Menuju Era Tanpa Password, FIDO Jadi Standar Keamanan Baru

Serangan phishing masih menjadi salah satu ancaman siber paling dominan di dunia. Meski kesadaran keamanan meningkat dan adopsi multi-factor authentication (MFA) semakin luas, berbagai laporan global menunjukkan bahwa kompromi akun tetap terjadi dalam skala besar. Fakta ini menandai adanya persoalan mendasar dalam pendekatan keamanan identitas yang selama ini digunakan oleh banyak organisasi.

Laporan Verizon Data Breach Investigations Report (DBIR) 2024 mencatat bahwa penyalahgunaan kredensial dan akses sah masih menjadi faktor utama dalam sebagian besar insiden pelanggaran data. Menariknya, serangan tersebut tidak hanya terjadi pada organisasi dengan sistem keamanan lemah, tetapi juga pada institusi yang telah mengimplementasikan MFA sebagai lapisan perlindungan tambahan.

Temuan serupa juga diungkap dalam Thales Data Threat Report 2025, yang menegaskan bahwa identitas digital tetap menjadi target utama penyerang. Laporan ini menyoroti bagaimana pencurian kredensial dan penyalahgunaan sesi autentikasi masih menjadi metode favorit dalam serangan modern, bahkan di lingkungan yang telah menerapkan autentikasi berlapis.

MFA Tradisional Mulai Kehilangan Efektivitas

Selama bertahun-tahun, MFA diposisikan sebagai solusi ampuh untuk mengurangi risiko pembobolan akun. Namun, dinamika ancaman siber yang terus berkembang membuat pendekatan ini tidak lagi selalu memadai. Masalahnya bukan terletak pada konsep MFA itu sendiri, melainkan pada jenis autentikasi yang digunakan.

Dalam Microsoft Digital Defense Report 2023 dan 2024, dijelaskan bagaimana teknik adversary-in-the-middle (AiTM) memungkinkan penyerang mencuri username, password, kode OTP, hingga token sesi secara real-time. Dengan teknik ini, proses login tetap terlihat sah dari sisi sistem, sementara penyerang memperoleh akses penuh ke akun korban.

Kondisi tersebut diperparah oleh fakta bahwa banyak metode MFA masih bergantung pada shared secret, seperti password dan kode OTP, yang secara teknis dapat dicuri dan digunakan ulang. CISA dalam panduan resminya pada periode 2023–2024 menegaskan bahwa MFA berbasis SMS, OTP aplikasi, maupun push notification masih rentan terhadap phishing tingkat lanjut.

Artinya, kegagalan MFA dalam banyak kasus bukan disebabkan oleh kesalahan konfigurasi semata, melainkan karena desain autentikasinya memang masih memungkinkan manipulasi oleh penyerang.

FIDO dan Pergeseran Paradigma Autentikasi

Di tengah keterbatasan MFA tradisional, pendekatan phishing-resistant authentication mulai mendapat perhatian serius. Salah satu standar yang paling menonjol dalam kategori ini adalah FIDO (Fast Identity Online).

Berbeda dengan pendekatan konvensional, FIDO dikembangkan dengan asumsi bahwa phishing tidak mungkin sepenuhnya dicegah. Karena itu, alih-alih memperkuat password, FIDO berfokus pada menghilangkan ketergantungan terhadap password dan shared secret.

FIDO menggunakan kriptografi kunci publik, di mana pasangan kunci dibuat langsung di perangkat pengguna. Private key tidak pernah meninggalkan perangkat tersebut, sementara autentikasi hanya dapat dilakukan jika domain layanan sesuai secara kriptografis. Dengan desain ini, kredensial tidak dapat digunakan ulang di situs palsu atau domain phishing.

Pendekatan ini mendapatkan legitimasi kuat dari NIST melalui standar SP 800-63B versi pembaruan final 2024. Dalam dokumen tersebut, FIDO2 dan WebAuthn secara eksplisit diklasifikasikan sebagai phishing-resistant authentication, sebuah kategori yang tidak dimiliki oleh password maupun MFA berbasis OTP.

Sinyal Kuat dari Dunia Enterprise

Memasuki 2025, adopsi FIDO tidak lagi terbatas pada ekosistem konsumen. FIDO Alliance dalam laporan State of Passkey Deployment in the Enterprise 2025 menunjukkan bahwa minat terhadap passkey dan autentikasi berbasis FIDO meningkat signifikan di kalangan perusahaan, khususnya di Amerika Serikat dan Inggris.

Meski demikian, laporan tersebut juga mengungkap tantangan nyata dalam implementasi enterprise. Aspek seperti manajemen siklus hidup autentikator, proses recovery pengguna, serta integrasi dengan sistem legacy menjadi perhatian utama bagi banyak organisasi.

Temuan ini menegaskan bahwa FIDO bukan sekadar tren teknologi, melainkan bagian dari transformasi keamanan identitas yang sedang berlangsung. Namun, transisi menuju autentikasi tanpa password di lingkungan enterprise membutuhkan kesiapan operasional yang matang.

Karakteristik FIDO yang Relevan bagi Organisasi

Dalam konteks enterprise, evaluasi terhadap FIDO tidak hanya berfokus pada tingkat keamanannya, tetapi juga pada aspek operasional dan kepatuhan. Beberapa karakteristik yang dianggap krusial antara lain penyimpanan kunci berbasis hardware untuk mencegah ekstraksi private key oleh malware, serta verifikasi biometrik yang dilakukan secara lokal di perangkat tanpa mengirimkan data sensitif ke server.

Selain itu, dukungan lintas protokol menjadi faktor penting untuk mengakomodasi masa transisi dari sistem autentikasi lama. Kemampuan pengelolaan siklus hidup autentikator, mulai dari provisioning hingga replacement dan recovery, juga menjadi penentu keberhasilan implementasi FIDO di skala besar.

Aspek compliance dan assurance pun tidak kalah penting, terutama bagi organisasi di sektor keuangan, kesehatan, dan pemerintahan yang berada di bawah regulasi ketat.

Menuju 2026: Benchmark Baru Keamanan Identitas

Jika dicermati, terdapat benang merah yang konsisten dari berbagai rekomendasi regulator dan laporan riset global. Baik NIST, CISA, maupun laporan lapangan seperti DBIR 2024 dan Thales Data Threat Report 2025 menunjukkan pergeseran fokus dalam keamanan identitas.

Keamanan tidak lagi diukur dari jumlah faktor autentikasi yang digunakan, melainkan dari kemampuan sistem untuk menghilangkan kredensial yang dapat dicuri dan digunakan ulang. Dalam konteks ini, phishing-resistant authentication mulai dipandang sebagai standar minimum, khususnya untuk akses berisiko tinggi dan sistem kritis.

Kesimpulan

FIDO merepresentasikan perubahan mendasar dalam desain autentikasi modern. Bukan sekadar pengganti password, melainkan pendekatan yang menutup celah utama yang selama ini dimanfaatkan oleh serangan phishing canggih.

Dengan dukungan standar internasional, panduan regulator, serta sinyal kuat dari berbagai laporan hingga 2025, phishing-resistant authentication berbasis FIDO berada pada posisi strategis untuk menjadi benchmark keamanan identitas di tahun 2026. Bagi organisasi yang ingin menurunkan risiko kompromi akun secara fundamental, pergeseran ini bukan lagi sekadar opsi, melainkan kebutuhan strategis.