Di tengah meningkatnya insiden peretasan dan kebocoran data, kata sandi (password) yang selama puluhan tahun menjadi benteng utama perlindungan digital kini berada di ambang keruntuhan. Terlepas dari seberapa rumit kombinasinya, kata sandi rentan terhadap phishing, serangan brute force, dan data breach yang masif. Paradigma keamanan digital menuntut solusi baru yang lebih tangguh dan lebih mudah digunakan.
Solusi tersebut kini hadir dalam bentuk Passkeys, sebuah teknologi otentikasi tanpa kata sandi yang dikembangkan oleh aliansi industri teknologi global seperti Apple, Google, dan Microsoft. Passkeys dipandang bukan sekadar peningkatan, melainkan revolusi yang berpotensi menamatkan riwayat kata sandi tradisional.
Kerentanan Fundamental Kata Sandi
Untuk memahami urgensi Passkeys, kita perlu meninjau kelemahan mendasar dari kata sandi. Kata sandi, pada hakikatnya, adalah "rahasi yang dibagi". Ia tersimpan di server penyedia layanan, membuatnya rentan terhadap serangan data breach. Ketika sebuah platform diretas, jutaan password (meskipun terenkripsi) dapat dicuri dan dipecahkan oleh peretas.
Selain itu, faktor manusia menjadi titik terlemah. Survei menunjukkan bahwa mayoritas pengguna menggunakan kata sandi yang lemah atau menggunakan sandi yang sama berulang kali di berbagai situs. Ditambah lagi, taktik phishing yang semakin canggih telah berhasil menipu pengguna untuk secara sukarela memberikan sandi mereka, mengabaikan lapisan keamanan teknis apapun.
Oleh karena itu, industri teknologi, di bawah panduan aliansi FIDO Alliance, berupaya mencari sistem otentikasi yang memenuhi dua kriteria utama: tahan terhadap phishing dan menghilangkan sandi yang disimpan di server.
Logika Passkeys: Otentikasi Berbasis Kunci Kriptografi
Passkeys adalah wujud nyata dari sistem otentikasi tanpa kata sandi (passwordless) yang didasarkan pada standar WebAuthn (Web Authentication). Secara teknis, Passkeys bekerja dengan prinsip kriptografi kunci publik-privat, mirip dengan cara kerja blockchain atau enkripsi end-to-end.
Ketika seorang pengguna membuat Passkey untuk sebuah website atau aplikasi, perangkat pengguna (misalnya smartphone atau laptop) akan melakukan hal berikut:
- Pembuatan Kunci: Perangkat menghasilkan sepasang kunci kriptografi yang unik: Kunci Publik dan Kunci Privat.
- Penyimpanan Kunci Privat: Kunci Privat disimpan secara lokal dan aman di perangkat pengguna (misalnya di Secure Enclave iPhone atau Trusted Platform Module PC). Kunci ini hanya bisa diakses menggunakan metode biometrik pengguna (sidik jari atau pemindaian wajah).
- Penyimpanan Kunci Publik: Kunci Publik dikirim ke server penyedia layanan.
Saat pengguna ingin login, server akan menantang perangkat pengguna untuk membuktikan kepemilikannya. Perangkat akan menggunakan Kunci Privat, yang diakses melalui biometrik pengguna, untuk menghasilkan tanda tangan kriptografi. Server kemudian memverifikasi tanda tangan ini menggunakan Kunci Publik yang telah disimpan.
Poin pentingnya: Server tidak pernah menyimpan atau meminta Kunci Privat milik pengguna. Ia hanya menyimpan Kunci Publik yang tidak memiliki nilai jika dicuri.
Keunggulan Passkeys yang Mengubah Permainan
Sistem Passkeys menawarkan beberapa keunggulan fundamental yang menjadikannya kunci keamanan digital masa depan:
- Kebal Phishing: Passkeys secara inheren tahan terhadap serangan phishing. Kunci kriptografi terikat pada domain website tertentu. Jika pengguna mencoba memasukkan sandi biometrik mereka di situs palsu (phishing site), Kunci Privat tidak akan bekerja karena domain tidak cocok.
- Keamanan Data Breach: Karena server tidak menyimpan sandi atau Kunci Privat, kebocoran data di server menjadi tidak relevan. Data yang dicuri oleh peretas hanyalah Kunci Publik yang tidak dapat digunakan untuk mengakses akun.
- Pengalaman Pengguna yang Mulus: Pengguna cukup memverifikasi identitas mereka menggunakan sidik jari atau pemindaian wajah. Tidak perlu lagi mengetik sandi yang rumit atau memasukkan kode Verifikasi Dua Langkah (2FA) yang dikirim melalui SMS.
Tantangan Adopsi dan Masa Depan Otentikasi
Meskipun Passkeys menawarkan solusi ideal, implementasinya masih menghadapi tantangan adopsi. Agar teknologi ini bekerja secara efektif, platform (bank, media sosial, e-commerce) harus mengimplementasikan standar WebAuthn, dan pengguna harus memperbarui perangkat lunak mereka.
Saat ini, perusahaan-perusahaan besar seperti Google, Apple, Microsoft, dan Amazon telah mengintegrasikan dukungan Passkeys. Namun, perjalanan menuju dunia passwordless sepenuhnya masih panjang.
Pada akhirnya, Passkeys mewakili titik balik dalam sejarah keamanan digital. Ini adalah solusi yang membawa otentikasi ke tingkat yang lebih aman, sekaligus memberikan pengalaman login yang jauh lebih cepat dan sederhana. Era sandi yang rentan dan mudah dicuri akan segera tamat, digantikan oleh sistem yang mengandalkan kunci kriptografi unik di perangkat kita sendiri.
Source pic: https://stytch.com/blog/passkeys-hype/