Dymar Jaya

FIDO dan Arah Autentikasi Enterprise 2026: Mengapa Phishing-Resistant Authentication Menjadi Benchmark Keamanan Identitas

Blog News January 26, 2026

Serangan phishing masih menjadi salah satu vektor serangan siber paling dominan secara global. Laporan Verizon Data Breach Investigations Report (DBIR) 2024 menunjukkan bahwa penyalahgunaan kredensial dan akses sah tetap menjadi faktor utama dalam berbagai insiden keamanan, termasuk pada organisasi yang telah menerapkan multi-factor authentication (MFA).

Temuan ini diperkuat oleh Thales Data Threat Report 2025, yang mencatat bahwa identitas digital masih menjadi target utama penyerang, terutama melalui pencurian kredensial dan penyalahgunaan sesi autentikasi. Laporan tersebut menyoroti bahwa banyak organisasi telah mengadopsi MFA, namun masih bergantung pada mekanisme autentikasi yang dapat direplay dan dieksploitasi oleh serangan phishing tingkat lanjut.

Kondisi ini menegaskan satu hal, tantangan utama bukan pada kurangnya autentikasi berlapis, melainkan pada jenis autentikasi yang digunakan.

Keterbatasan MFA Tradisional di Era Serangan Modern

MFA telah lama direkomendasikan sebagai kontrol keamanan dasar. Namun, berbagai laporan global menunjukkan bahwa MFA konvensional tidak selalu efektif menghadapi teknik serangan modern.

Microsoft Digital Defense Report 2023 dan 2024 menguraikan bagaimana teknik adversary-in-the-middle (AiTM) memungkinkan penyerang memanen kredensial, OTP, hingga token sesi secara real-time. Dalam skenario ini, proses login tetap berjalan normal dari sisi sistem, meskipun akses dilakukan oleh pihak tidak berwenang.

CISA dalam panduan resmi tentang phishing-resistant MFA (2023–2024) juga menegaskan bahwa metode berbasis OTP, SMS, maupun push notification masih rentan terhadap phishing canggih jika tetap mengandalkan shared secret.

Dengan kata lain, MFA tidak selalu gagal karena salah konfigurasi, tetapi karena desain autentikasinya memang masih bisa dimanipulasi.

Pendekatan FIDO dan Perubahan Paradigma Autentikasi

FIDO (Fast Identity Online) dikembangkan dengan asumsi bahwa phishing tidak bisa sepenuhnya dicegah. Oleh karena itu, pendekatan ini tidak bertujuan memperkuat password, melainkan menghilangkan ketergantungan pada password dan shared secret.

FIDO menggunakan kriptografi kunci publik, di mana:

  • pasangan kunci dibuat di perangkat pengguna
  • private key tidak pernah meninggalkan perangkat
  • autentikasi terikat secara kriptografis ke domain layanan yang sah

Dengan desain ini, kredensial tidak dapat digunakan ulang di situs phishing atau domain palsu. NIST SP 800-63B (Final Update 2024) secara eksplisit mengklasifikasikan FIDO2/WebAuthn sebagai phishing-resistant authentication, sebuah kategori yang tidak dimiliki oleh password maupun MFA berbasis OTP.

Sinyal 2025: Arah Sudah Jelas, Tantangan Masih Ada

Laporan FIDO Alliance – State of Passkey Deployment in the Enterprise (2025) memberikan gambaran realistis tentang kondisi adopsi FIDO di lingkungan enterprise, khususnya di Amerika Serikat dan Inggris.

Laporan tersebut menunjukkan bahwa:

  • minat terhadap passkey dan FIDO meningkat signifikan
  • namun adopsi enterprise masih menghadapi tantangan operasional
  • aspek seperti lifecycle management, recovery, dan integrasi sistem legacy menjadi perhatian utama

Temuan ini menegaskan bahwa FIDO bukan sekadar tren konsumen, tetapi sedang memasuki fase adopsi enterprise yang lebih matang, meskipun belum tanpa hambatan.

Karakteristik Autentikasi FIDO yang Relevan untuk Enterprise

Dalam konteks enterprise, implementasi FIDO umumnya dievaluasi bukan hanya dari sisi keamanan, tetapi juga dari kesiapan operasional. Beberapa karakteristik yang sering dianggap penting antara lain:

  • Penyimpanan kunci berbasis hardware untuk mencegah ekstraksi private key oleh malware.
  • Verifikasi biometrik yang dilakukan secara lokal di perangkat tanpa mengirimkan data biometrik ke server.
  • Dukungan lintas protokol untuk mengakomodasi masa transisi dari sistem autentikasi lama.
  • Kemampuan pengelolaan siklus hidup autentikator, termasuk provisioning, replacement, dan recovery.
  • Kesesuaian dengan kebutuhan compliance dan assurance di industri teregulasi.

Aspek-aspek ini membedakan implementasi FIDO enterprise dari sekadar penggunaan passkey di lingkungan konsumen.

Menuju 2026: Phishing-Resistant Authentication sebagai Benchmark

Jika melihat konsistensi rekomendasi dari NIST (2024), CISA (2023–2024), serta temuan lapangan dari DBIR 2024 dan Thales Data Threat Report 2025, terlihat pergeseran yang jelas dalam pendekatan keamanan identitas.

Fokus keamanan tidak lagi sekadar pada penambahan faktor autentikasi, tetapi pada menghilangkan mekanisme autentikasi yang dapat dicuri dan digunakan ulang. Dalam konteks ini, phishing-resistant authentication semakin dipandang sebagai tolok ukur minimum untuk akses berisiko tinggi.

Kesimpulan

FIDO merepresentasikan perubahan mendasar dalam desain autentikasi enterprise. Bukan sebagai pengganti password semata, tetapi sebagai pendekatan yang menutup celah utama yang dimanfaatkan oleh serangan phishing modern.

Dengan dukungan standar internasional, panduan regulator, serta sinyal kuat dari laporan riset hingga tahun 2025, FIDO berada pada posisi strategis untuk menjadi benchmark keamanan identitas di tahun 2026, khususnya bagi organisasi yang ingin mengurangi risiko kompromi akun secara fundamental, bukan sekadar reaktif.

 

  • Share this

About

Products

Follow Us

Office

Soho Capital @PodomoroCity, 31st floor, Suite SC 3102-3103
Jl. Let. Jend. S. Parman Kav. 28
Jakarta Barat 11470, Indonesia

 

Tel:  +62-21-29 181 383
Fax: +62-21-29 181 380
HalooDymar: +62-81181155771
WhatsApp Business: +62-811-8254-817

© 2022. All Rights Reserved. Terms of Use and Privacy Policy