Kredit Gambar: peshkov/iStock/Getty Images Plus via Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
—
Poin Penting ZDNET
- Kata sandi diprediksi akan digantikan oleh passkey sebagai kredensial login yang lebih aman.
- Terdapat tiga jenis autentikator: platform, virtual, dan roaming.
- Apple, Microsoft, dan, sampai batas tertentu, Google merupakan penyedia utama autentikator platform.
—
Dalam waktu dekat, website atau aplikasi terdekat Anda (jika belum) akan menawarkan opsi untuk login menggunakan passkey tanpa kata sandi, menggantikan ID pengguna dan kata sandi biasa.
Tiga ide utama di balik passkey adalah:
- Tidak bisa ditebak (berbeda dengan kata sandi yang seringkali bisa).
- Passkey yang sama tidak dapat digunakan ulang di berbagai website dan aplikasi (berbeda dengan kata sandi).
- Anda tidak dapat dibohongi untuk membocorkan passkey kepada pihak jahat (berbeda dengan kata sandi).
Juga: Cara kerja passkey: Beralih ke passwordless dengan kriptografi kunci publik
Mengapa ketiga ide ini sangat penting? Karena kita, manusia, seringkali menjadi musuh terbesar diri sendiri dalam hal menjaga keamanan akun online. Menurut penelitian terbaru, 98% pengguna masih mengklik email yang dirancang untuk menipu mereka, meskipun telah menerima pelatihan keamanan siber yang mencakup risiko kebersihan kata sandi yang buruk serta ancaman social engineering dan phishing.
Berasal dari kriptografi kunci publik (lihat panduan ZDNET tentang peran kriptografi kunci publik dalam membuat passkey bekerja), standar passkey memungkinkan login ke website atau aplik (secara kolektif disebut sebagai "relying party") tanpa perlu memasukkan rahasia Anda (kata sandi) untuk menyelesaikan proses login. Bahkan, standar passkey memungkinkan relying party untuk menghapus kata sandi sama sekali.
Namun, begitu relying party mulai menyediakan passkey sebagai opsi login bagi penggunanya, para pengguna tersebut perlu membiasakan diri dengan passkey dan cara memanfaatkannya dengan baik. Selain membaca serial enam bagian ZDNET tentang cara kerja passkey, penting untuk memahami peran autentikator selama alur kerja passkey biasa (yaitu, upacara pendaftaran passkey dan autentikasi passkey) serta pertimbangan dalam memilih satu atau lebih autentikator (ya, Anda bisa bekerja dengan lebih dari satu).
Pada bagian kedua dari serial ZDNET tentang autentikator passkey ini, saya akan membahas autentikator platform.
Autentikator Platform: Apple vs. Microsoft (dan mungkin Google)
Para ahli passkey yang diwawancarai ZDNET memiliki definisi yang berbeda-beda mengenai autentikator platform, dan perbedaan ini sebagian besar berkaitan dengan apa sebenarnya yang membentuk sebuah "platform". Seperti dijelaskan di bagian pertama serial ini, sebuah passkey adalah kredensial yang sesuai dengan FIDO2 (diatur oleh Aliansi FIDO). Spesifikasi FIDO2 terdiri dari dua standar: standar WebAuthn Konsorsium World Wide Web (W3) dan spesifikasi Protokol Klien-ke-Autentikator (CTAP) dari Aliansi FIDO.
Spesifikasi WebAuthn W3 menyatakan, "kami menyebut autentikator yang merupakan bagian dari perangkat klien sebagai autentikator platform" dan bahwa "autentikator yang diimplementasikan pada perangkat disebut autentikator platform." Secara teknis, ini mengacu pada situasi di mana perangkat keras keamanan bawaan perangkat (Secure Enclave untuk perangkat Apple, Trusted Platform Module untuk Windows, dll.) memainkan peran dalam proses pembuatan, pengambilan, dan autentikasi passkey yang dibahas, masing-masing, di Bagian 3, Bagian 4, dan Bagian 5 dari serial enam bagian ZDNET tentang cara kerja passkey.
Juga: Mengapa perjalanan dari kata sandi ke passkey itu panjang, berliku, dan worth it – mungkin
Sementara autentikator platform biasanya mengandalkan perangkat keras untuk menangani tugas-tugas kriptografi kunci publik terkait passkey, autentikator non-platform mengandalkan perangkat lunak atau perangkat keras yang tidak permanen terpasang pada motherboard perangkat komputasi desktop atau seluler Anda. Oleh karena itu, platform dapat dianggap sebagai perangkat, perangkat kerasnya, dan sistem operasinya.
Jika perangkat lunak hadir yang dapat melibatkan perangkat keras keamanan lokal dalam tugas kriptografi kunci publik apa pun yang terkait dengan membuat dan menyimpan passkey dengan aman, perangkat lunak itu pada dasarnya dianggap sebagai autentikator platform. Sejauh autentikator semacam itu pada dasarnya dibangun ke dalam berbagai sistem operasi, salah satu keunggulan utama autentikator platform (dan kemampuan manajemen kredensial/kata sandi mereka yang terkait) adalah biayanya: Mereka gratis.
iCloud Keychain: Autentikator Platform Apple
Misalnya, iCloud Keychain Apple adalah layanan yang dibangun ke dalam sistem operasi MacOS dan iOS untuk menyimpan informasi rahasia dengan aman seperti ID pengguna, kata sandi, nomor kartu kredit, dan tentu saja, passkey. Melalui sistem operasi, iCloud Keychain bekerja sama dengan perangkat keras keamanan (termasuk Secure Enclave Apple) yang ditemukan di semua sistem berbasis MacOS dan perangkat berbasis iOS.
Juga: Saya beralih dari kata sandi ke passkey untuk satu alasan – dan bukan yang Anda kira
Bingkai pertama dari tangkapan layar GIF di bawah ini menunjukkan bagaimana, pada saat saya hendak mendaftarkan passkey baru untuk situs web yang mendukung passkey, sistem operasi (MacOS) muncul dengan dialog yang meminta saya untuk mengaktifkan iCloud Keychain. Setelah diaktifkan, iCloud Keychain dapat mengambil peran sebagai autentikator platform Anda (jika Anda bekerja dengan platform Apple). Bingkai kedua dari tangkapan layar GIF menunjukkan sistem operasi meminta informasi biometrik saya (dalam kasus saya, Touch ID) untuk menyimpan passkey yang baru dibuat di iCloud Keychain saya.
Saat pengguna MacOS ingin menggunakan autentikator platform Apple untuk membuat dan menyimpan passkey, sistem operasi berinteraksi dengan perangkat keras lokal dan iCloud Keychain pengguna untuk menyelesaikan prosesnya.
Screenshot oleh David Berlind/ZDNETMeskipun perangkat keras Secure Enclave Apple memainkan peran acak dalam pembuatan passkey, passkey itu sendiri tidak dibuat atau disimpan di Enclave (berlawanan dengan banyak yang ditulis tentang passkey di platform Apple). Sebaliknya, setiap passkey dihasilkan oleh perangkat lunak dan dienkripsi secara independen, serta disimpan di iCloud Keychain, yang kemudian disinkronkan ke iCloud Apple dan dari sana ke perangkat Apple lainnya milik pengguna.
Perbedaan antara passkey yang dapat disinkronkan versus yang tidak dapat disinkronkan penting untuk dipertimbangkan selama migrasi individu atau organisasi ke teknologi tanpa kata sandi ini.
Dengan ID pengguna dan kata sandi, relying party biasanya memberikan Anda satu set kredensial, terlepas dari apakah Anda login melalui situs web atau aplikasinya. Tidak ada batasan seperti itu untuk passkey. Tetapi hanya karena Anda dapat mendaftarkan beberapa passkey untuk relying party tertentu, bukan berarti Anda harus melakukannya. Melacak banyak passkey dapat menambah kompleksitas yang cukup besar pada strategi manajemen kredensial Anda. Namun, ketika passkey dapat disinkronkan ke perangkat Apple lainnya seperti halnya melalui iCloud Keychain Apple, passkey yang sama (untuk relying party tertentu) dapat digunakan sebagai kredensial login dari salah satu perangkat tersebut.
Juga: Passkey Anda bisa rentan diserang, dan semua orang – termasuk Anda – harus bertindak
Berbeda dengan passkey yang dapat disinkronkan, passkey yang tidak dapat disinkronkan adalah passkey yang tidak dapat hadir di beberapa perangkat secara bersamaan setelah disinkronkan ke perangkat-perangkat tersebut melalui cloud pusat. Passkey yang tidak dapat disinkronkan terikat pada perangkat tertentu (dan karenanya kadang-kadang disebut sebagai "device-bound"). Dalam beberapa kasus, ini bisa berupa perangkat komputasi tertentu, seperti komputer desktop atau smartphone; dalam kasus lain, ini bisa berupa autentikator roaming.
iCloud Apple juga dapat berfungsi sebagai pusat pemulihan jika pengguna perlu memulihkan Keychain mereka karena kehilangan, pencurian, atau kerusakan perangkat.
Momen ini, ketika sistem operasi mengatur pembuatan dan penyimpanan passkey, adalah contoh jelas di mana iCloud Keychain dan sistem operasi MacOS bertindak bersama sebagai pengelola kredensial berbasis platform dan autentikator yang sesuai dengan FIDO2.
Dalam Transisi: Pengelola Kata Sandi Berbasis Edge Microsoft
Di dunia Microsoft, contoh utama autentikator platform melibatkan Windows Edge sebagai pengelola kredensial berbasis browser, Windows sebagai sistem operasi, dan subrutin Windows Hello sebagai pengatur aktivitas autentikator dan manajemen kredensial pengguna (bahkan ketika merek "Windows Hello" tidak muncul dalam pengalaman pengguna).
Tangkapan layar di bawah ini menunjukkan di mana saya menggunakan Microsoft Edge di notebook HP berbasis Windows 11 Pro untuk mendaftarkan passkey dengan relying party PayPal.com. Dialog yang dihasilkan pada dasarnya menunjukkan bagaimana, pada saat itu, proses sistem operasi "Windows Security" melibatkan Trusted Platform Module (TPM) notebook atas nama Windows Hello untuk menyelesaikan upacara pendaftaran passkey. Dalam kasus saya, saya telah mengonfigurasi Windows untuk meminta PIN, bukan biometrik, untuk operasi terkait TPM.
Saat membuat passkey di Windows untuk relying party tertentu seperti PayPal, browser Edge Microsoft melibatkan subrutin Windows Hello dalam sistem operasi, yang pada gilirannya melibatkan Trusted Platform Module komputer untuk membuat dan menyimpan kredensial dengan aman.
Screenshot oleh David Berlind/ZDNETPada tingkat tinggi, alur kerja pendaftaran dan penyimpanan passkey di Windows mirip dengan sistem operasi Apple. Seperti iCloud Keychain Apple, Microsoft mengoperasikan layanan cloud pusat melalui mana ID pengguna dan kata sandi dapat disinkronkan di semua platform yang didukung. Namun, hingga baru-baru ini, passkey yang dihasilkan menggunakan Microsoft Edge tidak dapat disinkronkan melalui cloud yang sama.
Juga: Microsoft Authenticator tidak akan mengelola kata sandi Anda lagi – atau sebagian besar passkey
Berbeda dengan bagaimana passkey terutama dihasilkan oleh perangkat lunak dan dienkripsi di platform Apple, Windows sebelumnya mengandalkan perangkat keras TPM sistem untuk mengenkripsi passkey (setelah itu mereka akan disimpan di tempat lain pada perangkat lokal dalam file yang aman). Setelah dihasilkan, hanya TPM yang digunakan untuk mengenkripsi passkey yang kemudian dapat mendekripsinya untuk digunakan selama upacara autentikasi passkey. Dengan demikian, tidak ada cara untuk menyinkronkannya.
Saat mencoba login berbasis passkey ke situs web atau aplikasi terhubung web melalui Edge Microsoft yang berjalan di Windows, subrutin Windows Hello yang mendasari sistem operasi akan terlebih dahulu melibatkan TPM komputer untuk mengambil passkey itu, mendekripsinya, dan kemudian menerapkannya pada upacara autentikasi relying party.
Screenshot oleh David Berlind/ZDNETNamun, pada November 2025, Microsoft mulai bergerak menuju arsitektur yang lebih fleksibel, di mana passkey dapat disinkronkan di semua perangkat yang menjalankan browser Edge versi 142 atau lebih baru. (Edge berjalan di Windows 10, Windows 11, Windows Server, MacOS, iOS, Android, dan Linux.) Namun, pada saat artikel ini ditulis, kemampuan sinkronisasi tersebut terbatas pada sistem Windows 10 dan di atasnya, menurut juru bicara Microsoft. Juru bicara yang sama mengatakan kepada ZDNET, "Kami menargetkan akhir tahun kalender untuk iOS dan akan diikuti kemudian di Android dan MacOS."
Tidak seperti Apple, di mana semua passkey dapat disinkronkan, pengguna Windows akan memiliki opsi untuk membuat passkey yang dapat disinkronkan dan passkey yang terikat perangkat. Sementara pasangan kunci publik/pr