Hill Street Studios/Getty Images
In a recent article from a well-known tech publisher praising Bitwarden’s password manager, the author made several incorrect statements regarding passkeys, which goes against the efforts of the FIDO Alliance to educate the public on the security benefits of passkeys over passwords for authentication.
The author incorrectly stated that passkeys are an attempt to replace passwords with keys that users don’t need to remember. While this is true, the article misrepresents how passkeys work. Passkeys are based on public key cryptography, where a public key is shared with the website or application, and a private key is kept secret on the user’s device. This ensures that the secret is never shared with the relying party, unlike passwords.
The article also incorrectly claimed that websites generate two pieces of code for passkeys, with one saved on the server and the other on the user’s device. In reality, it is the user’s device that generates the public/private key pair, with the public key shared with the website and the private key kept securely on the device.
Despite these inaccuracies, the article did highlight the ultimate goal of passkeys: to provide a seamless, effortless authentication experience for users. Passkeys have the potential to revolutionize online security and reduce the reliance on passwords, which have long been a weak point in cybersecurity. Hill Street Studios/Getty Images passkeys at a glance
Kata SandiKunci Rahasia
Bergantung pada rahasia bersama yang mudah disalahgunakan oleh pihak yang terlibat, membuatnya rentan terhadap penemuan oleh aktor ancaman.
Bergantung pada rahasia yang tetap berada di tangan pengguna dan tidak pernah dibagikan, hampir menghilangkan kemungkinan penemuan oleh aktor ancaman.
Sebuah rangkaian karakter yang dipilih oleh pengguna, terkadang dengan bantuan alat (manajer kata sandi) yang berada dalam kendali pengguna.
Pasangan serasi dari kunci kriptografi publik dan pribadi yang berasal dari sistem.
Pengguna memilih cara menyimpan rahasia (memori, catatan tempel, manajer kata sandi, dll.).
Rahasia (kunci pribadi dari pasangan kunci publik-privat) secara otomatis disimpan dengan cara yang aman di mana bahkan pengguna tidak dapat dengan mudah mengingatnya atau membagikannya.
Memasukkan ID pengguna dan kata sandi adalah pengalaman pengguna yang umum dan banyak dipahami dan didukung.
Pengalaman pengguna dapat sangat berbeda dari satu implementasi ke implementasi lainnya, yang dapat membingungkan. Belum didukung oleh banyak situs web dan aplikasi.
Rahasia yang sama dapat digunakan kembali di beberapa situs web dan aplikasi (juga dikenal sebagai pihak-pihak yang bergantung).
Rahasia unik dan spesifik untuk pihak yang bergantung. Pengguna tidak memiliki opsi untuk menggunakannya kembali.
Standar de facto untuk implementasi kata sandi dan multi faktor relatif kuno dan lengkap.
Standar yang dipimpin oleh konsorsium masih dalam tahap pengembangan. Ekosistem kunci rahasia masih melibatkan beberapa kesenjangan teknologi.
Pengguna rentan terhadap pemulihan kredensial selama situs web dan aplikasi mendukung ID pengguna dan kata sandi (yang dilakukan oleh sebagian besar situs).
Akan benar-benar memenuhi janjinya hanya ketika kata sandi dihilangkan, yang kemungkinan besar tidak akan terjadi dalam waktu yang dapat diprediksi.
Perbedaan antara keduanya sangat penting karena jika pihak yang bergantung menghasilkan pasangan kunci publik/pribadi, maka implikasinya adalah bahwa pihak yang bergantung pada satu waktu memiliki seluruh pasangan, yang berarti bahwa pihak yang bergantung memiliki rahasia itu. Salah satu prinsip utama dari standar kunci rahasia adalah bahwa pihak yang bergantung tidak pernah berhubungan dengan rahasia.
Bagaimana kunci rahasia bekerja
Setelah pihak yang bergantung menerima kunci publik dari perangkat pengguna, ia menyimpan kunci publik tersebut dengan cara yang dapat diingat ketika pengguna kembali untuk masuk. Ketika pengguna kembali untuk masuk, pihak yang bergantung menggunakan kunci publik pengguna (yang disimpan dalam langkah sebelumnya) untuk mengenkripsi serangkaian informasi yang relatif acak yang dikenal sebagai “tantangan.” Pihak yang bergantung mengirim tantangan tersebut kembali ke pengguna. Setelah menerima tantangan, pengguna mengandalkan kunci pribadi yang cocok untuk mendekripsi pesan tersebut. Kemudian mengenkripsi kembali string dan mengirimkannya kembali ke pihak yang bergantung, yang kemudian menggunakan kunci publik untuk mendekripsinya untuk melihat apakah cocok dengan string acak yang awalnya dikirimkan ke pengguna. Jika cocok, pengguna terotentikasi untuk menggunakan situs atau aplikasi pihak yang bergantung.
Juga:Mengapa otentikasi multi faktor sangat penting pada tahun 2025
Oleh karena itu, pernyataan bahwa “ketika Anda kembali ke situs, situs memeriksa kode yang disimpan di perangkat Anda dan jika ada, Anda masuk” juga tidak benar. Pertama, situs tidak pernah menyimpan apa pun ke perangkat Anda. Kedua, situs tidak dapat menyelidiki perangkat Anda untuk keberadaan salah satu kunci tersebut.
Jadi, bagaimana ini menghentikan phishing? Pertama, setelah seorang pengguna mendaftarkan kunci rahasia dengan pihak yang bergantung, mereka seharusnya, mulai dari saat itu, tidak pernah diminta untuk ID pengguna atau kata sandi oleh pihak yang bergantung. Jika pengguna menerima email (phishing) atau teks (smishing) dengan tautan yang membawa mereka ke situs web yang kemudian meminta ID pengguna dan kata sandi, pengguna seharusnya berasumsi bahwa situs tersebut palsu. Lagi pula, situs tersebut meminta informasi yang sudah usang.
Lebih lanjut, katakanlah bahwa situs jahat somehow mendapatkan kunci publik Anda dan menawarkan Anda kemampuan untuk masuk dengan kunci rahasia Anda. Anda mungkin sampai pada titik otentikasi dengan situs jahat. Tetapi bahkan jika Anda sampai pada tahap tersebut, Anda tidak akan pernah membagikan kredensial sebenarnya kepada para aktor jahat dengan cara yang dapat mereka gunakan kembali untuk meretas akun Anda.
Juga:Bagaimana hidup tanpa kata sandi dapat menyederhanakan hidup Anda
Kunci rahasia masih memiliki jalan panjang untuk mencapai potensinya. Beberapa implementasi saat ini sangat buruk sehingga bisa menunda adopsinya. Namun adopsi kunci rahasia adalah hal yang sangat dibutuhkan untuk akhirnya menghentikan gelombang kejahatan yang telah melanda internet selama puluhan tahun. Untuk mendorong adopsi tersebut, sangat penting untuk memastikan bahwa ketika seseorang menceritakan kisah kunci rahasia, cerita tersebut disampaikan dengan benar.
Tetap up-to-date dengan berita keamanan bersama Tech Today, dikirim ke kotak masuk email Anda setiap pagi.