Yuliya Taba/Getty Images
Bagian dari kisah "passkeys lebih aman daripada password" berasal dari fakta bahwa passkey adalah rahasia yang tidak bisa dibaca manusia—disimpan di suatu tempat di perangkat Anda—bahkan Anda sendiri memiliki akses yang sangat terbatas terhadapnya.
Oke, jadi apa yang terjadi pada passkey itu jika perangkat Anda dicuri?
Di Spiceworks.com, situs saudara ZDNET untuk profesional TI, seorang anggota komunitas mengajukan beberapa pertanyaan mendalam tentang kasus-kasus khusus passkey terkait artikel saya di ZDNET tentang industri yang perlu menyelaraskan narasi passkey jika teknologi autentikasi yang relatif baru ini ingin memiliki peluang untuk menggantikan password.
Juga: Bagaimana passkey bekerja: Panduan lengkap untuk masa depan tanpa password
Dalam salah satu pertanyaan tersebut, anggota Spiceworks GMXO bertanya, "Bagaimana jika perangkat dicuri? Bagaimana cara mencegah pencuri memanfaatkan [passkey yang tersimpan di dalamnya]?" Code98765, anggota lain, mencatat bahwa "kasus-kasus khusus seperti ini jarang dibahas."
Dalam kebanyakan kasus, setelah Anda mendaftarkan passkey untuk suatu situs atau aplikasi, perangkat Anda memiliki semua yang diperlukan untuk masuk ke situs atau aplikasi tersebut. Tak heran, hubungan passkey dengan perangkat bisa dianalogikan seperti kunci mobil dengan mobil Anda. Jadi, bagi mereka yang baru mulai menggunakan passkey, "bagaimana jika perangkat dicuri?" adalah pertanyaan yang cukup jelas.
Namun, berbeda dengan kunci mobil yang memberi pencuri semua yang diperlukan untuk mencuri mobil, ada berbagai hambatan yang seharusnya mencegah pencuri menggunakan passkey "yang dicuri" untuk mengakses akun Anda.
Anggota Spiceworks m@ttshaw, yang mengidentifikasi diri sebagai solusi arsitek dari Inggris, dengan benar menjawab bahwa hal itu "tergantung pada keamanan yang digunakan untuk melindungi passkey di perangkat tersebut."
Anggota lain dari Inggris—itskieran—menambahkan, "Jika Anda bisa menghapus data ponsel dari jarak jauh dan/atau dilindungi oleh PIN atau password kuat serta diatur untuk menghapus data setelah beberapa kali percobaan gagal, maka Anda seharusnya aman. Selain itu, setidaknya di Android, Anda harus mengautentikasi dengan biometrik sekali lagi untuk mengizinkan penggunaan passkey."
Juga: Saya mengganti password akun Microsoft dengan passkey—dan Anda juga sebaiknya melakukannya
Saya ingin menambahkan jawaban-jawaban bagus ini sekaligus memberikan detail lebih lanjut: Ada lebih banyak hal yang bisa Anda lakukan untuk memberi ketenangan pikiran tambahan.
Bagaimana passkey disimpan di perangkat Anda?
Seperti dijelaskan di Bagian 4 dari seri enam bagian ZDNET tentang cara kerja passkey, passkey biasanya disimpan dalam bentuk terenkripsi. Anda tidak bisa menjelajahi sistem file perangkat, melihat daftarnya, dan melakukan apa pun—kecuali menggunakan manajer password untuk melihat daftar passkey, menghapusnya, dan dalam beberapa kasus (tergantung manajer password), mengganti namanya.
Misalnya, dalam kebanyakan kasus di mana Anda memilih untuk membuat passkey yang tidak bisa disinkronkan dan disimpan di perangkat itu sendiri, passkey akan dibuat dalam bentuk yang tidak bisa dibaca manusia, dienkripsi, disimpan, dan dilindungi dengan bantuan perangkat keamanan bawaan seperti trusted platform module (TPM) atau secure enclave. Seperti semua interaksi pengguna yang melibatkan data yang disimpan di TPM atau secure enclave, pengambilan data tersebut mengharuskan pengguna untuk memberikan biometrik, PIN rahasia, atau kode akses.
Juga: Passkey belum siap untuk digunakan secara luas sampai Google dan perusahaan lain memperbaiki ini
Untuk passkey yang bisa disinkronkan (dan tidak terikat pada perangkat tertentu atau perangkat keamanannya), passkey dikelola dan dilindungi oleh manajer password yang Anda gunakan (misalnya, 1Password, Apple Passwords, BitWarden, Dashlane, Google Password Manager, LastPass).
Ketika manajer password digunakan untuk mengelola passkey yang bisa disinkronkan, kredensial lain (ID pengguna dan password), dan rahasia lainnya, biasanya manajer tersebut mengenkripsi dan menyimpannya dalam wadah perangkat lunak yang aman dengan proses yang meniru kemampuan TPM atau secure enclave. Industri manajemen password sering menyebut wadah ini sebagai "vault"—meskipun tidak semua manajer password menggunakan istilah ini.
(Tambahan: Ingat bahwa istilah "password manager" sebenarnya kurang tepat. Karena manajer ini juga mengelola kredensial non-password (yaitu passkey), mereka seharusnya diklasifikasikan lebih luas sebagai "credential manager.")
Terlepas dari apakah Anda mengandalkan passkey yang bisa disinkronkan atau tidak (atau keduanya), penting untuk mengonfigurasi perangkat Anda sehingga memerlukan autentikasi lokal—PIN, biometrik, atau kode akses—untuk tidak hanya mengakses perangkat, tetapi juga untuk mengakses vault saat diperlukan untuk autentikasi dengan pihak yang bergantung (situs web, aplikasi, dll.).
Jika memungkinkan, Anda mungkin ingin mempertimbangkan bentuk keamanan non-biometrik karena kurangnya perlindungan hukum yang tersedia saat terjadi pemeriksaan paksa pada ponsel.
Seperti kata pepatah lama Pramuka, "Siap Siaga." Ada persiapan tambahan penting yang harus dipertimbangkan pengguna untuk lebih melindungi diri dari kemungkinan pencurian perangkat.
Keamanan perangkat itu penting
Pertama-tama, semua pengguna harus terbiasa dengan berbagai opsi untuk mengunci perangkat secara manual dan otomatis. Yuliya Taba/Getty Images
Ada banyak opsi yang tersedia, beberapa di antaranya dibahas dalam artikel Dan Patterson 7 cara mengamankan ponsel Anda sebelum terlambat.
Juga baca: 7 cara mengamankan ponsel Anda – sebelum terlambat
Sebagai contoh, pertimbangkan untuk mengunci perangkat secara otomatis setelah beberapa waktu tidak aktif, saat tidak berada di dekat aksesori yang terhubung Bluetooth seperti smartwatch, atau setelah perangkat mendeteksi kemungkinan dicuri. Selain itu, pengguna harus mengetahui opsi yang tersedia untuk menghapus data perangkat secara jarak jauh atau otomatis. Melalui Find Devices Apple dan Find My Device Google, perangkat tidak hanya bisa dilacak (saat online), tetapi juga dikunci atau dihapus dari jarak jauh. Seperti yang disebutkan oleh anggota Spiceworks, itskieran di diskusi ini, perangkat juga dapat diatur untuk menghapus data sendiri setelah beberapa kali percobaan buka kunci gagal.
Bagaimana jika pencuri mengakses perangkat yang terbuka?
Mari kita bahas skenario lain: pencuri berhasil mengakses perangkat Anda yang dalam keadaan tidak terkunci.
Pastikan untuk melindungi aplikasi autentikator dengan kata sandi atau PIN (bisa juga menggunakan biometrik, tetapi pertimbangkan hak hukum yang mungkin Anda korbankan). Ini akan mencegah pencuri mengakses akun yang menggunakan autentikasi multifaktor berbasis aplikasi autentikator.
Baca juga: Cara menyinkronkan passkey di Chrome antar perangkat PC, Mac, iPhone, atau Android
Selain itu, Android memiliki fitur bernama Private Space yang membuat partisi terpisah yang dilindungi kata sandi atau biometrik. Setelah membuat Private Space, Anda bisa menginstal aplikasi dari Google Play Store seolah-olah itu smartphone lain. Data dari aplikasi tersebut tetap berada di partisi pribadi.
Meskipun iOS tidak memiliki fitur setara dengan Private Space, perangkat ini dapat dikonfigurasi untuk menyembunyikan atau mengunci aplikasi menggunakan fitur tertentu yang memerlukan kode akses, Touch ID, atau Face ID. Ini memberikan lapisan keamanan tambahan di luar pengamanan bawaan aplikasi.
Dalam kedua kasus, pertimbangkan untuk mengamankan aplikasi paling sensitif menggunakan fitur-fitur ini.
Haruskah Anda menghapus passkey yang "dicuri"?
Bagaimana dengan passkey di perangkat yang dicuri—baik yang tidak tersinkronisasi maupun yang tersinkron melalui password manager? Haruskah Anda menghapusnya?
Tergantung situasi.
Jika Anda merasa masih ada kemungkinan pencuri mengakses password manager dan masuk ke situs/web seolah-olah mereka adalah Anda, maka Anda harus waspada. Namun, jika password manager mengharuskan autentikasi biometrik atau kode sebelum memberikan kredensial, Anda mungkin masih aman.
Baca juga: Ingin mengubah atau menghapus passkey? Ini rumit
"Saya rasa tidak perlu mereset semua passkey atau kredensial untuk setiap pihak terkait," kata James Hwang, Ketua Kelompok Kerja Pengalaman Pengguna FIDO Alliance sekaligus perancang produk senior di Microsoft. "Akan sangat merepotkan jika harus melakukannya satu per satu karena bisa ada ratusan kredensial."
Namun, jika Anda ingin ekstra hati-hati terkait passkey "yang dicuri", Anda bisa menerapkan strategi untuk memudahkan identifikasi dan mencabut passkey dari pihak terkait, seperti dijelaskan dalam Ingin mengubah atau menghapus passkey? Ini rumit. Seperti banyak aktivitas terkait passkey, ini memerlukan perencanaan.
Pertama, seperti disarankan dalam 10 Tips Bertahan dengan Passkey dari ZDNET, beri nama yang bermakna untuk setiap passkey yang Anda daftarkan. Misalnya, jika Anda membuat passkey khusus iPhone untuk suatu situs, beri nama seperti "Passkey iPhone".
Beberapa penyedia layanan memungkinkan pengguna mengganti nama passkey, sementara yang lain hanya memberi nama default (misal: "Passkey #1"). Kemampuan ini biasanya ada di bagian pengaturan keamanan situs/aplikasi. Contohnya, Microsoft Live.com memungkinkan pengguna memberi nama passkey, seperti "Non-Syncable Passkey on Yubikey" atau "Synced Passkey for BitWarden".
Microsoft termasuk salah satu penyedia yang mengizinkan pengguna memberi nama passkey. Tidak semua penyedia memiliki fitur ini.
Jika tidak bisa mengganti nama passkey, buat catatan untuk melacak passkey dengan nama default terkait perangkat tertentu (jika diatur seperti itu). Seperti terlihat di pengaturan keamanan Shopify.com, dua passkey terdaftar dengan nama default yang tidak bisa diubah. Namun, Shopify memberikan petunjuk tambahan seperti browser dan sistem operasi yang digunakan untuk membuat passkey, serta tanggal pendaftarannya.
Shopify memungkinkan pengguna mendaftarkan banyak passkey, tetapi dengan nama default yang tidak dapat diubah.
Setelah Anda mengatur passkey sesuai perangkat, Anda siap untuk mencabutnya dengan mudah jika perangkat dicuri. Jika sangat khawatir akan pembobolan akun tertentu, masuk ke akun tersebut dan hapus passkey yang terkait perangkat yang dicuri atau yang tersinkron dengan password manager. Yuliya Taba/Getty Images
Jika itu adalah kunci akses yang dapat disinkronkan dan telah disinkronkan dengan manajer kata sandi ke beberapa perangkat, sebaiknya kamu juga menghapusnya dari manajer kata sandi karena tidak berguna lagi setelah dicabut dari relying party.
Juga: Beralih tanpa kata sandi dengan kriptografi kunci publik
Kesenjangan teknis dalam ekosistem kunci akses
Semua ini menunjukkan bahwa kebutuhan untuk menghapus jejak kunci akses baik dari manajer kata sandi maupun relying party mengindikasikan kesenjangan teknis dalam ekosistem kunci akses yang disadari oleh FIDO Alliance: tidak adanya API yang memicu penghapusan otomatis di kedua sisi. Misalnya, jika kamu menghapus kunci akses dari manajer kata sandi, seharusnya tidak perlu lagi menghapus komponen terkait (kunci publik dari pasangan kunci publik/privat) di server relying party.
Juga: Cara mengatur dan menggunakan kunci akses di iPhone, iPad, dan Mac
Sampai FIDO Alliance mengatasi kesenjangan ini, pengguna yang ingin menghapus kunci akses harus melakukannya secara manual (dan merepotkan). Seperti yang dikatakan Hwang dari Microsoft, melakukan ini secara manual bisa menjadi pekerjaan yang melelahkan untuk keuntungan minim. Hwang berpendapat bahwa ide untuk mencabut sesi dari manajer kredensial secara jarak jauh mungkin lebih masuk akal.
Saran ini terutama berlaku untuk situasi di mana kunci akses yang dapat disinkronkan digunakan di beberapa perangkat yang masuk ke akun manajemen kredensial yang sama. Salah satu dari perangkat tersebut bisa digunakan untuk menonaktifkan sesi aktif di perangkat lain.
Namun, saat saya menanyakan pada berbagai penyedia manajer kata sandi—termasuk 1Password, Bitwarden, Dashlane, dan NordPass—ternyata implementasi fitur pencabutan sesi jarak jauh ini bervariasi, bahkan tergantung jenis lisensi.
Beberapa manajer kata sandi dapat menonaktifkan sesi di tingkat perangkat (semua sesi aktif di perangkat dinonaktifkan sekaligus), sementara yang lain memungkinkan pencabutan sesi spesifik (misalnya, sesi di browser atau aplikasi tertentu). Ada juga yang tidak menawarkan fitur ini sama sekali. Selain itu, cara manajer kata sandi mengumpulkan riwayat sesi dan aktivitas pengguna juga berbeda-beda.
Juga: Manajer kata sandi terbaik: Diuji oleh ahli
Postingan di Spiceworks yang menginspirasi artikel ini memunculkan pertanyaan lain. Misalnya, bagaimana menggunakan kunci akses di perangkat pinjaman? (Kasus ini mirip dengan masuk ke akun Netflix atau YouTube di TV pintar di hotel.) Saya berencana mengeksplorasi ini dan pertanyaan lainnya di artikel mendatang.
Tetap update dengan berita keamanan lewat Tech Today, dikirim ke inboxmu setiap pagi.