Satu Pemeriksaan Keamanan Tidak Cukup: Argumen untuk Perlindungan Identitas Berlapis

Sebagian besar sistem keamanan didasarkan pada asumsi yang berbahaya: satu pemeriksaan saja sudah cukup untuk mencegah penipu masuk. Itu tidak benar. Dan angka-angka tersebut segera membuktikannya.

Kredensial adalah yang pertama kali diserang. Data Microsoft Entra menunjukkan bahwa serangan berbasis kata sandi kini menyumbang lebih dari 99% dari 600 juta serangan identitas harian yang mereka amati. Kode sandi sekali pakai (OTP) melalui SMS di ponsel Anda juga tidak lagi efektif; serangan penggantian SIM sedang meningkat lebih dari 1000% secara tahunan di Inggris saja.

Oleh karena itu, organisasi beralih ke biometrik wajah, dan penyerang pun mengikuti. Karena sistem dengan tingkat keamanan tinggi – yang melindungi proses kritis, akun keuangan, dan data sensitif – menarik perhatian musuh yang paling gigih. Pada tahun 2024 saja, iProov mencatat:

• Serangan kamera virtual asli melonjak 2.665%
• Pertukaran wajah serangan deepfake bertiga
• Serangan injeksi meningkat 783% (dan peningkatan lebih lanjut 740% pada tahun 2025)

Ini bukan sekadar angka yang lebih besar. Angka-angka ini mencerminkan pergeseran fundamental: penyerang kini secara khusus menargetkan lapisan biometrik, melewati pertahanan yang dianggap oleh organisasi dapat "ditetapkan dan dilupakan". Masalahnya bukan pada teknologi biometrik – melainkan pada asumsi bahwa pemeriksaan tunggal, sekecil apa pun, sudah cukup jika dilakukan sendiri.

Ketika kita membicarakan keamanan berlapis di sini, kita tidak membicarakan otentikasi multi-faktor tradisional otentikasi multi-faktor – seperti menggunakan kata sandi bersama dengan aplikasi autentikator, misalnya (meskipun hal itu sangat direkomendasikan dan semakin diwajibkan di banyak negara dan industri). Kita berbicara tentang strategi pertahanan berlapis di dalam setiap faktor itu sendiri — bagaimana penumpukan kontrol keamanan ganda dalam verifikasi biometrik memastikan bahwa jika satu pemeriksaan tertipu, yang lain menangkap apa yang terlewatkan.

Keamanan identitas online adalah perlombaan senjata. Ini adalah proses evolusi yang berkelanjutan, bukan persamaan yang bisa diselesaikan dan disimpan begitu saja. Inilah tepatnya mengapa arsitektur pertahanan Anda sama pentingnya dengan kekuatan setiap komponen individu. Mari kita jelajahi mengapa perlindungan identitas berlapis sangat penting, dan bagaimana hal itu membuat Anda tetap unggul dari pelaku kejahatan.

Masalah dengan Keamanan Titik Tunggal

Perbandingan dengan kata sandi bukanlah kebetulan. Kata sandi gagal bukan karena konsepnya salah, tetapi karena penyerang menjadi cukup canggih untuk mengalahkan pemeriksaan kredensial satu faktor secara massal dengan metode seperti serangan brute force dan pengisian kredensial. Dinamika yang sama terjadi pada solusi biometrik dengan tingkat keamanan rendah, di mana serangan yang semakin kompleks kini didemokratisasi, dikemas, dan dijual oleh penipu.

Tidak semua pemeriksaan keaslian biometrik sama. Beberapa penyedia mengandalkan pemeriksaan gambar satu frame: apakah wajah ini terlihat nyata? Masalahnya adalah alat pertukaran wajah modern, kamera virtual, dan perangkat lunak deepfake dirancang khusus untuk melewati jenis pemeriksaan tersebut. iProov telah mengidentifikasi lebih dari 115.000 kombinasi serangan yang mungkin di seluruh alat yang kami pantau secara aktif. Tidak ada satu pemeriksaan pun yang dapat mencakup seluruh permukaan serangan tersebut.

Pemeriksaan satu frame hanya menangkap snapshot, bukan kehadiran yang sebenarnya. Hal ini tidak dapat membuktikan bahwa seseorang benar-benar ada di sana, hanya bahwa gambar tersebut terlihat nyata, dan banyak deepfake dirancang dengan sukses untuk terlihat nyata.

Dan mengandalkan manusia sebagai cadangan juga bukan solusi. Hanya 0,1% orang yang dapat secara andal mengenali media sintetis. Ketika 99,9% orang tidak dapat membedakan yang asli dari yang palsu, tinjauan manual menjadi kelemahan daripada jaring pengaman.

Anda mungkin bertanya dengan wajar: jika pemeriksaan titik tunggal adalah masalahnya, bukankah hal itu berlaku untuk semua penyedia biometrik – termasuk iProov? Hal itu berlaku, jika iProov adalah pemeriksaan titik tunggal. Namun, iProov bukanlah pemeriksaan titik tunggal. Perbedaan ini bersifat arsitektural, dan itulah yang akan kami jelaskan selanjutnya.

Bagaimana Sistem Keamanan Biometrik Berlapis Sebenarnya Bekerja

Jawaban yang tepat bukanlah sekadar menambahkan lebih banyak lapisan tanpa korelasi yang cerdas, karena hal ini hanya akan menimbulkan kebisingan dan gesekan. Tujuan utamanya adalah integrasi optimal, di mana setiap lapisan memberikan sinyal yang unik. Ketika dianalisis bersama-sama, sinyal-sinyal ini membentuk gambaran lengkap yang tidak dapat dilihat oleh satu lapisan saja.

Gambar saja juga membuat lingkungan digital sepenuhnya tidak terkendali. Seorang penyerang dapat menggunakan emulator atau menyisipkan deepfake yang telah direkam sebelumnya langsung ke dalam aliran video – melewati kamera sepenuhnya – teknik yang tidak dapat dideteksi oleh pemeriksaan gambar saja. Tanpa korelasi metadata (sinyal integritas perangkat, deteksi emulator, verifikasi lingkungan), pemeriksaan keaslian beroperasi tanpa mengetahui seluruh permukaan serangan.

Lihat bagaimana pendekatan berlapis iProov mendeteksi dan memblokir serangan modern dalam praktiknya:

1: Lapisan Gambar: Deteksi Kehadiran Lanjutan

Lapisan pertama membuktikan bahwa seseorang benar-benar hadir secara fisik, bukan foto, video, deepfake, atau topeng. Hal ini jauh melampaui sekadar memeriksa apakah wajah terlihat meyakinkan.

Teknologi Dinamis Liveness menggunakan teknologi Flashmark™ – layar Anda akan menyala dengan warna acak sementara sistem menganalisis cara cahaya memantul dari wajah asli pada beberapa frame. Hal ini menciptakan tantangan respons waktu nyata yang unik, tantangan-respons waktu nyata yang hampir mustahil dipalsukan bahkan dengan deepfake canggih, karena membuktikan bahwa orang tersebut hadir saat ini, bukan serangan ulang.

2: Lapisan Metadata: Forensik Digital

Sementara deteksi keaslian memeriksa orang, lapisan metadata memeriksa lingkungan digital. Hal ini meliputi:

• Mendeteksi perangkat yang telah dimodifikasi (jailbroken atau rooted)
• Mendeteksi emulator, yang sering digunakan dalam operasi penipuan berskala besar
• Mengidentifikasi VPN atau alat anonimisasi yang menyembunyikan asal sebenarnya dari perangkat.
• Memverifikasi sinyal teknis dengan perangkat yang diklaim

Pertimbangkan poin terakhir: seorang penyerang yang menampilkan apa yang tampak seperti iPhone, tetapi dimensi gambar dalam aliran data tidak sesuai dengan resolusi apa pun yang pernah dihasilkan oleh kamera iPhone mana pun. Sinyal tersebut saja tidak membuktikan adanya penipuan. Namun, jika dikombinasikan dengan VPN, asal IP yang tidak biasa, dan data keaslian yang lolos dengan terlalu mulus, hal itu dapat menimbulkan tanda bahaya yang serius.

Ini adalah versi digital dari paspor yang terlihat asli tetapi memiliki hologram negara yang salah. Penipu modern tidak selalu terdeteksi oleh satu sinyal saja: pemeriksaan GPS, analisis IP, atau deteksi keaslian masing-masing memiliki kelemahan. Kunci utamanya adalah memastikan setiap lapisan memberikan informasi unik yang memperkuat keputusan secara keseluruhan.

3: Keunggulan Pemantauan Berkelanjutan

Karena ini adalah perlombaan senjata, penempatan bukanlah akhir dari cerita. Alat serangan yang dulu dianggap elit kini dijual sebagai “Crime-as-a-Service” kepada siapa saja yang memiliki kartu pembayaran.

iProov’s Pusat Operasi Keamanan (iSOC) secara terus-menerus menganalisis data serangan dunia nyata, memperbarui metode deteksi dan algoritma seiring dengan perkembangan lanskap ancaman. Ini bukanlah sistem yang dipasang dan dilupakan, melainkan pertahanan aktif dan adaptif. Sistem statis, meskipun dirancang dengan baik pada saat peluncuran, tetap menjadi target yang tetap.

iSOC dan pemantauan ancaman aktif merupakan faktor utama mengapa sistem deteksi iProov dapat mengikuti perkembangan serangan daripada mengejarnya. Ancaman berubah; respons pun berubah. Postur keamanan proaktif ini adalah satu-satunya yang masuk akal dalam lanskap ancaman yang terus berubah, dan ketika tidak ada satu pun pemeriksaan yang dapat menjadi kata akhir.

CPikiran yang Hilang: Uji Realitas

Hari ini, penipuan yang didukung AI semudah mengklik dan menunjuk. Kit deepfake dijual seperti langganan streaming. Hampir tidak ada yang bisa membedakan yang asli dari yang palsu.

Pemeriksaan titik tunggal – terutama solusi verifikasi solusi verifikasi keaslian – sudah tidak relevan lagi terhadap ancaman ini.

Seperti yang dijelaskan oleh Gartner:

“Pemimpin industri di bidang verifikasi identitas didorong untuk mengadopsi pendekatan yang lebih holistik yang menggabungkan strategi pertahanan berlapis untuk melindungi diri dari deepfakes.”
Laporan Dampak Kecerdasan Buatan (AI) dan Deepfakes pada Verifikasi Identitas.

Pendekatan berlapis yang menggabungkan deteksi keaslian canggih dengan analisis metadata dan pemantauan ancaman aktif bukan hanya lebih baik. Mereka adalah hal yang mutlak diperlukan. Pemantauan terus-menerus dan manajemen ancaman aktif bukanlah fitur tambahan; mereka adalah fondasi.

Pertanyaannya bukan apakah keamanan berlapis layak untuk diinvestasikan. Pertanyaannya adalah apakah Anda mampu beroperasi tanpa itu.

---

Apakah Anda tertarik untuk mengetahui lebih lanjut tentang solusi biometrik berlapis iProov?

• Pemasok pertama dan satu-satunya yang berhasil mencapai sertifikasi Ipenilaian Level 4 Genenium untuk deteksi serangan injeksi – standar yang melampaui tingkat tertinggi CEN TS 18099 (CEN High) baik dalam cakupan maupun ketatannya. Dalam uji independen selama 40 hari, tidak ada jalur serangan injeksi yang dapat dibentuk: wajah sintetis dan video deepfake tidak memiliki tempat untuk masuk. Tingkat penolakan pengguna yang sah: hanya 1,3%, jauh di bawah ambang batas 15% yang required oleh standar.
• Baru-baru ini, vendor pertama dan satu-satunya yang memenuhi persyaratan verifikasi biometrik yang tercantum dalam Publikasi Khusus NIST 800-63-4 Pedoman Identitas Digital yang baru.
• Daftarkan diri Anda untuk demo konsultatif hari ini.