Metode Otentikasi Transaksi Pembayaran: Mana yang Terbaik?

CTO Airome Technologies Pavel Melnichenko | Foto: airome.tech

METODE autentikasi yang biasa pengguna gunakan, seperti portal, sistem perusahaan, VPN, dan banyak lainnya sudah cukup populer. Kita semua tahu tentang faktor autentikasi (apa yang Anda tahu, apa yang Anda miliki, dan siapa diri Anda), autentikasi dua faktor, autentikasi multi-faktor, bagaimana menerapkan faktor-faktor ini, dan lain-lain.

Namun, terkait dengan transaksi pembayaran, ada banyak jebakan tersembunyi karena ada berbagai perbedaan mendasar antara aplikasi biasa (dalam sebuah perusahaan, misalnya) dan sistem pembayaran (seperti kartu, e-wallet, dll).

Mari kita lihat hal itu lebih detail.

Berkenaan dengan autentikasi tingkat perusahaan, kita dapat menemukan banyak solusi yang dicoba dan diuji untuk memecahkan masalah: protokol (seperti Active Directory, SAML, RADIUS, OpenID, OAuth, satu set RFC, atau standar ISO), spesifikasi, perangkat lunak dan perangkat keras vendor untuk memfasilitasi penyedia autentikasi, serta perangkat lunak dan perangkat keras yang dapat berkomunikasi dengan penyedia ini. Yang lain, perangkat autentikasi klien, seperti token, kalkulator MAC, kartu pintar, cincin NFC, pemindai sidik jari, dan sebagainya.

Pasar yang besar tersebut selalu berusaha tetap terorganisasi dan menciptakan solusi yang saling kompatibel. Ini luar biasa karena Anda bisa mendapatkan aplikasi level perusahaan (misalnya, sistem e-doc) dan menautkannya dengan direktori pengguna via Identity Management (IdM) atau dengan berbagai metode autentikasi via sistem Single Sign-On (SSO). Sistem SSO ini mencakup persyaratan autentikasi Anda, sedangkan IdM mengelola pengguna dan faktor autentikasi. Tidak masalah vendor mana yang menyediakan komponen ini untuk Anda, semuanya akan bekerja dengan protokol standar.

Masalah infrastruktur pembayaran, bagaimanapun, jauh lebih kompleks. Saya melihat dua alasan utama. Pertama, manajemen pengguna sama sekali berbeda dengan aplikasi biasa. Kedua,tidak ada standar untuk keluar untuk mengautentikasi pengguna atau transaksi pengguna melalui pemrosesan transaksi pembayaran. Akibatnya setiap perusahaan keuangan (bank, fintech, e-wallet, platform investasi dll) harus menciptakan sesuatu berdasarkan visi dan risikonya sendiri.

Mari kita bayangkan bahwa Anda adalah bank biasa. Jika kita mengabaikan fitur seperti Open API, maka Anda memberikan dua opsi utama kepada pengguna untuk membelanjakan uangnya: menggunakan kartu pembayaran dan melalui sistem perbankan jarak jauh (bank seluler, perbankan online, dll.).

Dalam hal pembayaran offline menggunakan kartu, memang tidak ada masalah. Anda bekerja dengan terminal POS melalui sistem pembayaran seperti Visa atau Mastercard. Proses pembayaran transparan dan aman.

Dengan transaksi tanpa kartu (e-commerce), maka sesuai dengan persyaratan Verified-By-Visa (dan layanan serupa), Anda sebagai penerbit kartu harus mengautentikasi pemegang kartu. Otentikasi berlangsung.

Transaksi akan diproses oleh infrastruktur dan perangkat lunak khusus: pemrosesan kartu. Biasanya, ini divisi terpisah di bank dengan aturannya sendiri yang merupakan kombinasi dari persyaratan sistem pembayaran (seperti Visa) dan manajemen risiko internal. Aturan, infrastruktur, dan perangkat lunak ini menyediakan mekanisme otentikasi transaksi yang sangat terbatas. Biasanya, salah satu dari berikut ini digunakan: PIN kartu, PIN statis terpisah, kata sandi satu kali (OTP) melalui SMS, atau kata sandi satu kali melalui notifikasi.

Bisakah Anda mengelola metode otentikasi? Tidak. Bisakah Anda menggunakan sesuatu yang lebih baik dan lebih aman daripada SMS? Tidak. Dapatkah Anda meminta vendor pemrosesan untuk memenuhi kebutuhan Anda? Ya, tapi bersiaplah untuk membayar. Tanpa jaminan apapun. Bandingkan ini dengan aplikasi perusahaan, dan Anda akan melihat perbedaannya.

Anda mungkin bertanya pada diri sendiri: apakah saya benar-benar perlu mengubah sesuatu? Mungkin semuanya baik-baik saja? Mari kita lihat.

Menggunakan PIN kartu untuk mengautentikasi transaksi pembayaran melalui internet bukanlah ide yang baik. Itu dapat dibajak oleh seseorang. Ada banyak alat dan teknik untuk mencurinya, seperti: keylogger, serangan man-in-the-middle, serangan man-in-the-browser, trojan, exploit, dan sebagainya. Saya rasa tidak perlu menjelaskan mengapa pencurian PIN kartu adalah hal yang buruk.

PIN statis yang terpisah memiliki kerentanan yang sama, tetapi setidaknya PIN kartu tidak akan dicuri dan kartu tidak akan digunakan secara offline oleh pelaku.

Kelemahan OTP melalui SMS telah dibahas berkali-kali. Ini jelas tidak aman sama sekali: memiliki sejumlah besar kerentanan teknis dan teknologi dan dapat dibajak menggunakan rekayasa sosial, phishing, dll. Selain itu, sangat mahal. Dan terlebih lagi, penggunaannya mulai dilarang di lebih banyak negara karena alasan kerugiannya.

OTP melalui notifikasi, murah memang, tapi juga memiliki kelemahan yang sama dari sudut pandang teknis dan teknologi. Ke depan, Anda memiliki beberapa opsi untuk membangun sistem perbankan jarak jauh Anda.

Opsi satu adalah membangunnya di sekitar pemrosesan kartu. Dalam hal ini, Anda akan memiliki semua masalah otentikasi (misalnya keamanan dan pemeliharaan) dari paragraf sebelumnya. Anda akan disandera oleh vendor pemrosesan yang lambat, sangat eksklusif, dan mahal, terhadap aturan sistem pembayaran seperti Visa/Mastercard, dan sebagainya. Lupakan layanan modern dan nyaman.

Opsi kedua adalah membangun sistem perbankan jarak jauh dengan spesifikasi Anda sendiri. Menggunakan teknik modern, ini dapat berupa serangkaian layanan back-end dan solusi front-end. Dalam hal ini, Anda dapat mengatur alur pemrosesan transaksi sesuka Anda, dengan otentikasi transaksi yang mengikuti aturan Anda sendiri. Tentu saja, Anda dapat menemukan solusi seperti ini dari vendor tepercaya. Jika solusi internal vendor atau Anda sendiri memungkinkan, Anda dapat mengintegrasikan IdM dan SSO dalam sistem perbankan jarak jauh dan layanan tambahan Anda.

Saya yakin jika Anda dapat memilih metode autentikasi transaksi pembayaran, Anda tidak akan memilih metode yang tidak aman dan mahal dengan banyak masalah yang diketahui, seperti pesan SMS atau PIN statis.

Dari sudut pandang saya, solusi terbaik untuk transaksi pembayaran adalah dengan menggunakan solusi konfirmasi mobile-centric, seperti PayConfirm. Ini memiliki tingkat keamanan yang sangat tinggi, lebih murah daripada pesan SMS, dan jauh lebih nyaman bagi pengguna.

Jika Anda adalah bank, Anda mungkin lebih suka menggabungkan metode otentikasi transaksi tanpa kartu dan untuk sistem perbankan jarak jauh. Ya, Anda dapat mengambil rute termudah dan membuat semua sistem Anda seburuk komponen terburuknya (pemrosesan kartu, misalnya). Namun, cara lain adalah mendorong vendor pemrosesan untuk mendukung kebutuhan Anda. Mungkin permintaan seperti ini akan menentukan standar autentikasi di sektor perusahaan. Ini akan baik untuk semua pihak di dalamnya: lembaga keuangan, vendor keamanan, pengguna akhir, perusahaan pendukung, dll.

Dengan demikian, posisi bank tidak terlalu nyaman dalam hal otentikasi transaksi pembayaran. Namun, i, e-wallet, dan lembaga keuangan lainnya tidak memiliki batasan yang sama dengan bank. Ini berarti bahwa mereka dapat menggunakan solusi mobile-centric modern, yang hemat biaya, aman, dan nyaman bagi pengguna akhir.[]

Penulis adalah Chief Technology Officer Airome Technologies.