Integrasi FIDO yang Sederhana dan Efisien untuk Bisnis
22 Desember 2023
Seiring dengan perkembangan pesat di layanan e-commerce pasca pandemi COVID-19, bisnis di seluruh dunia mengalami banyak peningkatan dalam jumlah kasus penipuan pembayaran, khususnya dalam pengambilalihan akun dan serang phishing. Sebagai konsekuensi dari serangan-serangan tersebut, bisnis dengan berbagai ukuran telah kehilangan banyak pengeluaran untuk chargeback (tagihan balik) dan pengaturan ulang kata sandi akun (reset password).
Menurut Forrester, biaya rata-rata global untuk mengganti kata sandi mencapai USD$ 70 (sekitar Rp. 1,1 Juta), yang jumlahnya bisa mencapai ribuan atau bahkan jutaan dollar per tahun, tergantung pada besarnya organisasi. Meskipun belum banyak upaya yang dilakukan untuk mengurangi kerugian, hal ini merupakan peringatan bagi dunia usaha untuk mulai mengeksplorasi dan menerapkan langkah-langkah keamanan guna menjaga jumlah pengaturan ulang kata sandi tetap rendah. Oleh sebab itu, dunia diperkenalkan dengan autentikasi FIDO.
Dalam artikel ini, kami akan membahas secara singkat manfaat autentikasi FIDO bagi user anda, proses integrasinya yang sederhana dan efisien, dan bagaimana anda dapat memulai migrasi dari kata sandi (password) ke tanpa kata sandi (passwordless) mulai hari ini.
Apa Itu Autentikasi FIDO dan Dapat Digunakan Dimana Saja?
Singkatnya, FIDO adalah protokol global untuk autentikasi tanpa kata sandi, yang diajukan oleh FIDO Alliance - sebuah konsorsium yang dibentuk oleh pemimpin teknologi seperti Apple, Google, dan Microsoft untuk meringankan beban dunia pada metode username dan password, sekaligus meningkatkan pengalaman user. dengan menggabungkan autentikasi biometrik atau berbasis PIN yang nyaman. Standar FIDO seperti kunci sandi, FIDO2, Universal Authentication Framework (UAF), Universal Second Factor (U2F) dikembangkan oleh Aliansi.
FIDO dapat diterapkan di browser atau aplikasi, asalkan platform Anda mengharuskan user untuk login ke akun dengan memverifikasi identitas mereka. Platform anda bisa memanfaatkan autentikasi FIDO daripada menggunakan sistem saat ini yang mengautentikasi pelanggan melalui username, password, dan kemungkinan konfirmasi faktor kedua pada APP atau melalui kata sandi satu kali (OTP). Dengan FIDO, sama sekali tidak ada pertukaran kata sandi dengan server publik, jauh lebih aman dibandingkan dengan sistem kata sandi konvensional.
Memanfaatkan public key cryptography, data user tersimpan aman di perangkat keras user (HP, Komputer, dll), sementara public key terkait disimpan di server publik untuk verifikasi autentikasi. Proses autentikasi terjadi saat user login ke platform, tantangan akan dikirim ke perangkat keras mereka. Kemudian, private key dan konfirmasi user (via biometrik, PIN, dll) mendatangani tantangan. Sepanjang proses ini, tantangan yang sudah di enkripsi jadi satu-satunya dokumen yang dikirim ke publik server. Kedua kunci (Private & Public Key) akan tetap tinggal tempat penyimpanan masing-masing.
Keuntungan Autentikasi FIDO
Berikut adalah beberapa keuntungan autentikasi FIDO bagi bisnis & user anda:
Autentikasi Tanpa Password:
Salah satu resiko terbesar dalam keamanan digital adalah pembobolan kata sandi. 80% dari pencurian kata sandi tejadi akibat serangat web dan separuh dari itu terjadi pembobolan data. Inilah sebabnya mengapa organisasi besar di industri ini telat menerapka autentikasi multi faktor (MFA) untuk menambahkan lapisan extra demi perlindungan akses.
Tidak ada Rahasia Bersama:
Ironisnya, password and pengunaan MFA sering disebut sebagai “rahasia bersama” antara user and server publik. Dengan autentikasi FIDO yang menggunakan teknologi public key cryptography, anda bisa menghilangkan kekhawatiran anda terhadap hal ini. Kunci Pribadi User, Private Key akan tetap tinggal di perangkat keras user selamanya dan tidak dibagikan ke pihak mana pun.
Memastikan Privasi User:
Penggunaan pasangan kunci publik-pribadi untuk autentikasi memberikan rasa aman bagi pengguna karena tidak mengungkapkan informasi pribadi apa pun, dan tidak membuat tautan yang dapat dilacak antara server atau akun berbeda yang dimiliki pengguna.
Patuh Peraturan:
Autentikasi berbasis FIDO telah memenuhi aturan, dan dalam beberapa kasus melampaui standar keamanan siber yang ditetapkan oleh badan pemerintah seperti PSD2 dan NIST 800-63B di Amerika Serikat. Selain itu, penerapan FIDO yang semakin luas oleh CISA dan OMB juga memberikan keyakinan yang lebih besar bagi bisnis untuk bermigrasi ke autentikasi tanpa kata sandi.
Interoperabilitas:
Didesain sebagai standar sumber terbuka (open-source), autentikasi FIDO kompatibel dengan berbagai platform tanpa terikat pada sistem operasi (OS), identity provider, atau layanan sistem masuk (single-sign on service).
Pengurangan Biaya:
Selain pengaturan ulang kata sandi, one-time password (OTP), terutama yang dikirimkan melalui SMS, dapat meningkatkan biaya operasional secara signifikan. Dengan autentikasi FIDO, user tak perlu lagi menerima OTP melalui SMS, sehingga biaya operasional akan lebih hemat.
Kedengarannya Bagus, Tapi Gimana Cara Implementasi & Integrasi FIDO?
Kami menyediakan dua mode implementasi untuk autentikasi FIDO: On-premise dan Cloud Service. Dari pengalaman kami, ada sedikit perbedaan klien kami dalam memilih antara kedua mode implementasi yang ditawarkan.
On-Premise atau Cloud?
Organisasi yang lebih besar, seperti bank, sering kali memilih untuk menerapkan server FIDO di perusahaan mereka sebagai solusi di lokasi (on-premise). Mode ini menawarkan beberapa keuntungan, termasuk kepatuhan terhadap peraturan di beberapa negara dan kontrol penuh atas pengelolaan dan pemeliharaan server. Tapi, butuh investasi awal yang besar untuk membeli perangkat keras dan biaya implementasi.
Di sisi lainnya, usaha kecil dan menengah (UKM) seperti platform perdagangan saham online dan bank digital dapat memanfaatkan Layanan Cloud FIDO untuk autentikasi yang aman dan nyaman dengan biaya yang lebih rendah & waktu yang cepat. Tapi, ini hanya bisa dipilih jika bisnis anda tidak diharuskan untuk menerapkan solusi lokal (on-premise). Selain itu, tim teknis kami akan melakukan pemeriksaan, pemeliharaan, dan peningkatan sistem secara berkala, sehingga anda tidak perlu khawatir tentang pengelolaan server.
Integrasi Sistem
Proses integrasi Otentikasi FIDO, baik On-premise maupun Cloud, meliputi persiapan lingkungan pengujian (environment testing), Pengujian SIT dan UAT, integrasi Klie, Integrasi Relying Party API, verifikasi autentikasi, manajemen database, dan integrasi backend. Kompleksitasnya bervariasi tergantung solusi dan kebutuhan Anda. Konsultasikan dengan penyedia solusi atau tim kami untuk panduan.
Sistem kami dirancang untuk memudahkan dan efektifitas, menawarkan pengalaman pengguna ADM (administrative management) yang lancar dan bebas kode, memungkinkan personel Anda bekerja dengan mudah. Manajer sistem ADM dapat menetapkan kelompok dan peran dengan izin akses khusus, melibatkan tim layanan pelanggan untuk membantu pengguna akhir kapan saja. Sistem kami membantu Anda memberdayakan tim dan meningkatkan layanan pelanggan.
Tim kami telah menyediakan API/SDK untuk memudahkan proses integrasi. Dengan dukungan dari tim kami, client bisa langsung mengintegrasikan FIDO ke sistem mereka tanpa kesulitan. Panduan dan dukungan berkelanjutan selalu tersedia untuk kedua model, baik on-premise maupun layanan cloud.
Lindungi Sistem Login dan Pembayaran Anda Sekarang Juga!
Seiring berkembangnya e-commerce, ancaman penipuan online juga semakin meningkat. Oleh sebab itu, platform Anda membutuhkan solusi keamanan yang jauh lebih tangguh daripada sistem OTP konvensional yang rentan terhadap risiko intersepsi oleh hacker. Autentikasi FIDO, yang merupakan inovasi terbaru dalam industri e-commerce, telah diadopsi oleh sektor perbankan dan pembayaran sejak awal tahun 2010-an. FIDO cocok digunakan untuk proses login, transfer dana, dan pembayaran online (via 3-D Secure).
Jika bisnis Anda berkeinginan untuk meningkatkan keamanan sistem guna menghindari kerugian dan pencurian dari peretas, ini adalah waktu yang tepat untuk menggunakan FIDO. Hubungi HiTRUST hari ini untuk mendapatkan konsultasi dari ahli kami. Kami siap membantu Anda merencanakan dan mengimplementasikan proyek autentikasi FIDO untuk bisnis Anda.