Autentikasi Tanpa Kata Sandi: Metode Mana yang Cocok untuk Aplikasi Anda?

Bagaimana jika aplikasi Anda dapat memverifikasi identitas pengguna tanpa perlu meminta mereka melakukan apa pun?

Tidak perlu mengingat kata sandi. Tidak perlu menunggu OTP. Tidak perlu mengetik kode. Pengguna membuka aplikasi, dan verifikasi berjalan di latar belakang dalam hitungan detik — melalui Telkomsel, Indosat, XL Axiata, dan Smartfren.

Biometrik, passkey, magic link, Silent Mobile Authentication — semuanya menghilangkan kata sandi. Tapi tidak semuanya cocok untuk setiap aplikasi.

Bagi bisnis di Indonesia yang kehilangan pelanggan karena friksi saat login dan kehilangan uang karena penipuan, autentikasi tanpa kata sandi bukan lagi pilihan. Dengan POJK 11/2022 tentang Manajemen Risiko TI dan POJK 4/2023 tentang Penyelenggara Layanan Keuangan Digital yang mempertegas standar autentikasi, pertanyaannya tinggal: metode mana yang paling pas?

Mengapa Kata Sandi dan SMS OTP Sudah Tidak Memadai

Kata sandi telah menjadi standar selama puluhan tahun, tetapi tetap menjadi mata rantai terlemah dalam keamanan akun.

Pengguna memakai kata sandi yang sama di berbagai layanan. Mereka sering lupa. Penipuan account takeover (ATO) yang memanfaatkan kredensial curian diperkirakan menyebabkan kerugian global $17 miliar pada 2025, dan konsumen Indonesia terus menghadapi lonjakan kerugian dari penipuan berbasis SMS dan smishing.

SMS OTP awalnya diharapkan menyelesaikan masalah ini. OTP menambah faktor kedua dengan mengirim kode ke ponsel pengguna. Namun, OTP juga menimbulkan masalahnya sendiri.

Penipuan SIM swap tumbuh 400% antara 2018 dan 2022 secara global. Pelaku menipu operator untuk memindahkan nomor korban ke SIM baru, lalu mencegat setiap OTP yang dikirim ke nomor itu. Selain penipuan, OTP juga menimbulkan friksi. Hampir 47% konsumen melaporkan frustrasi karena kode yang terlambat atau salah ketik. Setiap langkah tambahan dalam proses login adalah peluang bagi pengguna untuk meninggalkan sesi.

Baca Selengkapnya: Authentication 101: MFA, Biometrik, dan Apa Selanjutnya

Lima Metode Tanpa Kata Sandi Secara Sekilas

Setiap metode menyelesaikan bagian masalah yang berbeda. Berikut gambaran singkat sebelum bagian pengambilan keputusan.

• Biometrik: Pemindaian sidik jari dan wajah yang terhubung ke secure enclave perangkat. Cepat dan familiar, tetapi memerlukan perangkat yang kompatibel.
• Passkey (FIDO2): Pasangan kunci kriptografi yang disimpan di perangkat pengguna. Passkey mencapai tingkat keberhasilan login 93% dibandingkan 63% untuk kata sandi tradisional.
• Magic link: URL unik yang dikirim ke email pengguna. Mengkliknya menyelesaikan proses login. Sederhana, tetapi bergantung pada kecepatan pengiriman email dan akses ke kotak masuk.
• Aplikasi authenticator: Kode berbasis waktu yang dihasilkan di perangkat terdaftar. Kuat terhadap phishing setelah disiapkan, tetapi langkah manualnya memicu drop-off pada alur mobile.
• Silent Mobile Authentication: Memverifikasi SIM dan perangkat pengguna langsung ke operator seluler di latar belakang. Tanpa input pengguna. Bekerja di perangkat mobile mana pun dengan SIM Indonesia aktif.

Setiap metode cocok untuk konteks yang berbeda. Pilihan tepat tergantung aplikasi Anda.

Baca Selengkapnya: Panduan Lengkap Solusi CPaaS untuk Pencegahan Penipuan dan Autentikasi Tanpa Hambatan

Kerangka Keputusan untuk Aplikasi di Indonesia

Sesuaikan metode dengan cara pengguna Anda benar-benar menggunakan produk, bukan dengan lembar spesifikasi. Lima arketipe aplikasi mencakup sebagian besar kasus.

• Aplikasi konsumen mobile-first (GoPay, OVO, DANA, Gojek, Grab): Silent Mobile Authentication sebagai utama. Friksi adalah kendala utama; drop-off bertambah di setiap ketukan ekstra. Passkey sebagai cadangan saat pengguna terhubung ke Wi-Fi.
• Transaksi konsumen bernilai tinggi (BCA, Mandiri, BRI, BNI, dompet kripto): Berlapis. SMA untuk verifikasi sesi, biometrik untuk transaksi di atas ambang risiko tertentu — sesuai harapan OJK terhadap autentikasi multi-faktor.
• SaaS B2B enterprise (konsol admin, perangkat developer): Passkey sebagai utama. Perangkat karyawan mendukungnya secara konsisten, ketahanan terhadap phishing lebih penting daripada nol friksi, dan kunci hardware menangani akun dengan hak akses tertinggi.
• Layanan konsumen jarang dipakai (PLN, Pertamina, BPJS, portal pemerintah): Magic link dapat diterima ketika login jarang dilakukan, dan kotak masuk sudah menjadi saluran notifikasi. Tingkatkan jika frekuensi login atau eksposur penipuan meningkat.
• Aplikasi hybrid desktop dan mobile (Tokopedia, Shopee, Bukalapak): Passkey untuk akun, biometrik perangkat untuk sesi berulang. Pertahankan SMS OTP hanya sebagai cadangan, dan rencanakan untuk menghapusnya secara bertahap.

Rekomendasi ini mencerminkan kondisi saat ini dari setiap metode. Seiring dukungan passkey dan cakupan operator SMA bertambah di Indonesia, komposisi optimal akan berubah.

Kesalahan Umum dalam Implementasi Tanpa Kata Sandi

Sebagian besar peluncuran yang gagal mengulang segelintir kesalahan yang sama — dan sebagian besar bisa dihindari.

• Menganggap fallback sebagai pikiran belakangan. Setiap metode terkadang gagal. SMA butuh data seluler; passkey butuh perangkat terdaftar; magic link butuh kotak masuk yang aktif. Rancang fallback dengan kepedulian yang sama seperti metode utama — terutama penting mengingat variasi cakupan data seluler di luar Jawa.
• Mengasumsikan dukungan perangkat universal. Sinkronisasi passkey berjalan baik di perangkat Apple dan Android keluaran baru, tetapi gagal di perangkat lama dan ponsel Android entry-level yang umum di Indonesia. Periksa komposisi perangkat pengguna Anda sebelum berkomitmen.
• Hanya mengukur keberhasilan login, bukan funnel lengkap. Sebuah metode bisa mencapai 95% di layar login dan tetap kehilangan pengguna di recovery, pairing perangkat, atau antrian fallback. Jika tidak mengukur seluruh funnel, Anda mengukur hal yang salah.
• Membiarkan recovery tidak tersentuh. Pintu depan tanpa kata sandi tetapi pintu belakang berbasis kata sandi — pertanyaan keamanan, tautan reset tanpa verifikasi kedua — mewarisi setiap kerentanan yang baru saja Anda hilangkan. Rancang ulang recovery bersama alur utama.
• Mengabaikan cakupan operator untuk SMA. Autentikasi senyap bergantung pada integrasi tingkat operator. Cakupan mencakup Telkomsel, Indosat, XL Axiata, dan Smartfren di Indonesia, tetapi periksa cakupan regional jika pengguna Anda sering bepergian.

Pola Adopsi per Industri di Indonesia

Kurva adopsi berbeda di setiap sektor. Berikut momentumnya — dan apa artinya bagi peta jalan autentikasi Anda.

Fintech di Indonesia memimpin pergeseran ini. Bank digital seperti Bank Jago, Allo Bank, SeaBank, dan SuperBank, serta e-wallet seperti GoPay, OVO, dan DANA, memadukan SMA dengan tantangan biometrik untuk transaksi, sementara SMS OTP hanya dipertahankan sebagai cadangan.

Panduan regulasi dari Otoritas Jasa Keuangan (OJK) dan Bank Indonesia, termasuk POJK 11/2022 dan POJK 4/2023, semakin memperlakukan metode berbasis kepemilikan sebagai baseline, dan mendorong institusi menjauh dari SMS OTP sebagai faktor utama.

E-commerce sedang dalam transisi. Passkey mulai mendapatkan momentum di checkout pada browser mobile, terutama jika GoPay, OVO, atau Google Pay sudah terintegrasi. SMS OTP tetap dominan untuk alur guest checkout, di mana eksposur penipuan paling tinggi.

SaaS enterprise sudah passkey-first untuk autentikasi karyawan. Kunci keamanan hardware menangani akun administratif.

Autentikasi yang menghadap pelanggan pada produk yang sama sering tertinggal satu tahun atau lebih dari autentikasi karyawan.

Layanan kesehatan dan pemerintah adalah pengadopsi paling lambat. Magic link dan SMS OTP masih dominan, biasanya karena tumpukan autentikasi terikat pada sistem identitas legacy. Migrasi ke passkey sedang berjalan, di pasar di mana kepatuhan tidak menyisakan pilihan lain.

Di Mana Posisi 8×8 dalam Tumpukan Tanpa Kata Sandi Anda

Anda sudah memilih metode. Sekarang Anda perlu metode itu bekerja — di seluruh operator Indonesia, di seluruh kawasan, dengan fallback yang tidak membuat pengguna Anda harus mengulang dari awal.

Utama Tanpa Friksi → Silent Mobile Authentication

Ketika pengguna membuka aplikasi Anda, 8×8 Silent Mobile Authentication mengarahkan permintaan verifikasi ke Telkomsel, Indosat, XL Axiata, atau Smartfren melalui satu API. Operator mengonfirmasi bahwa SIM dan perangkat cocok dengan nomor terdaftar dan mengembalikan hasil dalam hitungan detik — tanpa kode, tanpa ketukan, tanpa friksi. Pengguna Anda sudah masuk sebelum mereka menyadari apa pun terjadi. Cakupannya mencakup APAC dan sekitarnya melalui integrasi GSMA Open Gateway.

 

Fallback saat Wi-Fi → Verif8

SMA memerlukan koneksi seluler. Ketika pengguna terhubung ke Wi-Fi atau pengecekan operator tidak dapat diselesaikan, Verif8 mengambil alih secara otomatis. Verif8 menghasilkan dan mengirim OTP melalui SMS, panggilan suara, dan aplikasi pesan seperti WhatsApp — satu integrasi self-service yang mencakup setiap jalur fallback, dengan pemantauan penipuan bawaan untuk menangkap pola permintaan abnormal sebelum merugikan Anda.

 

 

Manajemen Akun dan Recovery → Descope CIAM

Setiap peristiwa autentikasi perlu tempat untuk dicatat. Descope CIAM — platform identitas pelanggan no-code dari 8×8 — menghubungkan verifikasi SMA, OTP fallback, dan tantangan step-up ke satu rekaman pengguna. Sesi, status akun, dan alur recovery tetap konsisten terlepas dari metode mana yang menangani login. Anda merancang seluruh perjalanan di editor drag-and-drop visual, tanpa kode khusus.

Bersama-sama, ketiga komponen ini memberi Anda tumpukan yang dapat tumbuh: mulai dengan satu metode utama, tambahkan fallback, dan lapisi step-up berbasis risiko ketika nilai transaksi membenarkannya.

Siap Memikirkan Ulang Cara Pengguna Anda Masuk?

Tanpa kata sandi adalah serangkaian pilihan, bukan satu tombol. Metode yang tepat tergantung pada pengguna Anda, perangkat mereka, dan risiko yang Anda tanggung — terutama di bawah panduan OJK yang terus berkembang.

Mulailah dengan metode utama tanpa friksi. Pasangkan dengan fallback yang tidak merusak pengalaman. Lapisi step-up berbasis risiko ketika nilai transaksi membenarkannya. Itulah tumpukan yang dapat diskalakan.

Hubungi 8×8 Indonesia untuk mendiskusikan kombinasi yang cocok untuk aplikasi Anda, atau pelajari lebih dalam solusi SMA kami.