Account Takeover (ATO) menjadi salah satu ancaman siber yang semakin meningkat di era digital, termasuk pada platform SaaS yang menyimpan berbagai data dan aktivitas penting pengguna. Ketika pelaku berhasil mengambil alih akun seseorang, mereka dapat mengakses informasi sensitif, mengubah data akun, hingga menyalahgunakan identitas korban untuk berbagai tindakan fraud. 

Berdasarkan laporan terbaru, kerugian akibat account takeover mencapai miliaran dolar setiap tahunnya dan terus meningkat seiring berkembangnya teknik phishing, social engineering, hingga kebocoran kredensial digital. Kondisi ini membuat metode keamanan tradisional seperti password dan OTP mulai menghadapi berbagai keterbatasan. 

Di tengah meningkatnya ancaman tersebut, banyak organisasi mulai beralih ke pendekatan passwordless authentication seperti Passkey untuk membangun sistem autentikasi yang lebih aman dan tahan terhadap pencurian kredensial. Dengan memanfaatkan autentikasi biometrik dan kriptografi berbasis perangkat, pendekatan ini membantu memastikan bahwa akun benar diakses oleh pengguna yang sah tanpa mengorbankan kenyamanan pengguna. 

Apa Itu Account Takeover? 

Secara sederhana, Account Takeover (ATO) adalah bentuk pencurian identitas di mana pihak yang tidak berwenang berhasil mendapatkan akses ilegal ke akun digital milik orang lain. Ketika pelaku berhasil memegang kendali atas akun tersebut, mereka dapat mengubah informasi profil, melakukan transaksi tanpa izin, hingga menyebarkan pesan atas nama korban. 

Berbeda dengan serangan siber yang merusak sistem secara langsung, ATO sering kali terjadi secara senyap dan sulit disadari. Pelaku biasanya memanfaatkan celah keamanan seperti password yang lemah, kebocoran kredensial, phishing, hingga manipulasi psikologis melalui social engineering. 

Dalam ekosistem digital yang saling terhubung, satu akun yang berhasil diambil alih juga dapat menjadi pintu masuk untuk mengakses layanan atau aset digital lainnya. 

Mengapa Platform SaaS Rentan terhadap Account Takeover? 

Platform SaaS memiliki karakteristik yang membuatnya menjadi salah satu target rentan terhadap account takeover. Sebagian besar layanan SaaS dapat diakses dari mana saja melalui internet dan menyimpan berbagai data penting pengguna, mulai dari informasi bisnis, dokumen digital, hingga komunikasi internal organisasi. 

Di sisi lain, pengguna SaaS umumnya memiliki banyak akun di berbagai platform dan sering menggunakan metode login yang serupa. Penggunaan password yang sama di beberapa layanan, ditambah metode autentikasi yang masih bergantung pada OTP atau kredensial statis, membuat risiko pencurian akun menjadi semakin besar. 

Ketika satu akun berhasil diambil alih, dampaknya tidak hanya berhenti pada satu pengguna saja. Dalam ekosistem SaaS yang saling terhubung, akun yang diretas dapat menjadi pintu masuk untuk mengakses sistem internal, data perusahaan, hingga layanan digital lainnya. 

Karena itu, platform SaaS membutuhkan pendekatan autentikasi yang lebih modern dan tahan terhadap phishing maupun pencurian kredensial. 

Mengapa Multi-Factor Authentication Tidak Lagi Cukup? 

Meskipun Multi-Factor Authentication (MFA) masih menjadi salah satu lapisan keamanan penting, berkembangnya serangan siber yang semakin canggih membuat penggunaan password dan OTP saja tidak lagi cukup untuk melindungi akun dari ancaman account takeover. 

Salah satu metode yang sering digunakan fraudster adalah SIM swap, yaitu modus penipuan digital di mana pelaku mengambil alih nomor telepon korban melalui pergantian kartu SIM ke operator seluler. Ketika nomor berhasil diambil alih, OTP yang dikirim melalui SMS pun dapat diakses oleh pelaku. 

Selain itu, phishing modern kini juga semakin sulit dikenali karena mampu meniru tampilan halaman login atau komunikasi resmi secara sangat meyakinkan. Akibatnya, pengguna dapat secara tidak sadar memberikan kredensial atau kode OTP mereka kepada pihak yang tidak bertanggung jawab. 

Karena itu, organisasi mulai mencari pendekatan autentikasi yang tidak lagi bergantung pada password maupun OTP, salah satunya melalui penggunaan Passkey. 

Passkeys Sebagai Standar Baru Keamanan Tanpa Kata Sandi 

Passkey menjadi salah satu pendekatan passwordless authentication yang mulai banyak digunakan untuk mengurangi risiko pencurian kredensial. Berbeda dengan password tradisional maupun OTP, Passkey menggunakan teknologi kriptografi berbasis pasangan kunci digital serta autentikasi biometrik yang terikat langsung pada perangkat pengguna. 

Melalui pendekatan ini, proses login tidak lagi bergantung pada informasi yang harus diingat atau diketik pengguna, sehingga risiko phishing maupun pencurian password dapat ditekan secara signifikan. 

Berikut merupakan beberapa alasan mengapa Passkey dianggap sebagai masa depan keamanan digital: 

1. Tidak Berpaku Kepada Kata Sandi
   Hampir semua kasus ATO berawal dari kredensial yang bocor melalui berbagai cara. Passkey tidak menggunakan deretan karakter yang bisa diingat atau dicatat, melainkan autentikasi biometrik seperti Face ID atau Fingerprint yang ada pada perangkat Anda. Karena tidak ada password yang diketik dan keamanan bertumpu pada informasi yang dimiliki pengguna yang sah, ini tentunya dapat mencegah ATO dari awal.
2. Anti-phishing Secara Alami
   Salah satu taktik ATO paling umum adalah membuat situs palsu yang sangat mirip aslinya untuk mengumpulkan banyak kredensial. Dengan password biasa, korban mungkin tertipu dan mengetikkan kredensialnya di sana. Namun, Passkey hanya merespons situs yang asli.
3. Autentikasi yang Terikat Pada Perangkat
   Passkey terdiri dari kunci publik yang disimpan oleh penyedia layanan dan kunci privat yang hanya ada di dalam perangkat fisik Anda. Untuk melakukan ATO, pelaku tidak cukup hanya mencuri data dari server, mereka harus memegang perangkat fisik Anda dan memiliki akses biometrik Anda. Hal ini membuat serangan jarak jauh menjadi hampir mustahil untuk dilakukan. 

Keuntungan Bagi Bisnis Saat Beralih ke Passwordless Authentication 

Beralih ke pendekatan passwordless authentication seperti Passkey tidak hanya membantu meningkatkan keamanan akun pengguna, tetapi juga memberikan berbagai keuntungan bagi bisnis, khususnya platform SaaS yang mengelola banyak akun dan data digital secara bersamaan. 

• Mengurangi Risiko Fraud dan Account Takeover
  Karena Passkey tidak bergantung pada password maupun OTP, risiko pencurian kredensial melalui phishing, brute force attack, atau kebocoran data dapat ditekan secara signifikan. Hal ini membantu bisnis mengurangi potensi kerugian akibat pengambilalihan akun dan penyalahgunaan identitas pengguna.

• Meningkatkan Pengalaman Pengguna
  Pengguna tidak perlu lagi mengingat banyak password atau memasukkan OTP setiap kali login. Dengan autentikasi biometrik seperti Face ID atau fingerprint, proses login menjadi lebih cepat, seamless, dan nyaman tanpa mengurangi keamanan akun.

• Mengurangi Beban Operasional
  Masalah seperti reset password, akun terkunci, hingga permintaan pemulihan akun sering kali menjadi beban tambahan bagi tim support dan operasional. Dengan passwordless authentication, bisnis dapat mengurangi friksi tersebut sekaligus meningkatkan efisiensi operasional.

• Membantu Membangun Digital Trust
  Di tengah meningkatnya ancaman siber dan manipulasi identitas digital, keamanan akun menjadi bagian penting dalam membangun kepercayaan pengguna. Karena itu, banyak bisnis mulai mengombinasikan passwordless authentication dengan identitas digital terverifikasi untuk memastikan akun benar diakses oleh pengguna yang sah. 

Langkah-langkah Mencegah Account Takeover (ATO) 

Beberapa cara untuk mencegah ATO, di antaranya: 

1. Migrasi ke Passkey
   Passkey menjadi salah satu pendekatan paling efektif untuk mengurangi risiko account takeover karena autentikasi dilakukan menggunakan biometrik dan kunci kriptografi yang terikat langsung pada perangkat pengguna. Dengan pendekatan ini, risiko pencurian password melalui phishing maupun kebocoran data dapat ditekan sejak awal.
2. Gunakan MFA sebagai Lapisan Tambahan
   Meskipun memiliki keterbatasan, MFA tetap dapat membantu meningkatkan keamanan akun, terutama jika menggunakan aplikasi authenticator dibanding OTP berbasis SMS. Dengan aplikasi authenticator, kode autentikasi akan terus berubah secara berkala sehingga lebih sulit diambil alih oleh pihak lain.
3. Lindungi Transaksi Penting dengan TTE Tersertifikasi
   Mengamankan pintu masuk awal dengan Passkey merupakan langkah awal yang baik, namun menambahkan keamanan dengan menggunakan TTE tersertifikasi memberikan jaminan kepercayaan bagi bisnis untuk bertransaksi di ruang digital. Bisnis dapat mengintegrasikan layanan kepercayaan digital seperti Privy untuk memastikan transaksi berisiko tinggi wajib divalidasi dengan TTE tersertifikasi.
4. Waspada terhadap Social Engineering
   Secanggih apa pun teknologi keamanan yang digunakan, manipulasi psikologis tetap menjadi salah satu metode serangan paling efektif. Karena itu, jangan pernah memberikan OTP, password, maupun informasi sensitif kepada siapa pun, bahkan ketika mereka mengaku berasal dari instansi resmi.
5. Pantau Aktivitas Akun secara Berkala
   Periksa histori login dan perangkat yang terhubung ke akun secara rutin. Jika terdapat aktivitas mencurigakan atau perangkat asing yang tidak dikenali, segera lakukan force logout dan ubah metode autentikasi akun Anda. 

Kesimpulan 

Ancaman account takeover (ATO) menunjukkan bahwa keamanan digital tidak lagi cukup hanya mengandalkan password maupun OTP. Di tengah meningkatnya phishing, social engineering, dan pencurian kredensial, organisasi perlu mulai beralih ke pendekatan autentikasi yang lebih aman dan relevan dengan kebutuhan ekosistem digital modern. 

Passkey hadir sebagai pendekatan passwordless authentication yang membantu mengurangi risiko pencurian akun melalui autentikasi biometrik dan teknologi kriptografi yang terikat langsung pada perangkat pengguna. Dengan pendekatan ini, proses login tidak hanya menjadi lebih aman, tetapi juga lebih seamless bagi pengguna. 

Bagi platform SaaS, membangun sistem autentikasi yang aman bukan lagi sekadar fitur tambahan, tetapi bagian penting dalam menjaga kepercayaan pengguna dan melindungi ekosistem digital secara menyeluruh. Karena itu, pendekatan seperti Passkey dan identitas digital terverifikasi mulai menjadi fondasi baru dalam membangun pengalaman digital yang lebih aman dan terpercaya.  

FAQ Seputar Account Takeover & Passkey 

1. Apakah Passkey Bisa Hilang Jika HP Saya Hilang?
   Tidak. Passkey biasanya sudah tersinkronisasi melalui cloud, sehingga Anda bisa memulihkannya di perangkat baru utama Anda.
2. Apakah Saya Masih Butuh Password Jika Sudah Pakai Passkey?
   Sebenarnya tidak perlu lagi. Namun, pada tahap registrasi atau onboarding awal, penggunaan password biasanya masih diperlukan sebagai langkah awal pembuatan akun. Setelah akun terdaftar, Anda bisa langsung mengaktifkan Passkey sebagai lapisan keamanan utama. Dengan begitu, login berikutnya menjadi jauh lebih praktis, seamless, dan tentunya jauh lebih aman dari ancaman peretasan.
3. Apa itu serangan SIM Swap?
   SIM Swap adalah modus peretasan di mana pelaku mengambil alih nomor telepon Anda dengan cara menduplikasinya ke kartu SIM baru melalui operator seluler. Akibatnya, semua kode OTP berbasis SMS akan terkirim ke perangkat pelaku.