi berbasis perangkat keras ini menawarkan tingkat keamanan yang lebih tinggi tetapi juga menambah kompleksitas dan ketidaknyamanan bagi nasabah, yang sekarang harus membawa perangkat tambahan.

Evolusi terbaru dalam autentikasi perbankan mencakup biometrik (sidik jari atau pengenalan wajah) dan aplikasi mobile banking dengan fitur keamanan bawaan. Metode-metode ini bertujuan untuk menyeimbangkan keamanan dengan kenyamanan dengan memanfaatkan ciri biologis unik pengguna dan keberadaan smartphone di mana-mana. Namun, metode ini juga mengharuskan nasabah untuk melalui proses mengunduh dan menyiapkan aplikasi untuk setiap bank yang digunakan secara terpisah.

Meskipun ada kemajuan ini, nasabah masih menghadapi ketidaknyamanan dan frustrasi yang signifikan dengan metode autentikasi perbankan saat ini dan berisiko menjadi target penipu:

• Kompleksitas dan Ketidaknyamanan: Lapisan beberapa langkah autentikasi, meskipun meningkatkan keamanan, sering kali berarti proses yang merepotkan bagi pengguna. Kompleksitas ini bukan hanya ketidaknyamanan kecil; ini dapat menghalangi nasabah untuk terlibat dengan layanan perbankan digital, merusak tujuan transformasi digital itu sendiri.
• Ketergantungan pada Perangkat dan Platform: Pergeseran ke arah autentikasi seluler dan biometrik mengikat pengguna erat dengan perangkat mereka. Ketergantungan ini menciptakan mata rantai yang rapuh jika terjadi pencurian. Selain itu, kegagalan teknis dapat membuat layanan perbankan tidak dapat diakses, membuat nasabah terdampar.
• Kerentanan Phishing: Meskipun ada kemajuan, faktor autentikasi yang dapat di-phishing tetap menjadi kerentanan yang tidak diatasi oleh SCA. Faktor tradisional seperti PIN, kata sandi, SMS OTP, email OTP dapat dikompromikan melalui skema phishing yang canggih, membahayakan data dan keuangan nasabah.

Hingga hari ini, bank, terutama yang tradisional, terus memperingatkan nasabah tentang risiko signifikan phishing.

Di bagian berikut, kami akan menjelaskan cara kerjanya menggunakan contoh nyata.

Serangan phishing telah lama menjadi ancaman signifikan bagi keamanan sektor perbankan, mengeksploitasi psikologi manusia (rekayasa sosial) dan kerentanan teknologi untuk mendapatkan akses tidak sah ke informasi keuangan yang sensitif. Seiring bank mengembangkan autentikasi mereka, para penipu telah beradaptasi, merancang skema canggih untuk melewati langkah-langkah keamanan. Memahami cara kerja phishing, terutama dalam konteks metode autentikasi yang umum digunakan ini, sangat penting untuk menyadari urgensi solusi autentikasi yang tidak dapat di-phishing seperti passkeys.

Pada intinya, phishing melibatkan penipuan individu untuk mengungkapkan informasi sensitif, seperti kredensial login atau informasi keuangan, dengan kedok komunikasi yang sah dari bank mereka. Ini biasanya dicapai melalui langkah-langkah berikut:

1. Inisiasi: Penipu mengirim pesan (sering kali melalui email atau SMS) yang meniru komunikasi resmi bank, lengkap dengan logo dan bahasa yang tampak dapat dipercaya. Pesan-pesan ini biasanya menciptakan rasa urgensi, mengklaim bahwa tindakan segera diperlukan untuk menyelesaikan masalah atau mencegah penutupan akun.
2. Penipuan: Pesan tersebut berisi tautan ke situs web palsu yang sangat mirip dengan portal perbankan online resmi bank. Tanpa menyadari penipuan tersebut, korban diarahkan untuk percaya bahwa mereka mengakses situs web sah bank mereka.
3. Penangkapan: Begitu berada di situs phishing, korban diminta untuk memasukkan detail autentikasi mereka, seperti PIN atau untuk mengonfirmasi transaksi dengan OTP yang dikirim melalui SMS. Percaya bahwa mereka berinteraksi dengan bank mereka, korban mematuhinya, tanpa sadar menyerahkan kredensial mereka kepada para penyerang.
4. Eksploitasi: Berbekal detail ini, penipu kemudian dapat mengakses rekening bank korban, melakukan transaksi tidak sah, atau melakukan pencurian identitas.

Bayangkan sebuah skenario di mana seorang nasabah Deutsche Bank menerima SMS yang memberitahukan bahwa akunnya akan dinonaktifkan. Pesan tersebut menyertakan tautan ke situs web untuk memverifikasi identitas nasabah yang memiliki 'deutschebank' sebagai bagian dari URL termasuk sertifikat SSL yang cocok. Situs ini, replika persis dari halaman login Deutsche Bank (seperti yang dapat Anda lihat pada tangkapan layar di bawah), meminta nasabah untuk memasukkan PIN perbankan online mereka dan setelah itu meminta OTP SMS secara real-time (tidak terlihat pada tangkapan layar karena alasan keamanan). Tanpa sepengetahuan nasabah, memasukkan informasi ini di situs phishing memungkinkan penyerang mendapatkan akses penuh ke akun Deutsche Bank mereka dan berpotensi mentransfer sejumlah besar uang ke akun lain.

Ini adalah SMS phishing dengan permintaan untuk mendapatkan kembali akses ke rekening bank (tangkapan layar hanya tersedia dalam bahasa Jerman):

Ini adalah situs web phishing oleh para penyerang (https://deutschebank-hilfe.info):

Ini adalah situs web asli untuk referensi (https://meine.deutsche-bank.de) yang disalin hampir sempurna oleh para penyerang (mereka hanya menghilangkan peringatan phishing di bagian bawah):

Nasabah yang terbiasa login melalui UI yang identik ini dan menggunakan SMS OTP sebagai faktor autentikasi dapat dengan mudah menjadi korban serangan semacam itu. Terdapat ekosistem substansial dari suite open-source yang dirancang untuk fokus pada serangan phishing yang menargetkan sistem OAuth atau perbankan (misalnya, https://github.com/gophish/gophish) untuk tujuan penelitian keamanan. Namun, sistem ini dapat dengan mudah diadaptasi untuk tujuan jahat.

Phishing di sektor perbankan menjadi semakin presisi dengan setiap kebocoran data di web gelap. Biasanya, informasi pembayaran seperti IBAN juga merupakan bagian dari kebocoran ini. Meskipun informasi ini tidak dapat digunakan untuk mencuri uang secara langsung, informasi ini dapat digunakan dalam pendekatan spear-phishing di mana penyerang tahu bahwa targetnya memang nasabah bank tersebut.

Kelemahan kritis dalam skenario di atas terletak pada kemungkinan di-phishing-nya faktor autentikasi: baik PIN maupun SMS OTP dapat dengan mudah diminta dari nasabah dengan dalih palsu. Kerentanan ini menggarisbawahi perlunya metode autentikasi yang tidak dapat dikompromikan melalui rekayasa sosial atau serangan phishing.

Faktor autentikasi yang tidak dapat di-phishing, seperti yang diaktifkan oleh passkeys, menawarkan pertahanan yang kuat terhadap skema semacam itu. Karena passkeys tidak bergantung pada rahasia bersama yang dapat diungkapkan, ditipu dari pengguna, atau disadap, mereka secara fundamental mengubah lanskap keamanan. Dengan passkeys, proses autentikasi melibatkan bukti kriptografis identitas yang tidak dapat direplikasi oleh penipu, menghilangkan vektor serangan paling umum dalam phishing.

Untuk secara efektif melawan ancaman phishing, sektor perbankan harus mengadopsi pendekatan multi-segi yang mencakup:

1. Mendidik Nasabah: Bank harus terus menginformasikan nasabah mereka tentang risiko phishing dan cara mengenali komunikasi palsu.
2. Menerapkan Autentikasi yang Tidak Dapat Di-phishing: Beralih ke metode autentikasi yang tidak bergantung pada informasi yang dapat diminta atau disadap, sehingga menutup pintu bagi banyak upaya phishing.
3. Meningkatkan Sistem Deteksi Penipuan: Memanfaatkan analitik canggih dan machine learning untuk mendeteksi dan mencegah transaksi tidak sah, bahkan jika phisher mendapatkan beberapa bentuk data autentikasi.

Meskipun phishing tetap menjadi ancaman signifikan bagi sektor perbankan, adopsi metode autentikasi yang tidak dapat di-phishing seperti passkeys merupakan langkah maju yang penting dalam mengamankan perbankan online dari para penipu. Dengan menghilangkan mata rantai terlemah—kemungkinan di-phishing-nya faktor autentikasi—bank dapat secara signifikan meningkatkan keamanan aset dan informasi pribadi nasabah mereka.

Hingga hari ini, Bank Sentral Eropa dan otoritas pengawas perbankan lokal (misalnya, BaFin) belum mengambil sikap apakah passkeys, secara keseluruhan, akan diklasifikasikan sebagai 2FA atau bagaimana bank harus menggunakannya.

Di bagian selanjutnya, kami bertujuan untuk menjelaskan mengapa kami percaya passkeys sesuai dengan PSD2.

Dalam diskusi dengan pemangku kepentingan dari sektor pembayaran, fintech, dan perbankan, sebuah pertanyaan yang berulang muncul: Apakah passkeys sesuai dengan PSD2, dan dapatkah mereka berfungsi sebagai satu-satunya bentuk autentikasi dalam skenario perbankan? Hubungan antara passkeys dan Revised Payment Services Directive (PSD2) di Uni Eropa bersifat kompleks dan menuntut eksplorasi terperinci. Untuk memperjelas, passkeys biasanya dikategorikan menjadi dua jenis: Passkeys yang Disinkronkan (Multi-Perangkat) dan Passkeys yang Tidak Disinkronkan (Perangkat Tunggal), masing-masing dengan karakteristik yang berbeda mengenai kepatuhan PSD2:

Mematuhi kepatuhan sangat penting bagi entitas yang diatur seperti bank dan perusahaan asuransi. Namun, kebijakan kepatuhan bisa memakan waktu lama untuk berubah. Dalam kasus passkeys, keuntungan keamanan utama adalah sifatnya yang tidak dapat di-phishing, karena nasabah tidak dapat secara tidak sengaja mengungkapkan informasi ini kepada penyerang.

Meskipun passkeys secara signifikan meningkatkan keamanan dengan tidak dapat di-phishing, mereka memang mengalihkan sebagian risiko ke akun cloud nasabah, seperti Apple iCloud Keychain. Hal ini membuat akun cloud menjadi target yang lebih menarik bagi penyerang. Namun, layanan seperti Apple iCloud memiliki langkah-langkah keamanan yang kuat, terutama untuk fitur yang mendukung passkeys.

Pertama, passkeys iCloud bergantung pada autentikasi dua faktor (2FA) yang diaktifkan di akun, menambahkan lapisan keamanan ekstra. Ini berarti bahwa bahkan jika penyerang mengetahui kata sandi iCloud nasabah, mereka masih memerlukan akses ke perangkat tepercaya atau nomor telepon untuk menerima kode 2FA.

Apple, dan juga Google untuk akun mereka, menginvestasikan sumber daya yang besar untuk mengamankan layanan cloud ini. Protokol keamanan untuk akun yang mendukung passkeys di cloud sangat ketat, membuatnya hampir tidak mungkin bagi pengguna yang tidak sah untuk membobolnya. Standar keamanan tinggi ini dipertahankan melalui pembaruan konstan dan patch keamanan (dan mereka juga telah memperkenalkan passkeys untuk akun mereka, lihat postingan blog ini).

Selain itu, pencurian perangkat atau akun cloud, meskipun merupakan risiko potensial, bukanlah vektor serangan yang paling umum untuk aplikasi perbankan. Jika diperlukan keamanan yang lebih tinggi, seperti untuk transaksi yang mencurigakan, bank dapat terus menggunakan SMS OTP sebagai faktor tambahan. Dengan mengganti PIN / kata sandi dengan passkeys, faktor autentikasi pertama menjadi tidak dapat di-phishing, secara signifikan mengurangi risiko serangan phishing yang berhasil. Faktor ketiga dapat diperkenalkan untuk transaksi yang ditandai sebagai mencurigakan, memastikan postur keamanan yang kuat.

Berlawanan dengan pandangan tradisional (yang menghindari risiko) tentang kepatuhan PSD2, Finom dan Revolut telah memutuskan bahwa melindungi data nasabah lebih penting dan oleh karena itu menggunakan passkeys, meskipun tidak ada keputusan publik Eropa tentang bagaimana pengawasan perbankan harus memperlakukan passkeys sehubungan dengan kepatuhan PSD2. Neo-bank dan fintech seperti Finom dan Revolut menantang status quo dan, dengan demikian, memengaruhi lanskap peraturan mengenai langkah-langkah autentikasi yang ditentukan oleh PSD2.

Dengan memprioritaskan keamanan dan integritas data nasabah, para pelopor fintech ini mengadopsi passkeys bahkan tanpa adanya panduan peraturan yang eksplisit dari otoritas Eropa. Sikap proaktif ini menempatkan beban pada regulator untuk menilai kembali kerangka kerja kepatuhan mereka sehubungan dengan kemajuan teknologi yang menawarkan solusi keamanan yang unggul.

Langkah berani Finom dan Revolut untuk menerapkan passkeys menyoroti aspek penting dari kepatuhan peraturan—ini seharusnya bukan tentang mematuhi standar secara kaku, melainkan tentang mencapai tujuan yang mendasari standar tersebut, yang dalam hal ini adalah keamanan tertinggi data dan transaksi nasabah. Dengan memilih untuk memprioritaskan perlindungan data daripada kepatuhan ketat terhadap model kepatuhan tradisional, neo-bank ini menetapkan tolok ukur baru untuk industri.

Dari perspektif peraturan, ada kebutuhan mendesak akan kejelasan dan adaptasi untuk mengakomodasi kemajuan seperti passkeys dalam kerangka kepatuhan PSD2. Kami mendesak Uni Eropa untuk mengambil sikap definitif tentang passkeys, mengakui mereka sebagai bentuk multi-factor authentication (MFA) yang unggul yang sejalan dengan tujuan inti PSD2 untuk memperkuat keamanan dan mengurangi penipuan dalam ekosistem pembayaran digital.

Passkeys, secara desain, menawarkan faktor autentikasi yang kuat dan tahan phishing yang melampaui kemampuan keamanan sebagian besar metode MFA tradisional. Ini tidak hanya meningkatkan keamanan tetapi juga menyederhanakan pengalaman pengguna, mengatasi dua aspek penting dari kepatuhan PSD2.

Sikap Uni Eropa harus berkembang untuk mencerminkan kemajuan teknologi yang mendefinisikan ulang apa yang merupakan autentikasi yang efektif dan aman. Dengan merangkul inovasi seperti passkeys dan memasukkannya ke dalam tatanan peraturan, Uni Eropa dapat menunjukkan komitmennya untuk melindungi konsumen dan membina lingkungan keuangan digital yang berwawasan ke depan.

Seiring industri keuangan terus berinovasi, menjadi tugas regulator untuk memberikan panduan yang jelas dan progresif yang tidak hanya mengimbangi perubahan teknologi tetapi juga mengantisipasi perkembangan di masa depan. Neo-bank saat ini memimpin, tetapi pada akhirnya menjadi tanggung jawab badan pengatur untuk memastikan bahwa sektor keuangan secara keseluruhan dapat bergerak maju dengan aman dan percaya diri ke masa depan perbankan digital.

Adopsi passkeys di area perbankan dan fintech menonjol sebagai contoh utama inovasi yang secara signifikan meningkatkan keamanan dan pengalaman pengguna. Sepanjang artikel kami, kami telah menetapkan potensi passkeys sebagai solusi autentikasi berwawasan ke depan yang sejalan dengan tuntutan keamanan ketat PSD2 sambil mengurangi ancaman yang lazim seperti phishing. Neo-bank / fintech seperti Finom dan Revolut telah menetapkan preseden dengan mengintegrasikan passkeys ke dalam kerangka kerja keamanan mereka, menunjukkan keefektifan dan pendekatan yang berpusat pada pelanggan.

Rencana aksi tiga langkah untuk bank tradisional dapat terlihat sebagai berikut:

1. Keterlibatan dengan Regulator Lokal: Bank tradisional harus secara proaktif terlibat dengan badan pengatur lokal dan otoritas pengawas perbankan mereka untuk membahas penerapan passkeys. Dialog ini harus bertujuan untuk mengklarifikasi posisi peraturan dan membuka jalan untuk mengintegrasikan passkeys dalam struktur kepatuhan yang ada. Dengan mengambil inisiatif, bank dapat berkontribusi dalam membentuk lingkungan peraturan yang mendukung metode autentikasi inovatif.
2. Belajar dari Praktik Terbaik Neo-Bank: Sangat penting bagi bank tradisional untuk mengamati dan belajar dari neo-bank yang telah berhasil menerapkan passkeys. Mempelajari praktik terbaik ini akan memberikan wawasan berharga tentang aspek operasional, teknis, dan layanan pelanggan dari penerapan passkey. Transfer pengetahuan ini dapat membantu bank tradisional dalam menyusun strategi mereka untuk mengadopsi passkeys.
3. Transisi Strategis ke Passkeys: Dengan kejelasan peraturan dan pemahaman tentang praktik terbaik, bank tradisional dapat mengembangkan rencana komprehensif untuk mentransisikan nasabah ke autentikasi berbasis passkey. Rencana ini harus mencakup kampanye edukasi nasabah untuk menjelaskan manfaat dan penggunaan passkeys, peluncuran bertahap untuk memastikan transisi yang mulus, dan evaluasi berkelanjutan untuk mengatasi tantangan apa pun dengan segera.

Masa depan autentikasi perbankan terletak pada teknologi yang memprioritaskan keamanan dan kegunaan. Passkeys mewakili langkah ke arah ini, menyediakan metode autentikasi yang tidak dapat di-phishing dan ramah pengguna yang memenuhi standar yang ditetapkan oleh PSD2 dan kerangka peraturan lainnya.

Bagi bank tradisional, sekaranglah saatnya untuk merangkul perubahan dan memulai pergeseran menuju passkeys. Transisi ini, bagaimanapun, tidak boleh mendadak melainkan langkah yang dipertimbangkan dengan baik, dengan mempertimbangkan kebutuhan unik basis nasabah mereka, lingkungan peraturan yang spesifik, dan kesiapan teknologi institusi.

Tujuan utamanya adalah untuk memastikan bahwa setiap nasabah mendapat manfaat dari keamanan yang ditingkatkan tanpa mengorbankan kenyamanan. Dengan mengadopsi passkeys, bank tidak hanya akan melindungi nasabah mereka dengan teknologi canggih tetapi juga menandakan komitmen terhadap inovasi dan sentrisitas pelanggan di era keuangan digital.