BlackJack3D via iStock / Getty Images Plus
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
—
Poin Penting ZDNET
- Passkey memungkinkan login tanpa mengetik atau mengingat kata sandi.
- Berbeda dengan kata sandi, passkey tahan terhadap phishing.
- Passkey yang dapat disinkronkan memudahkan login aman di berbagai perangkat.
—
Selama sekitar setahun terakhir, passkey telah menjadi arus utama. Tingkat adopsi teknologi ini luar biasa dan tidak menunjukkan tanda-tanda melambat. Jika pengalaman Anda seperti saya, Anda mungkin diundang untuk menyimpan passkey baru setidaknya sekali atau dua kali seminggu.
Secara total, saya kini memiliki setidaknya 40 passkey yang tersimpan. Saya dapat menggunakannya untuk melewati prompt kata sandi sepenuhnya dan login dengan biometrik (wajah atau sidik jari) di puluhan situs web, termasuk destinasi belanja besar seperti Costco, Target, Amazon, dan Walmart, serta situs yang lebih teknis seperti Dell, Adobe, dan Dropbox. Perusahaan yang mengelola pendaftaran nama domain saya menggunakan passkey, begitu pula perusahaan listrik, koperasi kredit, dan klinik dokter saya.
Namun, saya masih mendengar dari pembaca yang belum sepenuhnya paham apa itu passkey, cara kerjanya, atau mengapa ia lebih baik daripada kata sandi.
Setelah diskusi panjang lebar secara daring dengan seorang teman yang akhirnya mencapai momen "Aha!", saya rasa saya memahami mengapa topik ini membingungkan: Passkey bukanlah objek fisik — ia adalah abstraksi. Alhasil, sebagian besar upaya menjelaskan teknologi ini terjebak dalam detail teknis.
Bahkan orang paling awam sekalipun dapat menjelaskan apa itu kata sandi — kombinasi huruf dan angka, mungkin dengan simbol. Anda bisa membuat kata sandi sendiri menggunakan kata umum, nama, atau tanggal, bahkan menuliskannya di catatan tempel. Seperti kebanyakan orang, Anda mungkin sering menggunakan ulang kata sandi yang sama atau variasinya, meski tahu itu bukan ide baik.
Di sisi lain, passkey sulit dideskripsikan. Jika saya katakan ia adalah kredensial digital aman yang dihasilkan dari kunci publik dan privat, dapatkah Anda membayangkannya? Mungkin tidak. Mendefinisikannya dengan lebih banyak detail teknis tidak akan membantu.
Tapi saya yakin kita bisa memahaminya bersama, dengan bahasa sederhana (sebagian besar non-teknis) tanpa banyak jargon, hanya dengan menjawab pertanyaan yang sering saya dengar dari pembaca.
Apa itu Passkey?
Passkey adalah kredensial tersimpan yang aman, memungkinkan Anda masuk ke situs atau layanan web tertentu dengan membuktikan identitas melalui biometrik atau PIN. Passkey didefinisikan menggunakan standar Web Authentication (WebAuthn).
Apa yang Terjadi Saat Anda Membuat Passkey?
Saat membuat passkey, Anda sebenarnya menghasilkan dan menyimpan dua bagian informasi digital terenkripsi yang saling cocok — satu di situs atau layanan yang Anda akses (disebut relying party dalam standar), dan satu lagi di perangkat Anda. Kedua kunci ini hanya dapat bekerja bersama; satu tidak berguna tanpa yang lain.
Begini cara kerjanya:
Anda mengunjungi situs web dan login seperti biasa dengan kata sandi. Setelah masuk, Anda melihat pesan: "Ingin membuat passkey?" Anda menjawab, "Ya, tentu." Atau, jika situs tidak menawarkan bantuan membuat passkey, Anda dapat menemukan opsi tersebut di halaman pengaturan keamanan akun. Misalnya, seperti yang terlihat di Dell.com.Anda mungkin perlu menggali pengaturan untuk membuat passkey di suatu situs atau layanan
Screenshot oleh Ed Bott/ZDNETAnda perlu memilih authenticator yang akan digunakan (lebih lanjut nanti), selain itu tidak perlu melakukan hal lain. Anda sudah login menggunakan kata sandi, jadi situs tahu Anda berwenang menggunakan akun tersebut.
Situs atau layanan yang Anda hubungkan menyimpan kunci enkripsi unik di servernya, dan authenticator Anda (perangkat atau pengelola kata sandi) menghasilkan kunci enkripsi privat unik kedua dan menyimpannya di lokasi aman di perangkat Anda.
Itulah passkey — dua rahasia, satu di setiap ujung, yang bekerja sama untuk membuktikan hak Anda menggunakan akun. Nama pengguna dan kata sandi tidak lagi terlibat, dan tidak ada yang bisa melihat kunci enkripsi privat di komputer Anda, bahkan Anda sendiri.
Authenticator Mana yang Harus Saya Gunakan?
Saat membuat passkey, Anda memilih authenticator yang akan digunakan. Lokasi default adalah perangkat itu sendiri, seperti PC yang mendukung autentikasi biometrik Windows Hello. Anda juga bisa memilih pengelola kata sandi yang mendukung passkey atau bahkan menggunakan kunci keamanan fisik.
Mengapa ini penting? Jika Anda menggunakan PC, perangkat seluler, atau kunci keamanan fisik sebagai authenticator, Anda membuat passkey terikat perangkat. Ia hanya akan bekerja dengan perangkat keras tersebut. Jika mencoba login di perangkat berbeda, atau jika kunci keamanan fisik tidak tersedia, Anda tidak dapat mengakses passkey itu.
Sebaliknya, pengelola kata sandi dapat menyimpan passkey yang dapat disinkronkan untuk digunakan di banyak perangkat. Google Password Manager dan iCloud Keychain dapat menyinkronkan passkey Anda. Begitu juga pengelola kata sandi pihak ketiga seperti 1Password atau Bitwarden. (Untuk daftar lengkap authenticator passkey, lihat halaman GitHub ini.)
Jika Anda sudah terbiasa menggunakan pengelola kata sandi yang mendukung passkey, itu adalah pilihan terbaik. Anda dapat membuat, mengelola, dan menggunakan passkey dengan antarmuka yang sudah dikenal.
Dan ini tips lanjutan: Anda dapat menggunakan beberapa authenticator passkey dan membuat beberapa passkey untuk situs yang sama. Untuk beberapa situs bernilai tinggi, saya membuat passkey di dua atau lebih kunci fisik dan di 1Password, memberi saya pilihan cara login aman ke situs tersebut, bahkan di perangkat asing.
Bagaimana Cara Menggunakan Passkey?
Saat mengunjungi situs di mana Anda pernah membuat passkey, masukkan alamat email atau nama pengguna seperti biasa, tetapi alih-alih kotak untuk memasukkan kata sandi, Anda melihat pesan: "Ingin masuk dengan passkey?" Anda menjawab ya dan mengklik tombol untuk passkey yang disimpan.
Anda perlu membuktikan identitas sebelum dapat menyimpan passkey
Screenshot oleh Ed Bott/ZDNETSitus web mengirimkan kuncinya ke PC atau pengelola kata sandi untuk diautentikasi dan pada dasarnya berkata, "Individu yang terkait dengan kunci ini ingin mengakses akunnya. Anda setuju?"
Authenticator Anda (Windows Hello di PC, iCloud Keychain di perangkat Apple, atau kunci fisik) memastikan permintaan berasal dari sumber valid dan bukan situs phishing; kemudian memeriksa kunci tersebut dengan informasi di passkey Anda, mengonfirmasi kecocokan, dan meminta Anda membuktikan identitas dengan biometrik atau PIN.
Setelah itu, authenticator memberi tahu situs bahwa Anda telah membuktikan identitas dan memiliki passkey yang cocok. Anda kini masuk, seperti jika menggunakan kata sandi.
PC atau pengelola kata sandi Anda tidak pernah mengirimkan passkey ke situs, sehingga tidak bisa dicegat atau disalin. Ia hanya menegaskan bahwa Anda adalah Anda dan passkey-nya cocok.
Di Mana Passkey Disimpan?
Passkey Anda disimpan di lokasi aman di ponsel atau komputer, dilindungi oleh perangkat keras kriptografi — TPM di PC Windows, Secure Enclave di perangkat Mac atau iOS, atau Trusted Execution Environment di perangkat Android.
Hanya authenticator yang dapat mengakses passkey, dan hanya setelah Anda membuktikan identitas. Passkey tidak dapat diakses oleh sistem file, artinya Anda tidak bisa menggunakan File Explorer atau Finder untuk melihat koleksi passkey.
Anda tidak dapat membuka passkey dan memeriksa isinya. Anda tidak bisa menyalin passkey yang disimpan di ponsel atau komputer, dan tidak mungkin secara tidak sengaja menggunakan passkey jika penjahat menipu Anda dengan situs palsu yang dirancang mirip asli.
Apa yang Terjadi pada Kata Sandi Saya Setelah Membuat Passkey?
Suatu hari nanti, mungkin bertahun-tahun mendatang, kita akan hidup di dunia tanpa kata sandi. Hari itu belum tiba.
Untuk saat ini, passkey adalah alternatif kata sandi, dan kata sandi Anda biasanya tetap tersedia sebagai cara masuk ke situs di mana Anda telah membuat passkey. Beberapa layanan memungkinkan Anda menghapus kata sandi setelah membuat beberapa passkey — Anda bisa melakukannya dengan akun Microsoft, misalnya — tetapi opsi tersebut masih jarang.
Mengapa Passkey Lebih Aman daripada Kata Sandi?
Saat menggunakan kata sandi, inilah yang terjadi: Anda pergi ke situs web, memasukkan nama pengguna dan kata sandi, lalu mengklik tombol. Jika semuanya berjalan baik, Anda masuk. Tapi banyak hal yang bisa salah.
Pertama, kata sandi bisa difishing. Jika penjahat dapat membuat situs yang mirip halaman login bank, Anda mungkin tertipu untuk memasukkan kata sandi di sana, dan penjahat bisa login sebagai Anda dan mencuri dana Anda.
Kata sandi bisa ditebak, baik dengan serangan brute force yang mencoba setiap kombinasi huruf, angka, dan simbol, atau oleh penyerang yang menebak kata sandi mudah Anda. Tanyakan pada Donald Trump, yang kata sandi Twitter-nya tidak sulit ditebak —
yourefiredpada 2014 danmaga2020!enam tahun kemudian.Kata sandi juga bisa dicuri. Keylogger atau Trojan akses jarak jauh dapat mengirimkan kata sandi Anda ke penyerang, atau mereka bisa menggunakan opsi sangat rendah teknologi seperti "shoulder surfing" — mengintip saat Anda mengetik, mungkin dengan bantuan kamera video.
Bahkan jika keamanan operasional Anda sempurna, kata sandi tetap bisa dibajak jika situs menyimpan dan mengamankannya dengan buruk.
Terakhir, Anda mungkin (dengan tidak bijak) menggunakan kembali kombinasi nama pengguna dan kata sandi di situs lain, dan akan rentan jika kata sandi untuk satu situs bocor atau difishing.
Passkey kebal terhadap serangan tersebut. Penipu ulung mungkin menipu Anda agar mengira situs palsu itu asli, tetapi ia tidak akan pernah memiliki akses ke passkey, karena domain dan kunci enkripsinya tidak cocok. Dan passkey tidak bisa dicuri, karena ia tidak pernah meninggalkan repositori amannya di perangkat Anda.
Satu-satunya cara membukanya adalah jika Anda mengidentifikasi diri dengan biometrik atau PIN setelah authenticator menerima permintaan sah dari server jarak jauh.
Perlukah Saya Khawatir Membuat Passkey yang Unik?
Selama bertahun-tahun, Anda membaca kolom nasihat yang menekankan pentingnya memiliki kata sandi unik untuk setiap situs. Jadi, perlukah Anda berhati-hati dan membuat passkey unik untuk setiap situs yang mendukungnya?
Ha! Itu hampir seperti pertanyaan jebakan. Passkey secara definisi sudah unik. Setiap passkey terdiri dari dua kunci enkripsi terpisah yang dibuat hanya untuk digunakan dengan situs atau layanan tempat ia dibuat.
Namun, Anda bisa memiliki beberapa passkey untuk satu situs. Jika terikat perangkat, Anda mungkin memiliki satu untuk laptop dan satu untuk ponsel. Atau Anda mungkin memiliki satu atau lebih kunci fisik seperti YubiKey. Seperti disebutkan sebelumnya, membuat passkey yang dapat disinkronkan di pengelola kata sandi Anda adalah opsi paling nyaman.