Passkeys adalah pengganti password yang lebih aman dan mudah. Dengan passkey users dapat login ke apps ataupun website dengan sebuah sensor biometric (seperti sidik jari atau pengenalan wajah), PIN, atau pattern, sehingga membebaskan pengguna dari keharusan mengingat dan mengelola kata sandi.
Passkey dapat menggantikan sebuah password dan 2FA dalam satu langkah sehingga pengguna dapat lebih sederhana dalam mengisikan kata sandi kedalam formulir login secara otomatis.
Passkey memberikan perlindungan yang kuat terhadap serangan phishing , tidak seperti SMS atau aplikasi berbasis one-time passwords . Karena passkeys di standarisasi, satu implementasi memungkinkan penggunaan tanpa password diberbagai browser dan sistem operasi yang berbeda.
Passkey memungkinkan pengguna untuk mengautentikasi tanpa harus memasukkan nama pengguna, atau memberikan tambahan 2FA apapun. Teknologi ini bertujuan untuk menggantikan mekanisme otentikasi lama seperti password.
Saat pengguna ingin masuk ke layanan yang menggunakan Passkey, browser atau sistem operasi mereka akan membantu mereka memilih dan menggunakan p asskey yang tepat. Pengalamannya mirip dengan cara kerja password yang disimpan.
Untuk memastikan hanya pemilik yang sah yang dapat menggunakan p asskey , sistem akan meminta mereka untuk membuka kunci perangkat mereka. Ini dapat dilakukan dengan sensor biometrik (seperti sidik jari atau pengenalan wajah), PIN, atau pola. .
Untuk membuat p asskey untuk situs web atau aplikasi, pengguna harus mendaftar terlebih dahulu ke situs web atau aplikasi tersebut. Ketika mereka kembali ke situs web atau aplikasi ini untuk masuk, mereka dapat mengambil langkah-langkah berikut:
- Pergi ke aplikasi.
- Klik Sign in .
- Pilih passkey.
- Buka screen unlock pada perangkat untuk menyelesaikan login.
Bagaimana cara kerja Passkey?
Pertimbangan privasi
- Beberapa pengguna mungkin terkejut jika otentikasi biometrik tiba-tiba muncul di situs web atau aplikasi dan mengira bahwa hal ini ada proses yang mengirimkan informasi sensitif ke server. Dengan passkey, informasi biometrik pengguna tidak pernah diungkapkan ke situs web atau aplikasi. Materi biometrik tidak pernah pindah dari perangkat pribadi.
- Passkey sendiri tidak memungkinkan pelacakan pengguna atau perangkat antar situs. Passkey yang sama tidak pernah digunakan dengan lebih dari satu situs. Protokol dirancang dengan cermat sehingga tidak ada informasi yang dibagikan dengan situs yang dapat digunakan sebagai vektor pelacakan.
- Passkey managers melindungi kunci sandi dari akses dan penggunaan yang tidak sah. Misalnya, Google Password Manager encrypts passkey secrets end-to-end. Hanya pengguna yang dapat mengakses dan menggunakannya, dan meskipun dicadangkan ke server Google, Google tidak dapat menggunakannya untuk menyamar sebagai pengguna.
Pertimbangan Keamanan
- Passkey menggunakan public key cryptography — mengurangi ancaman dari potensi pelanggaran data. Saat pengguna membuat passkey dengan situs atau aplikasi, ini menghasilkan pasangan kunci publik-pribadi di perangkat pengguna. Hanya kunci publik yang disimpan oleh situs, tetapi ini saja tidak berguna bagi penyerang. Penyerang tidak dapat memperoleh kunci pribadi pengguna dari data yang disimpan di server, yang diperlukan untuk menyelesaikan otentikasi.
- Karena passkey terikat dengan identitas situs web atau aplikasi, mereka aman dari serangan phishing. Browser dan sistem operasi memastikan bahwa passkey hanya dapat digunakan dengan situs web atau aplikasi yang membuatnya. Ini membebaskan pengguna dari tanggung jawab untuk masuk ke situs web atau aplikasi asli.
Perangkat pengguna menghasilkan tanda tangan berdasarkan passkey. Tanda tangan ini digunakan untuk memverifikasi kredensial login antara asal dan passkey.
Pengguna dapat masuk ke layanan di perangkat apa pun menggunakan sebuah passkey, terlepas dari di mana kunci sandi disimpan. Misalnya, passkey yang dibuat di ponsel dapat digunakan untuk masuk ke situs web di laptop terpisah.
Passkey dimaksudkan untuk digunakan melalui infrastruktur sistem operasi yang memungkinkan passkey manager membuat, mem- backup , dan menyediakan untuk aplikasi yang berjalan pada sistem operasi tersebut. Di Chrome pada Android, Passkey disimpan di Google Password Manager, yang menyinkronkan Passkeys antara pengguna perangkat Android yang masuk ke dalam akun Google yang sama.
Pengguna tidak dibatasi untuk menggunakan passkeys hanya pada perangkat tempat mereka disimpan—passkeys yang disimpan di ponsel dapat digunakan saat masuk ke perangkat misalnya laptop, meskipun passkey tidak disinkronkan ke laptop, selama ponsel berada di dekat laptop dan pengguna menyetujui masuk di ponsel. Karena passkey dibuat berdasarkan standard FIDO, semua browser dapat mengadopsinya.
Misalnya , seorang visitor mengunjungi sebuah website pada Chromebook. Pengguna ini sebelumnya telah masuk website menggunakan perangkat iOS dan membuat sebuah passkey. Di Chromebook, pengguna memilih untuk masuk dengan passkey dari perangkat lain. Kedua perangkat akan terhubung dan pengguna akan diminta untuk menyetujui penggunaan passkey mereka di perangkat iOS, mis. dengan FaceID. Setelah melakukannya, mereka masuk ke Chromebook. Perhatikan bahwa passkey itu sendiri tidak ditransfer ke Chromebook, jadi biasanya website akan menawarkan untuk membuat sebuah passkey baru disana. Dengan begitu, ponsel tidak diperlukan saat pengguna ingin masuk lagi.
Sumber : Passkeys
Baca Sign-in menggunakan ponsel untuk mempelajari lebih lanjut.
