Verifikasi 2 Langkah Adalah: Cara Kerja, Jenis, dan Risiko
Verifikasi 2 langkah adalah metode keamanan yang mengharuskan pengguna melewati dua tahap pembuktian identitas sebelum mendapatkan akses ke akun atau sistem. Berbeda dari sekadar password, lapisan kedua ini bisa berupa kode OTP, aplikasi autentikator, atau biometrik. Untuk bisnis fintech dan perbankan, verifikasi 2 langkah bukan sekadar fitur tambahan, melainkan garis pertahanan wajib terhadap ancaman account takeover dan SIM swap yang terus meningkat.
Apa itu Verifikasi 2 Langkah?
Verifikasi 2 langkah (2-Step Verification atau 2SV) adalah proses autentikasi yang meminta pengguna membuktikan identitasnya melalui dua faktor berbeda sebelum akses diberikan. Faktor pertama adalah sesuatu yang diketahui pengguna, seperti password. Faktor kedua adalah sesuatu yang dimiliki atau melekat pada pengguna, seperti kode OTP, token fisik, atau data biometrik.
Logika di baliknya sederhana: meskipun password Anda bocor, pelaku kejahatan tetap tidak bisa masuk tanpa faktor kedua yang hanya ada di tangan Anda. Menurut laporan Verizon Data Breach Investigations Report 2024, 85% serangan siber melibatkan credential stuffing berbasis password yang dicuri. Verifikasi 2 langkah secara langsung memutus rantai serangan ini.
Perbedaan Verifikasi 2 Langkah, 2FA, dan MFA
Tiga istilah ini sering dipakai bergantian, padahal memiliki makna yang berbeda. Memahami perbedaannya penting agar bisnis memilih lapisan keamanan yang tepat sesuai profil risiko mereka.
| Istilah | Jumlah Faktor | Jenis Faktor | Contoh Penerapan |
|---|---|---|---|
| Verifikasi 2 Langkah (2SV) | 2 langkah | Bisa dari kategori yang sama (misal: password + kode via SMS) | Login Gmail dengan password + SMS OTP |
| Two-Factor Authentication (2FA) | 2 faktor | Harus dari dua kategori berbeda (tahu + punya, atau tahu + biometrik) | Password + aplikasi Google Authenticator |
| Multi-Factor Authentication (MFA) | 2 faktor atau lebih | Tiga kategori: tahu + punya + siapa Anda (biometrik) | PIN + OTP + face recognition saat login mobile banking |
Poin kuncinya: semua 2FA adalah verifikasi 2 langkah, tetapi tidak semua verifikasi 2 langkah memenuhi syarat sebagai 2FA sejati. Untuk konteks keamanan perbankan dan fintech, standar minimum yang direkomendasikan regulator adalah 2FA dengan setidaknya satu faktor biometrik.
Cara Kerja Verifikasi 2 Langkah
Proses verifikasi 2 langkah berjalan dalam urutan yang ketat dan tidak bisa dilompati.
- Langkah 1 (Faktor Pertama): Pengguna memasukkan username dan password. Sistem memvalidasi kredensial ini terhadap database.
- Langkah 2 (Faktor Kedua): Jika password valid, sistem meminta bukti kedua. Bisa berupa kode OTP yang dikirim ke nomor terdaftar, token dari aplikasi autentikator, atau pemindaian biometrik.
- Akses Diberikan: Hanya setelah keduanya valid, sistem membuka akses.
Keamanan sistem ini bergantung sepenuhnya pada independensi kedua faktor. Jika faktor kedua dikirim ke perangkat yang sama dengan tempat login, tingkat perlindungannya berkurang. Inilah mengapa solusi biometrik berbasis liveness detection memberikan jaminan yang jauh lebih kuat dibandingkan OTP berbasis SMS.
5 Jenis Verifikasi 2 Langkah
Tidak semua metode verifikasi 2 langkah memiliki tingkat keamanan yang setara. Pilihan metode harus disesuaikan dengan profil risiko dan kebutuhan kepatuhan bisnis.
| Jenis | Cara Kerja | Kelebihan | Kelemahan | Ideal Untuk |
|---|---|---|---|---|
| SMS OTP | Kode 6 digit dikirim ke nomor HP terdaftar | Mudah digunakan, tidak butuh aplikasi tambahan | Rentan SIM swap dan intersepsi SS7 | Transaksi risiko rendah-menengah |
| Aplikasi Autentikator (TOTP) | Kode 6 digit berubah setiap 30 detik via app | Tidak bergantung jaringan seluler | Hilang akses jika HP hilang tanpa backup | Akun developer, email bisnis, platform keuangan |
| Push Notification | Notifikasi “Approve/Deny” ke aplikasi mobile | UX paling simpel, menampilkan konteks login | Rentan MFA fatigue attack | Akun korporat dengan kontrol admin |
| Hardware Token (FIDO2) | Perangkat fisik seperti YubiKey yang dicolok atau didekatkan | Tidak bisa dicuri secara remote, tahan phishing | Biaya perangkat, risiko hilang/rusak | Akun administrator, sistem keuangan tier-1 |
| Biometrik (Face/Fingerprint) | Pemindaian wajah atau sidik jari sebagai faktor kedua | Tidak bisa dicuri, tidak bisa diteruskan ke orang lain | Butuh perangkat dengan sensor yang kompatibel | Onboarding nasabah, login mobile banking, e-KYC |
Untuk keperluan pengamanan kode OTP yang sudah berjalan, langkah prioritas adalah bermigrasi dari SMS ke metode yang lebih kuat, terutama untuk transaksi bernilai tinggi.
Mengapa Verifikasi 2 Langkah Wajib untuk Bisnis Fintech dan Perbankan
BSSN dalam panduan keamanan digitalnya secara eksplisit mengimbau seluruh organisasi untuk mengaktifkan verifikasi dua langkah pada setiap layanan online yang digunakan, terutama untuk akun-akun yang mengelola data sensitif. Di sisi regulasi, POJK No. 11/POJK.01/2022 mengizinkan penggunaan e-KYC untuk proses onboarding dengan syarat verifikasi identitas berlapis.
Dari sisi ancaman, data IBM Security 2024 menunjukkan rata-rata bisnis membutuhkan 194 hari untuk mendeteksi sebuah insiden fraud sejak pertama kali terjadi. Serangan account takeover via SIM swap dan phishing OTP adalah dua vektor yang paling sering mengeksploitasi ketiadaan lapisan autentikasi kedua.
Bisnis fintech dan perbankan yang mengandalkan satu lapisan autentikasi saja menghadapi tiga risiko sekaligus: kerugian finansial langsung, sanksi regulasi, dan erosi kepercayaan nasabah jangka panjang. Panduan cara mencegah penipuan digital untuk sektor keuangan secara konsisten menempatkan verifikasi berlapis sebagai prioritas pertama.
Risiko Verifikasi 2 Langkah yang Perlu Diwaspadai Bisnis
Verifikasi 2 langkah bukan solusi yang bebas celah. Memahami risikonya membantu bisnis membangun strategi pertahanan yang lebih komprehensif.
- SIM Swap Attack: Pelaku menyamar sebagai korban ke operator seluler untuk memindahkan nomor HP ke SIM baru. Setelah berhasil, semua SMS OTP mengalir ke pelaku. Solusinya adalah bermigrasi ke aplikasi autentikator berbasis TOTP.
- MFA Fatigue Attack: Pelaku yang sudah memiliki password korban membanjiri perangkat dengan notifikasi push berulang hingga pengguna tidak sengaja menekan “Approve”. Solusinya adalah menggunakan number matching di mana pengguna harus mencocokkan angka yang muncul di login dengan yang ada di notifikasi.
- Real-Time Phishing (AiTM): Serangan adversary-in-the-middle mencegat sesi login secara real-time, termasuk kode OTP yang baru saja dikirim. Penipuan kode OTP jenis ini semakin canggih karena menggunakan kit phishing otomatis.
- Social Engineering: Pelaku berpura-pura menjadi pihak bank atau layanan resmi dan meminta kode OTP langsung dari korban. Ingat: tidak ada institusi resmi yang meminta kode OTP melalui telepon atau pesan.
Cara Mengaktifkan Verifikasi 2 Langkah di Platform Bisnis
Untuk platform dan aplikasi bisnis, langkah-langkah umum mengaktifkan verifikasi 2 langkah adalah sebagai berikut:
- Masuk ke pengaturan keamanan akun atau dashboard admin.
- Cari opsi “Two-Factor Authentication”, “Verifikasi Dua Langkah”, atau “Multi-Factor Authentication”.
- Pilih metode autentikasi: SMS OTP, aplikasi autentikator, atau biometrik sesuai kebijakan keamanan bisnis.
- Ikuti instruksi setup, biasanya memindai QR code (untuk aplikasi autentikator) atau mendaftarkan nomor telepon.
- Simpan kode pemulihan (recovery codes) di tempat aman di luar perangkat utama.
- Uji coba dengan logout dan login ulang untuk memastikan alur berjalan benar.
Untuk implementasi skala bisnis, terutama saat onboarding nasabah baru, disarankan mengintegrasikan verifikasi 2 langkah melalui API yang terhubung langsung ke sistem autentikasi berlapis. Hal ini memastikan konsistensi kebijakan keamanan di seluruh titik akses.
Verifikasi 2 Langkah vs Biometrik: Mana yang Lebih Kuat?
Pertanyaan ini sering muncul di kalangan tim keamanan fintech. Jawabannya bukan memilih salah satu, melainkan memahami kapan biometrik menjadi faktor terbaik dalam skema verifikasi 2 langkah.
| Aspek | Verifikasi 2 Langkah berbasis OTP | Verifikasi 2 Langkah berbasis Biometrik |
|---|---|---|
| Resistensi terhadap pencurian | Rentan: kode bisa dicuri via phishing atau SIM swap | Tinggi: data biometrik tidak bisa dikirim ulang ke pihak lain |
| Pengalaman pengguna | Ada friksi: menunggu kode, memasukkan manual | Mulus: verifikasi dalam hitungan detik |
| Ketahanan terhadap deepfake | Tidak relevan | Bergantung pada kualitas liveness detection yang digunakan |
| Kepatuhan regulasi e-KYC | Cukup untuk transaksi dasar | Direkomendasikan untuk onboarding nasabah (POJK No. 11/2022) |
| Biaya implementasi | Rendah | Lebih tinggi, tapi sebanding dengan reduksi risiko fraud |
Verihubs Face Liveness Detection mampu membedakan wajah asli dari foto, video, dan deepfake dalam waktu di bawah satu detik dengan akurasi tinggi bersertifikat NIST FATE PAD. Ketika diintegrasikan sebagai faktor kedua dalam skema autentikasi, liveness detection memberikan perlindungan yang jauh melampaui OTP konvensional, sekaligus memangkas friksi bagi pengguna akhir.
FAQ Seputar Verifikasi 2 Langkah
Apa perbedaan verifikasi 2 langkah dan autentikasi 2 faktor (2FA)?
Verifikasi 2 langkah mengacu pada dua langkah proses, di mana kedua faktor bisa berasal dari kategori yang sama (misalnya, password dan PIN). Sementara autentikasi 2 faktor (2FA) mensyaratkan dua faktor dari kategori yang berbeda secara kriptografis: sesuatu yang diketahui, sesuatu yang dimiliki, atau sesuatu yang merupakan bagian dari diri pengguna (biometrik). Secara teknis, 2FA lebih ketat dari verifikasi 2 langkah biasa.
Apakah SMS OTP masih aman digunakan di tahun 2025?
SMS OTP masih lebih baik daripada tidak menggunakan lapisan autentikasi kedua sama sekali. Namun SMS OTP memiliki kelemahan struktural terhadap serangan SIM swap dan eksploitasi protokol SS7. Untuk akun dengan risiko tinggi, seperti mobile banking atau platform developer, bermigrasi ke aplikasi autentikator berbasis TOTP atau biometrik adalah langkah yang lebih aman dan direkomendasikan.
Bagaimana bisnis fintech memastikan verifikasi 2 langkah sesuai regulasi OJK?
POJK No. 11/POJK.01/2022 mengizinkan penggunaan e-KYC untuk proses onboarding nasabah di sektor perbankan dan fintech dengan syarat verifikasi identitas berlapis dan terintegrasi dengan data kependudukan. Solusi yang menggabungkan verifikasi 2 langkah berbasis biometrik dengan OCR dokumen identitas dan database Dukcapil memenuhi persyaratan regulasi ini sekaligus memberikan keamanan yang lebih tinggi.
Apakah biometrik wajah bisa digunakan sebagai pengganti OTP dalam verifikasi 2 langkah?
Ya. Biometrik wajah yang dilengkapi liveness detection dapat berfungsi sebagai faktor kedua yang menggantikan OTP. Keunggulannya adalah biometrik tidak dapat dicuri melalui rekayasa sosial atau intersepsi jaringan, dan tidak membutuhkan pengguna untuk memasukkan kode secara manual. Untuk transaksi bernilai tinggi di perbankan, kombinasi PIN dan biometrik wajah dengan liveness detection adalah standar perlindungan yang paling kuat saat ini.
Apa yang harus dilakukan jika perangkat untuk verifikasi 2 langkah hilang?
Langkah pertama adalah segera gunakan kode pemulihan (recovery codes) yang disimpan saat setup awal untuk masuk ke akun dan mendaftarkan perangkat baru. Jika tidak ada kode pemulihan, hubungi layanan pelanggan platform terkait dengan dokumen identitas untuk verifikasi manual. Untuk bisnis, pastikan kebijakan pemulihan akun terdokumentasi dan diuji secara berkala agar tidak mengganggu operasional saat terjadi situasi darurat.
Password Saja Tidak Cukup: Langkah Selanjutnya Bisnis Anda
Verifikasi 2 langkah adalah garis minimum pertahanan di era digital. Namun untuk bisnis fintech dan perbankan yang mengelola data keuangan nasabah, standar minimum tidak lagi memadai. Serangan SIM swap, MFA fatigue, dan deepfake terus berevolusi, mendorong kebutuhan ke arah solusi autentikasi yang menggabungkan biometrik, liveness detection, dan integrasi data identitas secara real-time.
Verihubs menyediakan solusi verifikasi identitas berlapis yang mencakup Face Liveness Detection bersertifikat NIST, OCR dokumen KTP terintegrasi Dukcapil, dan keamanan identitas digital end-to-end yang dirancang sesuai regulasi OJK. Semua tersedia melalui API dengan integrasi cepat tanpa perlu membangun infrastruktur dari nol.
Hubungi Verihubs di sini untuk mengetahui bagaimana solusi autentikasi berlapis kami dapat melindungi akun nasabah dan sistem bisnis Anda dari ancaman account takeover yang semakin canggih.
