- Google menjadikan passkey sebagai opsi default di Google Account pribadi, sehingga transisi ke login tanpa kata sandi menjadi lebih mudah
- Mulai login berikutnya, prompt untuk membuat dan menggunakan passkey akan ditampilkan, dan opsi “Skip password when possible” di pengaturan akun akan terlihat dalam keadaan aktif
- Passkey memungkinkan login dengan sidik jari, pemindaian wajah, atau PIN yang digunakan untuk membuka kunci perangkat; Google menilai ini 40% lebih cepat daripada kata sandi dan lebih aman karena menggunakan metode kriptografi
- Login dengan kata sandi akan tetap tersedia untuk sementara waktu, dan pengguna yang tidak menginginkannya dapat menonaktifkan “Skip password when possible” untuk menolak penggunaan passkey
- Passkey sudah digunakan di YouTube, Search, dan Maps, serta didukung oleh Uber dan eBay; kompatibilitas WhatsApp juga akan segera tersedia
Perubahan default login untuk Google Account pribadi
- Google menilai respons pengguna positif setelah meluncurkan dukungan passkey awal tahun ini
- Kini passkey disediakan sebagai opsi login default di seluruh Google Account pribadi
- Saat login akun berikutnya, prompt untuk membuat dan menggunakan passkey akan ditampilkan
- Di pengaturan Google Account, opsi “Skip password when possible” akan terlihat dalam keadaan aktif
Cara penggunaan passkey dan karakteristik keamanannya
- Passkey menggunakan sidik jari, pemindaian wajah, atau PIN yang sama seperti untuk membuka kunci perangkat saat login ke akun
- Menurut Google, login dengan passkey 40% lebih cepat daripada kata sandi
- Passkey bergantung pada metode kriptografi sehingga lebih aman, dan juga memiliki ketahanan terhadap phishing
- Pengguna dapat mengurangi beban mengingat angka dan karakter khusus pada kata sandi
Kata sandi dan pilihan pengguna tetap dipertahankan
- Google menilai teknologi baru membutuhkan waktu untuk benar-benar mapan, sehingga kata sandi kemungkinan masih akan tetap ada untuk sementara waktu
- Pengguna masih dapat login dengan kata sandi
- Pengguna yang tidak menginginkan passkey cukup menonaktifkan opsi “Skip password when possible”
Dukungan passkey meluas ke luar Google
- Sejak peluncuran passkey, pengguna telah menggunakan passkey di aplikasi Google seperti YouTube, Search, dan Maps
- Google memandang positif tren meningkatnya adopsi passkey di seluruh industri
- Uber dan eBay menyediakan pilihan untuk login ke platform tanpa menggunakan kata sandi
- Kompatibilitas WhatsApp juga akan segera tersedia
Langkah berikutnya menuju login tanpa kata sandi
- Google akan terus memberi tahu lokasi lain di mana passkey dapat digunakan untuk akun online lainnya
- Google mendorong industri untuk beralih ke passkey guna mengurangi penggunaan kata sandi dan pada akhirnya menjadikannya jarang digunakan
- Informasi terkait keamanan Akun Google dapat dilihat di myaccount.google.com/safer
1 komentar
Opini Hacker News
Seperti yang sudah dikatakan banyak orang, jika kehilangan perangkat, sangat sulit untuk memulai ulang autentikasi kriptografis
Bulan lalu istri saya memecahkan kaca iPhone-nya dan memperbaikinya lewat AppleCare, tetapi Apple tidak memberi tahu bahwa “perbaikan kaca” pada dasarnya mencakup penggantian komponen internal dan reset pabrik
Cadangan Apple iPhone tidak menyertakan rahasia kriptografis seperti eSIM
Akhirnya untuk mengaktifkan eSIM diperlukan email, email memerlukan MS Authenticator, dan MS Authenticator terjebak dalam loop karena tidak bisa diaktifkan tanpa SMS
Kami harus pergi ke gerai operator dengan banyak kartu identitas berfoto untuk menerbitkan ulang eSIM, dan meski kata sandinya benar, rekening bank juga terkunci karena semacam kunci perangkat keras ponsel
Butuh beberapa hari untuk menyelesaikannya dan harus mengunjungi beberapa lembaga secara langsung. Kalau sedang bepergian ke luar negeri, kami akan benar-benar buntu
Zaman sudah berubah, dan kini seluruh identitas digital menjadi smart card di dalam ponsel. Smart card itu, entah SIM maupun chip TPM onboard, jika hilang, dari sudut pandang orang lain Anda seperti orang mati
Passkey membuat masalah ini jauh lebih buruk. Kalau masih ada SIM fisik, setidaknya bisa dipindahkan dari satu ponsel ke ponsel lain, tetapi Passkey tidak bisa dipindahkan antar-vendor
Kita harus lari sambil berteriak. Jangan percaya hype-nya, dan tunggu sampai para vendor benar-benar menyediakan solusi migrasi dan pemulihan yang layak
Orang-orang membenci kata sandi, tetapi secara realistis, dalam banyak situasi dan model ancaman, kata sandi adalah kompromi terbaik. Jika mengambil 32 byte atau lebih dari
/dev/randomlalu mengenkodenya dengan cara yang diinginkan, tak ada siapa pun di alam semesta ini yang bisa membobolnya dengan brute force, dan pengelola kata sandi juga menyelesaikan masalah penggunaan ulangSelain itu, ada keuntungan bahwa cara penyimpanannya bisa saya kendalikan, dan saya bisa menerapkan cadangan redundan sebanyak yang membuat saya merasa tenang
Cadangan iPhone mencakup cadangan item yang disimpan di iCloud Keychain, dan Anda bisa mengaksesnya kembali jika punya perangkat Apple lain atau kunci pemulihan. Selama punya kode sandi perangkat atau kunci pemulihan, semuanya bisa di-bootstrap ulang
eSIM itu kasus khusus karena milik operator, dan hal-hal seperti itu memang dari dulu sampai nanti cenderung merepotkan karena terikat pada gerai dan panggilan telepon
Saya memakai hampir 3. Yubikey di workstation, Yubikey portabel, dan ponsel. Ketiganya bisa memulai ulang Google untuk email dan Apple untuk ponsel. Sisanya ada di 1Password, dan bisa diakses melalui sarana-sarana ini
Bahkan dalam kondisi darurat yang paling buruk sekalipun, rasanya email masih bisa saya rebut kembali entah bagaimana. Saya bisa memverifikasi identitas ke penyedia DNS dan mengubah record MX, lalu kembali menangani semuanya. Meski begitu, sulit juga menyebutnya mutlak penting untuk kehidupan sehari-hari. Kehilangan akses akan sangat merepotkan, tetapi sepertinya bukan vonis mati
SMS dan kontak Signal juga ada di tempat lain, dan uang di rekening bank bisa digunakan dengan menulis cek. Akun terkait perusahaan bisa diakses kalau saya datang langsung ke kantor
Namun menurut saya Passkey kemungkinan terlalu rumit untuk pengguna komputer umum. Sayangnya, pendekatan “kami akan mengirim tautan email setiap kali Anda login” tampaknya merupakan autentikasi tanpa kata sandi yang paling ramah pengguna
Kebiasaan memasukkan Passkey ke 1Password juga tidak benar-benar membuat saya tenang. Karena saya tahu saya akan terikat selamanya. Meski begitu, saya menyukai layanannya, dan kalau suatu saat ingin pindah, setidaknya saya punya daftar akun yang perlu dibuat ulang
Yang paling saya takutkan adalah situasi lupa kode sandi ponsel. Suatu kali saya terbangun, lalu perhatian saya teralihkan pada waktu yang sangat buruk, dan saya sama sekali tidak bisa mengingat kode 6 digit itu. Saya juga memakai kode yang sama untuk membuka kunci workstation. Setelah sebentar mengalihkan perhatian ke hal lain, akhirnya saya berhasil mengingatnya lewat memori otot
Itu benar-benar momen seperti “apakah saya baru saja kena stroke?” Sekarang saya menyimpan kode sandi itu di 1Password, jadi jika ada satu saja perangkat yang sudah terbuka kuncinya, saya bisa memulihkan ingatan. Kejadiannya sudah cukup lama dan sepertinya bukan demensia, hanya fenomena sementara yang aneh
Sebaliknya, semua kata sandi di tempat kerja yang masa berlakunya maksimal 1 tahun masih saya ingat dengan sempurna. Meski itu tidak banyak berguna kalau saya tidak bisa mengingat angka 6 digit
Jadi sepertinya tak lama lagi kata sandi juga akan masuk “Killed by Google”, dan akun saya ikut masuk bersamanya. Saya tidak menyisakan satu pun perangkat yang tetap login
Sudah lama waktunya memindahkan beberapa penggunaan yang masih tersisa. Saya penasaran apakah perusahaan bisa mereset Passkey akun kerja saya saat situasi yang tak terhindarkan itu tiba
Saya memang melihat ini sebagai arah yang benar, tetapi saya sudah melihat terlalu banyak kisah horor tentang orang yang terkunci dari akun Google atau iCloud dan praktis tidak punya cara untuk mendapatkannya kembali
Rasanya bukan cuma saya yang berpikir begini, tetapi suatu hari nanti, mungkin karena kesalahan saya sendiri, saya akan terkunci dari Google dan kehidupan digital saya akan berakhir
Saya bersedia membayar jika ada perusahaan swasta yang menyediakan cara login seperti login.gov, dan saat terkunci memungkinkan kita berbicara dengan manusia sungguhan seperti di USPS
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
Ini bukan soal if, melainkan when. Bagi orang yang menganggap datanya penting, backup dan rencana pemulihan bencana yang matang adalah keharusan. Akan ada perusahaan yang mengacaukan sesuatu meski bukan karena salah kita, dan itu tidak bisa dihindari
Sayangnya, untuk beberapa aspek akun yang hilang tidak ada opsi pemulihan bencana yang baik, tetapi memiliki beberapa akun dan menghindari single point of failure bisa membantu sampai batas tertentu
Kita perlu memiliki beberapa cara independen untuk bisa login. Misalnya, mencetak kode cadangan dan menyimpannya bersama dokumen penting
Namun ini pun tidak mencegah situasi terkunci dari akun karena perubahan kebijakan Google, jadi idealnya kita juga perlu berlatih bertahan tanpa akun Google
Lauren Weinstein memperingatkan bahwa Passkey itu cacat dan akan menjadi sumber kerepotan besar, terutama bagi pengguna umum
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
Jika isu privasi dan ketergantungan pada vendor kita kesampingkan dulu, Passkey bukan alternatif yang terlalu buruk bagi orang yang memakai ulang password dasar yang sama di semua situs web tanpa autentikasi dua faktor
Tetapi begitu mulai mengandalkannya untuk benar-benar melindungi sesuatu, ini cepat berubah menjadi mimpi buruk besar. Ditambah lagi, keadaan makin buruk karena ini diperlakukan seolah-olah setara dengan password + autentikasi dua faktor
Katanya “mudah ditemukan”, tetapi sepertinya saya justru tidak bisa menemukannya
https://mastodon.laurenweinstein.org/@lauren/111211489395997...
Jika pengguna pada akhirnya kemungkinan besar akan memakai password layanan yang lemah, saya tidak mengerti mengapa kode sandi perangkat yang lemah menjadi alasan untuk menghindari Passkey
Dalam kasus itu, jika autentikasi perangkat bobol, akunnya juga memang sudah kompromi
Khususnya Google saat ini bukan memakai struktur yang memaksa memilih hanya salah satu antara password dan Passkey. Jika perangkat tidak punya Passkey, pengguna bisa kembali ke alur login dengan password
Untuk membandingkan risiko dan manfaat, kita perlu tahu seberapa sering orang benar-benar menggunakan ulang password, memakai autentikasi dua faktor, bergantung hanya pada kunci layar ponsel untuk semua akses akun, memakai autentikasi biometrik, seberapa sering pemulihan akun dibutuhkan, dan seterusnya
Hanya data itu yang bisa merapikan perdebatan, dan juga memungkinkan setiap orang mengambil kesimpulan berbeda sesuai situasinya masing-masing
Google punya sebagian besar data seperti ini. Jika ingin mendukung klaimnya, mereka harus membukanya ke publik
1Password baru-baru ini mengaktifkan dukungan Passkey, dan saya “terkejut” ketika mengetahui tidak ada cara untuk mengekspornya ke luar 1Password
Tidak disertakan dalam ekspor format 1PUX, maupun CSV
Artinya, secara harfiah tidak bisa dicadangkan. Jika 1Password down, perusahaannya tutup, atau terjadi hal serupa, Passkey akan hilang begitu saja. Sama sekali tidak ada cara untuk memulihkannya
Lihat tulisan AMA 1Password Passkey terbaru tentang topik ini:
https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
Soal jika 1Password berhenti beroperasi, baik kata sandi maupun Passkey juga disimpan secara lokal saat disinkronkan ke perangkat. Jika karena alasan apa pun Anda tidak bisa mengakses 1Password, Anda tetap dapat mengakses semua item di dalam vault, hanya saja tidak bisa menyinkronkannya antarperangkat
Alih-alih memindahkan Passkey antarperangkat, semestinya dilihat sebagai struktur seperti kunci SSH: membuat Passkey berbeda untuk tiap perangkat dan mendaftarkan semuanya ke layanan terkait
Tentu saja pengguna masih bisa ditipu untuk menambahkan Passkey milik penyerang ke akunnya
Di mobile masalah ini sudah diselesaikan beberapa tahun lalu, tetapi email masih berantakan. Pelajarannya: jangan pernah bergantung pada satu pihak
Ia mencegat pemanggilan
window.credentials, dan jika ingin memakai metode verifikasi lain seperti Yubikey bersama 1Password, Anda harus masuk ke pengaturan dan mematikan seluruh fitur PasskeyIni juga mirip dengan cara mencegat prompt Google One Tap lalu menonaktifkannya secara global untuk menampilkan prompt OAuth miliknya sendiri. Saya hanya memakai ekstensi Chrome, jadi tidak tahu apakah pengalaman aplikasi native sangat berbeda
Dari sisi pengguna, saya masih belum paham
Kalau rumah terbakar atau semacamnya sehingga semua perangkat yang sedang login ke Google rusak, apa yang terjadi? Bagaimana bisa login lagi ke akun?
Saya memberikan ponsel lama, dan SIM berhasil dipindahkan, tetapi kami sama sekali tidak bisa login ke akun Google. Sebab Google terus-menerus bersikeras menyuruh “gunakan ponsel”. Laptopnya juga sudah logout dari email
Untungnya, karena kejadian lama, saya punya token cadangan, jadi masalahnya terselesaikan. Saya tidak tahu bagaimana orang lain akan mengatasinya
Kunci dibagi menjadi M bagian, dan diperlukan N bagian di antaranya untuk merekonstruksinya. Misalnya 3/8 berarti kunci dapat dipulihkan hanya dengan 3 dari 8 bagian. Tiap bagian dipercayakan kepada orang-orang tepercaya, lalu saat pemulihan, bagian diminta dari setidaknya 3 orang di antaranya untuk menghidupkan kembali kunci
Ketika saya mengimplementasikannya dalam demo YC bernama multipasskey, pengguna diminta memilih kontak tepercaya, lalu potongan kunci dikirim kepada mereka di background. Jika perlu pemulihan, pengguna memintanya kepada mereka, dan setelah menerima cukup potongan, kunci perangkat direkonstruksi. Setelah kunci perangkat tersedia, backup kunci terenkripsi diunduh dari server jarak jauh dan dipulihkan seperti baru
Pada 2017/2018 saya mendaftar ke YC dengan proyek ini bernama multipasskey sebagai demo yang berfungsi, tetapi ditolak. Saya rasa mungkin saya tidak menjelaskannya dengan baik
Dari sudut pandang teknisi, saya menduga maksudnya adalah kita perlu menitipkan perangkat cadangan kepada teman, atau menyimpan Passkey juga di akun Apple/Microsoft/password manager
Namun Google perlu menjelaskannya lebih rinci
Dan jangan sampai kehilangan nomor telepon. Meski punya username, kata sandi, dan email pemulihan, Anda tidak bisa masuk kembali ke akun Google jika tidak bisa menerima kode SMS
Selama masa transisi ini, pendekatan yang disarankan adalah menyediakan Passkey sebagai alternatif untuk metode yang sudah ada. Google dan banyak penyedia layanan melakukannya seperti itu
Namun pertanyaan yang diajukan sekarang adalah masalah pemulihan akun yang harus ditanyakan semua orang, bahkan tanpa Passkey. Harus ada rencana tentang bagaimana login jika lupa kata sandi, tidak bisa mengakses password manager, atau kehilangan perangkat autentikasi kedua. Penerapan Passkey tidak sepenuhnya menghilangkan kebutuhan memikirkan pemulihan akun
Meski begitu, ada kasus khusus ketika Passkey lebih baik untuk pemulihan akun. Jika membuat Passkey untuk akun Google di perangkat Apple yang memakai iCloud Keychain, Passkey itu akan disinkronkan ke iCloud. Jadi meski rumah terbakar dan semua perangkat hilang, selama masih bisa mengakses akun iCloud, Anda dapat mendapatkan kembali Passkey untuk akun Google dan situs web lain
Tentu saja pertanyaan “bagaimana jika kehilangan akses ke akun Apple iCloud?” tetap valid. Jadi masalah pemulihan akun tidak sepenuhnya hilang, tetapi dalam banyak kasus Passkey dapat menguranginya cukup banyak
Di sini ada paradoks Simpson
Secara rata-rata, ini bisa meningkatkan keamanan. Karena mayoritas pengguna memakai kata sandi dengan sangat buruk
Namun bagi pengguna mahir yang memakai kata sandi dengan aman, jika dipaksakan, keamanannya justru turun drastis
Autentikasi dua faktor wajib lewat nomor telepon juga punya efek yang sama. Dalam kasus Big G, autentikasi dua faktor wajib lewat nomor telepon adalah kebijakan anti-anonimitas yang dikemas sebagai keamanan. Dalam kasus ini, tampaknya seperti upaya memperoleh data biometrik
Nomor telepon adalah identitas jangka panjang terbaik yang dimiliki kebanyakan orang, dan Google harus mendukung pemulihan akun bagi miliaran pengguna pada skala yang tidak masuk akal
Banyak orang kehilangan kata sandi dan perangkat, tetapi sangat sedikit yang kehilangan nomor telepon
Jadi masuk akal bila Google memakai nomor telepon untuk menetapkan dan mendelegasikan identitas di platformnya. Buruk untuk privasi, tetapi sangat baik untuk keamanan karena membuat data dikendalikan melalui “kredensial” autentikasi pihak ketiga yang tidak perlu dikelola sendiri oleh pengguna
Dan bagian ini saya tidak sepenuhnya yakin, jadi semoga ada yang tahu bisa mengoreksi. Meski mengasumsikan pengguna mahir yang kebal terhadap kata sandi lemah, penggunaan ulang, dan phishing, saya memahami ada satu keunggulan keamanan. Sekalipun Google Passkey bocor, yang bocor hanya kunci publik, dan karena kunci publik tidak bisa dipakai untuk login, kebocoran itu hampir tidak berguna
Jika Google memang mengumpulkan data biometrik, mereka sudah melakukannya sejak lama, dan itu tidak terkait dengan fitur ini
Detail yang sangat mendasar dari model keamanan ini sudah benar sejak lama, sejak masa iPhone mulai memakai Secure Enclave. Saya tidak tahu mengapa orang-orang di situs ini begitu yakin berbicara tentang sesuatu yang sama sekali tidak mereka pahami, dan jujur saja saya terkejut
Passkey secara moral setara dengan memakai kunci SSH alih-alih kata sandi SSH saat login ke server, hanya saja diterapkan ke situs web. Selain itu, secara objektif ada fakta sederhana yang tidak bisa digantikan oleh gagasan “memakai kata sandi dengan aman”. Passkey secara harfiah tahan phishing
Mengejutkan bahwa ini sudah didorong secepat ini. Bahkan per minggu lalu, implementasinya masih punya cukup banyak bagian kasar, jadi saya menonaktifkannya di tenant Workspace saya
Dua hal yang paling menyebalkan adalah Advanced Protection belum mendukung Passkey sehingga untuk sementara harus tetap memakai U2F, dan jika akun memiliki kunci U2F yang disiapkan, Google lebih dulu mengarahkan untuk memakainya sebagai Passkey, lalu karena itu bukan Passkey, meminta login dengan kata sandi
Akibatnya, orang yang memakai autentikasi multifaktor tahan phishing kehilangan fitur untuk membuat perangkat “mengingat” langkah autentikasi multifaktor. Karena Google selalu meminta faktor autentikasi U2F sebelum kata sandi
Terlepas dari itu, saat bersiap menerapkan login tanpa kata sandi berbasis Okta untuk beberapa pelanggan kecil, saya sudah banyak menguji alur FIDO2 dengan security key dan Passkey di berbagai jenis perangkat dan platform. Saya secara umum menyukai alur autentikasinya sendiri, tetapi ada banyak jebakan yang perlu diperhatikan
Saya menghabiskan cukup banyak waktu untuk merapikan jalur normal, membuat materi onboarding, dan mendokumentasikan skenario kesinambungan bisnis. Kasus penggunaan pribadi dalam beberapa hal lebih sulit, karena harus memikirkan tiap layanan, bukan satu IdP tunggal
Jika harus mendukung banyak lingkungan, jalan mudah saat ini adalah berinvestasi pada 1Password atau pengelola kata sandi lain yang mendukung Passkey. Itu memberikan pengalaman pengguna paling konsisten dan bekerja di sebagian besar platform, tetapi masih ada masalah di Android 14
Untuk akun berprivilege tinggi, kami akan tetap memakai kunci hardware, jadi admin menerima sepasang kunci FIDO2. Yang lain mendapat satu Yubikey, yang berfungsi sebagai cadangan saat kehilangan akses perangkat atau harus login dari perangkat yang tidak tepercaya. Android juga menjadi masalah di sini. Bahkan di 14, tampaknya belum mendukung alur FIDO2 tanpa kata sandi
Arah yang menarik. Namun perlu dicatat bahwa data biometrik seperti sidik jari atau pengenalan wajah sebenarnya bukan “rahasia”
Itu bisa diamati atau dimanfaatkan tanpa sepengetahuan atau persetujuan pengguna, dan dalam banyak hal berperilaku lebih seperti nama pengguna daripada kata sandi
Sidik jari hanya membuka pasangan kunci kriptografis yang akan dipakai untuk autentikasi
Saya memakai Yubico Security Key sebagai Passkey, dan dilindungi PIN 6 digit. PIN itu hanya ada secara lokal di perangkat, dan tujuannya mencegah orang yang memegang perangkat secara fisik langsung login. Jika PIN salah 10 kali berturut-turut, kuncinya terhapus
Saat PIN dimasukkan, kunci terbuka, dan kunci itulah yang membuat akun Google bisa diakses
Sebagian besar akun yang memiliki kata sandi punya pengaman berupa “buktikan identitas ke perusahaan, maka mereka akan meresetnya”. Misalnya, jika tidak ingat kata sandi bank, ada jalur bagi bank untuk meresetnya
Untuk hal-hal yang dikendalikan Google, sama sekali tidak ada cara untuk menghubungi mereka guna menyelesaikan masalah. Ini sudah menjadi masalah di semua produk Google
Mengunci semua akses di balik pintu yang dikendalikan Google berarti menyiapkan sendiri mimpi buruk masa depan
Sayang sekali belum bisa menyimpan Passkey di Bitwarden. Namun menurut pesan di bagian atas halaman ini, sepertinya akan hadir pada Oktober
https://bitwarden.com/blog/bitwarden-passkey-management/