Di era digital yang semakin canggih, sistem autentikasi menjadi elemen krusial dalam menjaga keamanan data dan mencegah berbagai bentuk kejahatan siber. Dengan meningkatnya kasus penipuan berbasis AI, seperti deepfake, pengambilalihan akun (account takeover), dan pemalsuan dokumen, sistem autentikasi tradisional tidak lagi cukup untuk menghadapi ancaman yang semakin kompleks.
Artikel ini akan membahas contoh otentikasi yang paling aman dan efektif dalam menjaga keamanan data, serta bagaimana teknologi berbasis AI dan biometrik menjadi solusi terbaik di masa depan.
Berikut adalah berbagai contoh metode autentikasi yang digunakan untuk melindungi akun dan transaksi pengguna:
Digunakan secara luas sebagai metode autentikasi dasar dalam berbagai layanan digital. Contoh: Login akun media sosial dengan password atau memasukkan PIN untuk transaksi perbankan.
Kode verifikasi yang dikirim melalui SMS, email, atau aplikasi autentikator untuk memastikan identitas pengguna. Contoh: OTP yang dikirim oleh bank saat melakukan transaksi online.
Menggunakan karakteristik unik individu untuk mengonfirmasi identitas. Contoh: Face ID untuk membuka smartphone, sidik jari untuk mengakses aplikasi perbankan, atau pemindaian retina di sistem keamanan tingkat tinggi.
Menggunakan perangkat fisik sebagai kunci autentikasi tambahan. Contoh: Kartu identitas elektronik (e-KTP), kartu akses gedung kantor, atau token RSA untuk login ke sistem perusahaan.
Menggabungkan beberapa lapisan autentikasi untuk keamanan lebih tinggi. Contoh: Login akun email dengan kombinasi password dan OTP dari aplikasi autentikator.
Aplikasi seperti Google Authenticator dan Microsoft Authenticator yang menghasilkan kode verifikasi secara offline. Contoh: Menggunakan kode dari aplikasi autentikator saat login ke akun yang dilindungi oleh 2FA.
Mendeteksi pola perilaku pengguna untuk mengidentifikasi potensi ancaman. Contoh: Sistem yang memblokir transaksi mencurigakan jika terdeteksi adanya pola login yang tidak biasa.
Meskipun teknologi autentikasi terus berkembang, masih terdapat beberapa tantangan utama yang perlu diatasi:
Phishing merupakan kejahatan siber di mana penipu mengirim pesan kepada korban dengan berpura-pura menjadi pihak bank atau institusi penting lainnya lalu membuat korban memberikan data pribadinya dengan sukarela.
Contoh phishing yang sering terjadi adalah penipu yang menyamar sebagai pihak bank dan mengirimkan pesan yang menyatakan bahwa korban memenangkan hadiah undian. Untuk mengklaim hadiah tersebut, korban diminta mengisi data pribadi melalui tautan yang disediakan. Begitu data dikirim, penipu langsung memiliki akses ke akun perbankan korban dan dapat melakukan transaksi tanpa sepengetahuan pemilik akun.
Kata sandi adalah metode autentikasi paling umum digunakan, tetapi juga yang paling rentan terhadap serangan. Banyak pengguna masih menggunakan kata sandi lemah atau sama untuk berbagai akun, sehingga mudah ditebak oleh penipu menggunakan taktik brute force atau credential stuffing, yakni sistem yang mencoba kombinasi password hingga berhasil membobol akun. Kata sandi yang lemah juga menjadi celah awal penipu melakukan phishing. Indonesia mencatat lebih dari 97.000 upaya phishing pada tahun 2023, dan sebagian besar melibatkan pencurian password.
One-Time Password (OTP) adalah metode autentikasi yang umum digunakan oleh perbankan dan platform digital untuk mengonfirmasi identitas pengguna. Namun, metode ini semakin rentan terhadap serangan fake BTS dan SIM swap fraud, di mana penipu dapat mencuri OTP yang dikirim melalui SMS.
Dalam kasus SIM swap fraud, penipu berpura-pura menjadi pemilik nomor telepon korban dan meyakinkan operator seluler untuk memindahkan nomor tersebut ke kartu SIM baru milik penipu. Setelah berhasil, semua OTP yang seharusnya diterima oleh korban akan dikirim langsung ke penipu, sehingga mereka bisa mengakses akun perbankan korban tanpa hambatan.
Singapura dan Malaysia sudah mulai meninggalkan penggunaan SMS OTP, dan regulator di berbagai negara mulai mengadopsi metode autentikasi yang lebih aman, seperti biometrik dan device-bound authentication.
Teknologi deepfake semakin canggih dan kini digunakan untuk melakukan kejahatan seperti synthetic identity fraud. Dengan memanipulasi foto, video, atau suara seseorang, penipu bisa melewati sistem verifikasi identitas berbasis biometrik yang tidak aman.
Deepfake telah digunakan dalam berbagai kasus penipuan keuangan, termasuk pemalsuan wajah untuk memverifikasi akun e-wallet atau pinjaman online. Menurut Deloitte, kasus penipuan berbasis deepfake meningkat hingga 700% di sektor fintech pada tahun 2023.
Autentikasi seperti SMS OTP sudah tidak aman dan telah ditinggalkan oleh Singapura dan Malaysia karena rentan terhadap serangan seperti SIM swap dan phishing. Sebagai gantinya, perusahaan dapat mengadopsi autentikasi berbasis wajah dengan teknologi liveness detection untuk mencegah deepfake dan injection attack, serta autentikasi berbasis perangkat dengan PKI untuk menghilangkan ketergantungan pada SMS OTP.
VIDA FaceToken adalah teknologi autentikasi berbasis wajah yang dirancang untuk memastikan bahwa hanya pengguna asli yang dapat mengakses akun atau melakukan transaksi digital. Teknologi ini menggabungkan face matching, liveness detection, dan device authentication dalam satu proses yang seamless, membuatnya lebih aman dari serangan seperti deepfake dan injection attack.
Face matching adalah teknologi yang memastikan bahwa wajah pengguna yang melakukan autentikasi cocok dengan data biometrik yang tersimpan sebelumnya. Sedangkan liveness detection melindungi sistem dari serangan deepfake dan spoofing dengan mendeteksi apakah wajah yang digunakan adalah wajah asli dan bukan hasil manipulasi digital.
Tidak seperti OTP yang rentan terhadap phishing dan SIM swap fraud, FaceToken bekerja langsung tanpa memerlukan kode yang bisa disadap atau dicuri. Kelebihan ini dapat mencegah phising dan social engineering.
VIDA PhoneToken adalah solusi autentikasi berbasis perangkat yang menggunakan Public Key Infrastructure (PKI) untuk mengamankan transaksi digital. Dengan PhoneToken, setiap perangkat dikaitkan langsung dengan identitas pengguna, memastikan bahwa hanya perangkat sah yang dapat digunakan untuk mengakses akun.
VIDA PhoneToken menggunakan kunci kriptografi unik yang tertanam di perangkat pengguna, sehingga akun tidak bisa diakses dari perangkat lain tanpa izin. Karena autentikasi diarahkan langsung pada perangkat, maka tidak membutuhkan OTP berbasis SMS yang bisa disadap melalui fake BTS atau SIM swap fraud.
VIDA PhoneToken dapat dikombinasikan dengan VIDA FaceToken untuk lapisan keamanan tambahan, sehingga bahkan jika perangkat pengguna dicuri, transaksi tetap memerlukan verifikasi biometrik.
VIDA FaceToken dan PhoneToken menghadirkan solusi autentikasi phishing-resistant yang lebih aman, cepat, dan user-friendly, memastikan bahwa hanya pengguna asli yang dapat mengakses akun dan melakukan transaksi.