Passkey Bakal Singkirkan Password

Oleh: Melekmedia -- 4 Mei, 2023
Tentang: Data Pribadi, Keamanan, Passkey – Komentar Dinonaktifkan pada Passkey Bakal Singkirkan Password

Mulai hari ini, Google menerapkan pengganti password atau kata sandi untuk mengakses akun. Google passkey pada akun pribadi memungkinkan pengguna melupakan kata sandi atau verifikasi dua langkah (2SV/2FA) saat Anda masuk atau login.

Gagasan ini sudah mengemuka sejak setahun lalu. Google dan perusahaan lain dalam industri ini telah mencari alternatif yang lebih sederhana dan aman untuk password. Kata sandi yang masih akan digunakan untuk beberapa waktu ke depan, seringkali sulit diingat dan berisiko.

Tahun lalu—bersama dengan FIDO Alliance, Apple, dan Microsoft—Google mengumumkan akan mulai bekerja untuk mendukung passkey di platform mereka sebagai alternatif yang lebih mudah dan aman daripada password.

Memperingati Hari Password Dunia saat itu, passkey telah mulai diperkenalkan untuk semua platform utama Akun Google. Passkey akan menjadi opsi tambahan yang dapat digunakan orang untuk masuk, selain password, 2-Step Verification (2SV/2FA), dan sebagainya.

Tahun ini, pada Kamis pertama bulan Mei untuk memperingati momen yang sama, Google resmi meluncurkan passkey. Dapat digunakan di semua platform dan peramban utama, dan memungkinkan pengguna masuk dengan membuka kunci komputer atau perangkat seluler mereka via sidik jari, pengenalan wajah, atau PIN lokal.

Teknologi yang biasanya berlaku pada perangkat lokal kini bisa dijadikan kunci untuk mengakses akun daring. Misalnya PIN untuk membuka akun di ponsel, kredensial untuk membuka komputer pribadi, sidik jari pada ponsel atau laptop, pengenalan wajah lewat kamera ponsel, atau pola yang biasa digunakan di ponsel pintar.

Di sinilah letak salah satu keunggulannya, data kredensial—berupa nama akun serta kata sandinya—tidak lagi tersimpan dalam pusat data (daring) milik layanan, sehingga mengikis peluang peretasan dari sisi basis data yang lumrah mengakibatkan tersebarnya kata sandi di forum-forum ilegal daring.

Penggunaan kata sandi selama ini pun memberi pengguna terlalu banyak tanggung jawab. Misal untuk memilih kata sandi yang kuat dan selalu mengingatnya. Selain itu, bahkan pengguna paling cakap sering disesatkan untuk memberi kata sandi lantaran upaya phishing.

Teknologi 2SV (2FA/MFA) mungkin bisa membantu, tetapi lagi-lagi pengguna yang harus ekstra pintar dan tertib dengan tambahan prosedur. Di sisi lain, masih belum sepenuhnya melindungi dari serangan phishing dan serangan bertarget seperti “SIM swap” untuk verifikasi SMS.

Google passkey membantu mengatasi semua masalah ini. Baik masalah keamanan dari sisi pengelola basis data pengguna layanan, maupun dari sisi pengguna yang harus repot menghafal akun serta kata sandinya (meski ada layanan untuk memudahkan menyimpan kata sandi).

Namun tidak berarti metode yang lain dilupakan begitu saja. Passkey saat ini diperkenalkan sebagai metode baru untuk mengautentikasi pengguna, sedangkan metode yang lain tetap masih bisa digunakan.

Google lewat sebuah konferensi FIDO Alliance telah memperkenalkan penggunaannya sejak 3 bulan lalu. Langkah selanjutnya untuk adopsi passkey adalah mengajak layanan-layanan lain menggunakannya sebagai opsi login untuk akun pengguna.

Seperti dicontohkan pada video di atas, masuk ke situs yang sudah mendukung passkey tak lagi perlu kata sandi karena kredensialnya akan memanfaatkan data yang tersimpan secara luring, seperti data biometrik dari ponsel pengguna; sidik jari atau lewat teknologi pengenalan wajah.

Bila menggunakan perangkat keras khusus untuk kunci keamanan, kredensial login diatur untuk bekerja dengan aplikasi atau layanan situs web. Ponsel atau komputer melakukan otentikasi secara lokal pada perangkat keras dimaksud. Hal ini mencegah salah satu risiko keamanan terbesar saat ini, yaitu phishing yang membuat Anda membagikan kredensial atau informasi sensitif lainnya kepada situs web palsu.

Anda pun dapat mengatur passkeys pada beberapa perangkat sekaligus. Jika Anda masuk sementara untuk menggunakan ponsel teman atau komputer di perpustakaan umum, Google menawarkan mekanisme pemindaian kode QR yang memungkinkan Anda masuk secara sementara tanpa harus menyimpan passkey secara permanen di perangkat tersebut.

Jika Anda khawatir tentang ancaman privasi lantaran memberikan wajah atau sidik jari Anda ke Google, kedua metode identifikasi tersebut, beserta PIN-nya, disimpan secara lokal pada perangkat Anda. Artinya Google—dan layanan lain—tidak akan memiliki akses ke data-data tersebut.

Google menjanjikan data biometrik “tidak pernah dibagikan dengan Google atau pihak ketiga lainnya—kunci layar pada ponsel Android hanya membuka passkey secara lokal.” Ini berarti siapa pun tanpa akses ke perangkat Anda seharusnya tidak dapat masuk, menurut Google.

Dengan cara ini, tak perlu risau dengan kata sandi yang diintip peretas, atau tipu daya phishing yang berusaha mencuri kredensial. Memalsukan data biometrik jauh lebih rumit dan kompleks daripada mencuri kredensial berupa nama akun dan kata sandinya.

Passkey dapat digunakan bila para pengembang membangun dukungan pada situs mereka melalui API WebAuthn. Google telah bekerja sama dengan perusahaan lain, terutama Apple dan Microsoft, anggota FIDO Alliance dan W3C untuk mendorong standar otentikasi yang aman.

Sejauh ini perusahaan seperti PayPal, Shopify, CVS Health, Kayak, Hyatt, atau Yahoo! Jepang telah memanfaatkan teknologi tersebut. Artinya, bila passkey telah diaktifkan di komputer desktop atau ponsel Android yang mendukung, Anda bisa logi ke layanan tersebut tanpa kata sandi.

Jika sukses menjalankan fungsinya sesuai harapan, keamanan dan kemudahannya akan memuaskan pengguna sehingga sepenuhnya dapat menggantikan kata sandi. Mengingat besarnya pengguna Gmail, YouTube, dan Google Workspace, dukungan passkey pada layanan Google merupakan momen penting bagi teknologi ini.

Bila teknologi ini benar-benar diadopsi secara masal oleh penyedia layanan lain—dan terbukti tingkat keamanan dan kenyamannya—barulah kata sandi benar-benar akan terlupakan.