Koleksi Smith/Gado/Kontributor/Arsip Foto via Getty Images
Intisari ZDNET
- Microsoft mulai memenuhi janjinya untuk mendukung sinkronisasi passkey.
- Peluncuran dimulai dengan ketersediaan di Edge untuk Windows.
- Strategi yang lebih holistik dan terdepan di industri tampaknya sedang disiapkan.
Baik Anda menggunakan situs web atau aplikasi (yang secara kolektif disebut oleh para profesional keamanan siber sebagai "relying parties") yang memerlukan login, pada akhirnya Anda akan diminta untuk menghapus kata sandi dan beralih ke passkey tanpa kata sandi.
Di bawah panduan FIDO Alliance yang terdiri dari banyak vendor, standar passkey — yang dianggap sebagai kredensial login yang tidak dapat di-phishing — telah ada selama lima tahun. Namun, peralihan global ke passkey terhambat oleh ketidakdewasaan beberapa teknologi pendukung dalam sistem operasi dan perangkat saat ini, serta dalam berbagai sistem manajemen identitas yang digunakan oleh relying parties.
Peluncuran Dimulai dengan Edge di Windows 11
Namun, tingkat adopsi passkey akan mendapat dorongan sekarang karena salah satu penghalang — kurangnya sarana yang ditawarkan Microsoft untuk menyinkronkan passkey di berbagai perangkat Windows dan instalasi web browser Edge-nya — sedang dihilangkan. Peluncuran bertahap Microsoft dimulai pekan lalu.
Menurut Microsoft, fase awal peluncuran telah dimulai dengan kemampuan untuk menyinkronkan passkey di berbagai instalasi Edge versi 142 (atau di atasnya) yang berjalan di perangkat Windows 10 ke atas.
"Kami menargetkan akhir tahun kalender untuk [ketersediaan di Edge pada] iOS," kata juru bicara Microsoft kepada ZDNET. Ketersediaan itu "akan kemudian diikuti [oleh Edge] di Android dan MacOS." Perusahaan belum menawarkan jadwal untuk dukungan melalui Edge di Linux.
Sebelumnya, pengguna Windows dapat membuat passkey untuk aplikasi dan situs web yang mendukungnya. Namun, passkey tersebut terikat secara kriptografis ke root of trust berbasis perangkat keras unik seperti Trusted Platform Module (TPM) yang ditemukan dalam sistem modern yang mampu menjalankan Windows. TPM biasanya terintegrasi ke dalam silikon yang dipasang di permukaan motherboard perangkat. Setelah dibuat, passkey yang "terikat perangkat" (device-bound) tersebut terhubung secara tidak terpisahkan dengan root of trust berbasis perangkat keras unik yang digunakan untuk membuatnya dan tidak dapat disinkronkan ke perangkat lain yang didukung oleh root of trust berbasis perangkat keras terpisah.
Passkey Terikat Perangkat vs. yang Dapat Disinkronkan
Passkey yang dapat disinkronkan dianggap lebih ramah pengguna daripada passkey yang terikat perangkat. Ketika pengguna dapat menyinkronkan passkey mereka di berbagai perangkatnya (komputer, smartphone, tablet, konsol game, dll.), mereka hanya perlu membuat satu passkey per relying party dan dapat menggunakan kembali passkey tunggal itu sebagai kredensial login untuk relying party tersebut dari mana pun perangkat mereka.
Namun, dengan passkey terikat perangkat seperti yang terutama didukung Microsoft hingga saat ini, ada beban teknis yang meningkat pada Anda untuk membuat banyak passkey (satu per perangkat) untuk setiap relying party atau menyimpan satu passkey pada roaming authenticator — sebuah root of trust berbasis perangkat keras portabel seperti Yubico Yubikey atau Google Titan yang harus disambungkan ke perangkat mana pun yang Anda gunakan untuk login saat itu.
Agar passkey terbebas dari batasan terikat perangkat ini, ia harus dibuat menggunakan root of trust berbasis perangkat lunak yang portabel. Setelah passkey dibuat dengan cara ini, pendekatan tipikal adalah menyinkronkannya melalui cloud yang dioperasikan oleh vendor solusi manajemen kredensial. Misalnya, passkey yang asalnya dimulai dengan iCloud Keychain Apple dapat disinkronkan ke perangkat Apple lain melalui iCloud Apple. Hal yang sama berlaku untuk passkey yang dibuat dengan pengelola kata sandi yang ditemukan dalam web browser Chrome Google; mereka disinkronkan melalui cloud Google ke salinan Chrome pengguna lainnya di perangkat lain.
Apple, Google, dan Microsoft adalah anggota FIDO Alliance dan merupakan tiga pendukung passkey terbesar secara global (secara resmi dikenal sebagai FIDO2 Credential). Ada juga industri rumahan besar solusi manajemen kata sandi — termasuk 1Password, BitWarden, Dashlane, LastPass, dan NordPass — banyak di antaranya juga mendukung sinkronisasi passkey melalui cloud yang mereka operasikan secara independen. Sesuai kebiasaan, Microsoft mengandalkan cloud-nya untuk memfasilitasi sinkronisasi passkey (serta kredensial lain seperti ID pengguna dan kata sandi).
"Alih-alih ditambatkan ke TPM tertentu, kunci privat [yang terkait dengan passkey] sekarang dilindungi dalam enclave cloud yang aman dan didukung perangkat keras, serta dienkripsi menggunakan kunci HSM (Hardware Security Module)," jelas juru bicara Microsoft kepada ZDNET. "Ini memastikan bahwa passkey tetap sangat terlindungi tidak hanya saat diam dan selama sinkronisasi, tetapi juga saat digunakan dalam secure enclave."
Pendekatan Holistik Microsoft
Namun, sebagai platform authenticator untuk passkey, strategi passkey yang dapat disinkronkan dari Microsoft tidak hanya memperluas ketersediaan gratis dan bawaan kemampuan passkey yang dapat disinkronkan ke jejak kaki raksasa pengguna Windows dan Edge yang ada. Itu juga membawa gagasan platform authenticator ke tingkat yang sama sekali baru untuk industri. Meskipun visi penuhnya disampaikan selangkah demi selangkah — dimulai dengan perpindahan dukungan kata sandi dari Microsoft Authenticator ke Edge pada Juli ini — itu akan mencakup kemampuan kunci yang tidak ditemukan dalam solusi manajemen kredensial lain (terutama yang gratis dan bawaan).
Aspek yang paling signifikan dan menyenangkan secara mengejutkan dari ini adalah pandangan holistik bahwa pembuatan passkey dan penggunaan selanjutnya harus menjadi layanan terintegrasi yang ditawarkan kepada aplikasi lain oleh sistem operasi. Misalkan Anda bergantung pada relying party yang menawarkan fungsionalitasnya melalui kedua web app dan aplikasi Windows asli. Di bawah pendekatan Microsoft, baik Edge maupun aplikasi Windows asli dapat mengandalkan komponen sistem operasi yang mendasari sama untuk infus kemampuan registrasi passkey dan autentikasi.
Misalnya, anggap Anda membuat — melalui browser Edge Anda — passkey yang dapat disinkronkan untuk login ke LinkedIn. Setelah dibuat, passkey yang sama juga akan tersedia untuk aplikasi Windows asli untuk LinkedIn. Atau, sebaliknya. Melalui aplikasi native Windows untuk LinkedIn, kamu seharusnya bisa mendaftarkan sebuah passkey yang nantinya bisa digunakan untuk autentikasi di LinkedIn lewat Edge.
Fitur ini tak hanya terbatas untuk aplikasi Windows native yang spesifik untuk satu relying party saja. Menurut Microsoft, pengguna peramban lain seperti Firefox juga akan mendapat akses ke layanan yang disediakan sistem operasi ini. Dalam kasus seperti ini, seseorang dapat menggunakan Firefox untuk mengunjungi dan masuk ke LinkedIn.com dengan menggunakan passkey yang sama (untuk LinkedIn) yang tersedia lewat Windows untuk Edge, serta aplikasi native LinkedIn untuk Windows.
Berdasarkan keterangan Microsoft, kemampuan ini akan diaktifkan bagi pengguna Windows 11 yang telah melakukan pengaturan satu kali untuk password manager di Edge (yang oleh Microsoft disebut sebagai "Microsoft Password Manager").
Selain itu: Apa yang sebenarnya terjadi saat login ‘tanpa kata sandi’ dengan passkey?
Terakhir, meskipun Microsoft kini menghadirkan strategi passkey yang tersinkronisasi secara komprehensif, bukan berarti dukungan untuk passkey terikat perangkat yang lama dihapus.
"Kapan pun pengguna menemukan alur kerja pembuatan passkey dalam Edge, mereka akan ditampilkan ‘layar pemilih’ di mana pengguna dapat memilih antara menyimpan ke Microsoft Password Manager (Tersinkronisasi) versus menyimpannya secara lokal [sebagai passkey terikat perangkat] melalui Windows Hello," jelas juru bicara Microsoft kepada ZDNET. "Tergantung pilihan pengguna, langkah berikutnya yang sesuai akan dijalankan." Di dalam Windows, Windows Hello terdiri dari beberapa komponen yang merupakan bagian dari subsistem Keamanan Windows yang lebih besar.