Cara Kerja Passkeys: Panduan Lengkap Menuju Masa Depan Tanpa Kata Sandi

Cara Kerja Passkeys: Panduan Lengkap Menuju Masa Depan Tanpa Kata Sandi

oleh

Owaki – Kulla/Getty Images

Aku sering menulis tentang passkeys belakangan ini — dan dengan alasan yang baik. Tahun ini, beberapa perusahaan teknologi terbesar dunia berusaha keras meyakinkan miliaran pengguna global untuk beralih ke passkeys alih-alih password saat masuk ke situs web, aplikasi, dan layanan lainnya.

Password vs. Passkeys

Passkeys sering disebut sebagai teknologi passwordless. Agar password berfungsi dalam proses autentikasi, situs web, aplikasi, atau layanan lain — yang disebut sebagai relying party — harus menyimpan catatan password tersebut dalam sistem manajemen identitas pengguna. Dengan begitu, saat kamu memasukkan password saat login, relying party bisa memeriksa kecocokan password yang diberikan dengan yang tersimpan.

Proses ini sama, terlepas dari apakah password dienkripsi atau tidak. Artinya, dengan password, sebelum bisa login, kamu harus membagikan rahasiamu ke relying party. Setiap kali login, kamu harus mengirim rahasia itu lagi. Dalam dunia keamanan siber, password dianggap sebagai shared secrets, dan membagikan rahasia selalu berisiko.

Banyak kebocoran data besar dalam sejarah mungkin takkan terjadi jika hacker tidak menemukan password yang dibagikan.

Sebaliknya, passkeys juga melibatkan rahasia, tapi rahasia itu tidak pernah dibagikan ke relying party. Passkeys menggunakan Zero Knowledge Authentication (ZKA)relying party tidak tahu rahasiamu. Untuk login, kamu hanya perlu membuktikan bahwa kamu memiliki rahasia itu.

Ide besar di balik passkeys: Kalau kamu tidak perlu membagikan rahasiamu ke pihak yang sah, kamu juga tidak akan accidentally membocorkannya ke phisher atau smisher. Namun, manusia terbiasa berpikir bahwa kita harus membagikan password rahasia, sehingga sulit memahami cara kerja passkeys.

Jadi, bagaimana ini mungkin? Mengapa jauh lebih aman daripada password?

MEMBACA  Nvidia Dilaporkan Telah Membeli Perusahaan Data Sintetis. Jadi, Apa Itu Data Sintetis?

Kriptografi Kunci Publik: Fondasi Passkeys

Untuk paham cara kerja passkeys, penting untuk mengerti dasar-dasar public key cryptography. Seperti kunci fisik yang cocok dengan gembok tertentu, public key cryptography melibatkan dua kunci digital — public key dan private key — yang saling berpasangan dan unik.

Apa yang istimewa dari pasangan kunci ini? Misalkan aku memberi kamu public key yang cocok dengan private key-ku. Kamu bisa pakai public key itu untuk mengenkripsi pesan. Hanya aku yang bisa mendekripsi pesan itu karena hanya aku yang punya private key-nya.

Public key tidak bisa dipakai untuk mendekripsi pesan atau menebak private key. Artinya, aku bisa membagikan public key-ku ke siapa saja, dan mereka semua bisa mengirim pesan terenkripsi ke aku. Sementara itu, hanya aku yang bisa membacanya.

Selain itu, aku bisa memakai private key untuk menandatangani pesan digital. Dengan begitu, penerima pesan bisa memverifikasi bahwa pesan itu benar-benar dari aku.

Empat Proses Utama Passkeys

Untuk pengguna biasa, ada empat proses (workflow) terkait passkeys yang perlu diketahui:

  1. Penemuan & penggunaan fitur passkeys
    Tidak ada standar tampilan atau istilah yang konsisten di antara relying party yang mendukung passkeys.

  2. Proses pendaftaran passkey
    Kamu membuat satu atau lebih passkeys untuk login ke suatu situs atau aplikasi.

  3. Proses autentikasi dengan passkey
    Setelah passkey terdaftar, inilah cara menggunakannya untuk login.

  4. Penghapusan passkey
    Membersihkan passkey yang sudah tidak terpakai.

    Passkeys Bergantung pada Standar & Kompleksitas Tersembunyi

    Kompleksitas ini diatur oleh dua standar industri:

    • WebAuthn (dari W3C): Standar autentikasi passwordless berbasis web.
    • CTAP (dari FIDO Alliance): Protokol yang memastikan proses autentikasi sederhana, seperti menggunakan PIN atau biometrics.

      Passkeys adalah kredensial yang mematuhi kedua standar ini (FIDO2-compliant). Namun, istilah-istilahnya bisa membingungkan: password manager sekaligus berfungsi sebagai authenticator, platform authenticator ada di sistem operasi, dan roaming authenticator berupa perangkat keras seperti YubiKey.

      Memahami Terminologi Passkeys

      Beberapa istilah penting:

    • Relying party: Situs/aplikasi yang mendukung passkeys.
    • Client: Browser yang meneruskan permintaan autentikasi.
    • Authenticator: Teknologi yang menangani kriptografi kunci (bisa berupa password manager, sistem operasi, atau perangkat khusus).

      Karena banyak pilihan client dan authenticator, standar seperti CTAP diperlukan untuk menyeragamkan integrasi di antara mereka.

      Menyederhanakan Konsep Passkeys

      Meskipun ada banyak detail teknis, fokus utama adalah keunggulan passkeys dibanding kredensial tradisional. Misalnya:

    • Credential manager = Password manager yang menyimpan passkeys.
    • Authenticator = Password manager dalam peran autentikasi.

      Istilah seperti nonce atau attestation sengaja dihindari agar tidak membingungkan.

      Demonstrasi dengan Teknologi Pilihan

      Untuk demonstrasi, seri ini menggunakan:

    • Relying party: Shopify.com
    • Browser: Google Chrome
    • Authenticator: Ekstensi Bitwarden
    • OS: MacOS

      Pilihan lain seperti PayPal, Firefox, atau Windows akan memberikan pengalaman serupa.

      Di artikel selanjutnya — Apakah situs favoritmu mendukung passkeys? — kita akan melihat bagaimana menemukan dukungan passkeys di suatu situs.

      Bagaimana Passkeys Bekerja:
      Ikhtisar | Penemuan | Seleksi | Pendaftaran | Autentikasi | Penghapusan

MEMBACA  Satu Tewas dan Ribuan Tanpa Listrik Saat Kebakaran Hutan Meluas di Prancis