2 poin oleh GN⁺ 2023-10-12 | 1 komentar | Bagikan ke WhatsApp
  • Google menjadikan passkey sebagai opsi default di Google Account pribadi, sehingga transisi ke login tanpa kata sandi menjadi lebih mudah
  • Mulai login berikutnya, prompt untuk membuat dan menggunakan passkey akan ditampilkan, dan opsi “Skip password when possible” di pengaturan akun akan terlihat dalam keadaan aktif
  • Passkey memungkinkan login dengan sidik jari, pemindaian wajah, atau PIN yang digunakan untuk membuka kunci perangkat; Google menilai ini 40% lebih cepat daripada kata sandi dan lebih aman karena menggunakan metode kriptografi
  • Login dengan kata sandi akan tetap tersedia untuk sementara waktu, dan pengguna yang tidak menginginkannya dapat menonaktifkan “Skip password when possible” untuk menolak penggunaan passkey
  • Passkey sudah digunakan di YouTube, Search, dan Maps, serta didukung oleh Uber dan eBay; kompatibilitas WhatsApp juga akan segera tersedia

Perubahan default login untuk Google Account pribadi

  • Google menilai respons pengguna positif setelah meluncurkan dukungan passkey awal tahun ini
  • Kini passkey disediakan sebagai opsi login default di seluruh Google Account pribadi
  • Saat login akun berikutnya, prompt untuk membuat dan menggunakan passkey akan ditampilkan
  • Di pengaturan Google Account, opsi “Skip password when possible” akan terlihat dalam keadaan aktif

Cara penggunaan passkey dan karakteristik keamanannya

  • Passkey menggunakan sidik jari, pemindaian wajah, atau PIN yang sama seperti untuk membuka kunci perangkat saat login ke akun
  • Menurut Google, login dengan passkey 40% lebih cepat daripada kata sandi
  • Passkey bergantung pada metode kriptografi sehingga lebih aman, dan juga memiliki ketahanan terhadap phishing
  • Pengguna dapat mengurangi beban mengingat angka dan karakter khusus pada kata sandi

Kata sandi dan pilihan pengguna tetap dipertahankan

  • Google menilai teknologi baru membutuhkan waktu untuk benar-benar mapan, sehingga kata sandi kemungkinan masih akan tetap ada untuk sementara waktu
  • Pengguna masih dapat login dengan kata sandi
  • Pengguna yang tidak menginginkan passkey cukup menonaktifkan opsi “Skip password when possible”

Dukungan passkey meluas ke luar Google

  • Sejak peluncuran passkey, pengguna telah menggunakan passkey di aplikasi Google seperti YouTube, Search, dan Maps
  • Google memandang positif tren meningkatnya adopsi passkey di seluruh industri
  • Uber dan eBay menyediakan pilihan untuk login ke platform tanpa menggunakan kata sandi
  • Kompatibilitas WhatsApp juga akan segera tersedia

Langkah berikutnya menuju login tanpa kata sandi

  • Google akan terus memberi tahu lokasi lain di mana passkey dapat digunakan untuk akun online lainnya
  • Google mendorong industri untuk beralih ke passkey guna mengurangi penggunaan kata sandi dan pada akhirnya menjadikannya jarang digunakan
  • Informasi terkait keamanan Akun Google dapat dilihat di myaccount.google.com/safer

1 komentar

 
GN⁺ 2023-10-12
Opini Hacker News
  • Seperti yang sudah dikatakan banyak orang, jika kehilangan perangkat, sangat sulit untuk memulai ulang autentikasi kriptografis
    Bulan lalu istri saya memecahkan kaca iPhone-nya dan memperbaikinya lewat AppleCare, tetapi Apple tidak memberi tahu bahwa “perbaikan kaca” pada dasarnya mencakup penggantian komponen internal dan reset pabrik
    Cadangan Apple iPhone tidak menyertakan rahasia kriptografis seperti eSIM
    Akhirnya untuk mengaktifkan eSIM diperlukan email, email memerlukan MS Authenticator, dan MS Authenticator terjebak dalam loop karena tidak bisa diaktifkan tanpa SMS
    Kami harus pergi ke gerai operator dengan banyak kartu identitas berfoto untuk menerbitkan ulang eSIM, dan meski kata sandinya benar, rekening bank juga terkunci karena semacam kunci perangkat keras ponsel
    Butuh beberapa hari untuk menyelesaikannya dan harus mengunjungi beberapa lembaga secara langsung. Kalau sedang bepergian ke luar negeri, kami akan benar-benar buntu
    Zaman sudah berubah, dan kini seluruh identitas digital menjadi smart card di dalam ponsel. Smart card itu, entah SIM maupun chip TPM onboard, jika hilang, dari sudut pandang orang lain Anda seperti orang mati
    Passkey membuat masalah ini jauh lebih buruk. Kalau masih ada SIM fisik, setidaknya bisa dipindahkan dari satu ponsel ke ponsel lain, tetapi Passkey tidak bisa dipindahkan antar-vendor
    Kita harus lari sambil berteriak. Jangan percaya hype-nya, dan tunggu sampai para vendor benar-benar menyediakan solusi migrasi dan pemulihan yang layak

    • Saya sangat setuju dengan ungkapan “lari sambil berteriak”. Mengikat autentikasi ke perangkat keras yang tidak saya kendalikan hampir pasti bisa berujung pada penolakan layanan di masa depan
      Orang-orang membenci kata sandi, tetapi secara realistis, dalam banyak situasi dan model ancaman, kata sandi adalah kompromi terbaik. Jika mengambil 32 byte atau lebih dari /dev/random lalu mengenkodenya dengan cara yang diinginkan, tak ada siapa pun di alam semesta ini yang bisa membobolnya dengan brute force, dan pengelola kata sandi juga menyelesaikan masalah penggunaan ulang
      Selain itu, ada keuntungan bahwa cara penyimpanannya bisa saya kendalikan, dan saya bisa menerapkan cadangan redundan sebanyak yang membuat saya merasa tenang
    • Saya percaya semua masalah yang Anda sebutkan, tetapi biasanya Anda bisa menambahkan beberapa Passkey ke tiap layanan. Bisa mendaftarkan iPhone dan ponsel Android murah untuk redundansi, atau menyimpan Passkey di 1Password
      Cadangan iPhone mencakup cadangan item yang disimpan di iCloud Keychain, dan Anda bisa mengaksesnya kembali jika punya perangkat Apple lain atau kunci pemulihan. Selama punya kode sandi perangkat atau kunci pemulihan, semuanya bisa di-bootstrap ulang
      eSIM itu kasus khusus karena milik operator, dan hal-hal seperti itu memang dari dulu sampai nanti cenderung merepotkan karena terikat pada gerai dan panggilan telepon
    • Selain itu, banyak situs web sekarang seperti bangga karena tidak menyediakan staf dukungan pelanggan, dan tidak membantu pemulihan saat akun terkunci. Google atau Meta seperti itu
    • Seperti apa pun, Anda butuh cadangan. Anda harus punya lebih dari satu Passkey
      Saya memakai hampir 3. Yubikey di workstation, Yubikey portabel, dan ponsel. Ketiganya bisa memulai ulang Google untuk email dan Apple untuk ponsel. Sisanya ada di 1Password, dan bisa diakses melalui sarana-sarana ini
      Bahkan dalam kondisi darurat yang paling buruk sekalipun, rasanya email masih bisa saya rebut kembali entah bagaimana. Saya bisa memverifikasi identitas ke penyedia DNS dan mengubah record MX, lalu kembali menangani semuanya. Meski begitu, sulit juga menyebutnya mutlak penting untuk kehidupan sehari-hari. Kehilangan akses akan sangat merepotkan, tetapi sepertinya bukan vonis mati
      SMS dan kontak Signal juga ada di tempat lain, dan uang di rekening bank bisa digunakan dengan menulis cek. Akun terkait perusahaan bisa diakses kalau saya datang langsung ke kantor
      Namun menurut saya Passkey kemungkinan terlalu rumit untuk pengguna komputer umum. Sayangnya, pendekatan “kami akan mengirim tautan email setiap kali Anda login” tampaknya merupakan autentikasi tanpa kata sandi yang paling ramah pengguna
      Kebiasaan memasukkan Passkey ke 1Password juga tidak benar-benar membuat saya tenang. Karena saya tahu saya akan terikat selamanya. Meski begitu, saya menyukai layanannya, dan kalau suatu saat ingin pindah, setidaknya saya punya daftar akun yang perlu dibuat ulang
      Yang paling saya takutkan adalah situasi lupa kode sandi ponsel. Suatu kali saya terbangun, lalu perhatian saya teralihkan pada waktu yang sangat buruk, dan saya sama sekali tidak bisa mengingat kode 6 digit itu. Saya juga memakai kode yang sama untuk membuka kunci workstation. Setelah sebentar mengalihkan perhatian ke hal lain, akhirnya saya berhasil mengingatnya lewat memori otot
      Itu benar-benar momen seperti “apakah saya baru saja kena stroke?” Sekarang saya menyimpan kode sandi itu di 1Password, jadi jika ada satu saja perangkat yang sudah terbuka kuncinya, saya bisa memulihkan ingatan. Kejadiannya sudah cukup lama dan sepertinya bukan demensia, hanya fenomena sementara yang aneh
      Sebaliknya, semua kata sandi di tempat kerja yang masa berlakunya maksimal 1 tahun masih saya ingat dengan sempurna. Meski itu tidak banyak berguna kalau saya tidak bisa mengingat angka 6 digit
    • Ringkasnya, supaya tidak perlu membaca artikel sebelum lari sambil berteriak: artikel mengatakan bahwa Anda masih bisa login dengan kata sandi, dan bisa menolak Passkey dengan mematikan “lewati kata sandi jika memungkinkan”
      Jadi sepertinya tak lama lagi kata sandi juga akan masuk “Killed by Google”, dan akun saya ikut masuk bersamanya. Saya tidak menyisakan satu pun perangkat yang tetap login
      Sudah lama waktunya memindahkan beberapa penggunaan yang masih tersisa. Saya penasaran apakah perusahaan bisa mereset Passkey akun kerja saya saat situasi yang tak terhindarkan itu tiba
  • Saya memang melihat ini sebagai arah yang benar, tetapi saya sudah melihat terlalu banyak kisah horor tentang orang yang terkunci dari akun Google atau iCloud dan praktis tidak punya cara untuk mendapatkannya kembali
    Rasanya bukan cuma saya yang berpikir begini, tetapi suatu hari nanti, mungkin karena kesalahan saya sendiri, saya akan terkunci dari Google dan kehidupan digital saya akan berakhir
    Saya bersedia membayar jika ada perusahaan swasta yang menyediakan cara login seperti login.gov, dan saat terkunci memungkinkan kita berbicara dengan manusia sungguhan seperti di USPS

    • Ini terutama lebih bermasalah bagi pengguna umum dan lansia, dan Google punya sejarah dengan dukungan yang nyaris tidak ada. Selain itu, Passkey sendiri juga merupakan sistem yang cacat
      https://mastodon.laurenweinstein.org/@lauren/111103819626952...
      https://mastodon.laurenweinstein.org/@lauren/111211366080459...
    • Pemulihan bencana adalah kekhawatiran terbesar dalam autentikasi dua faktor atau autentikasi multifaktor. Saya pikir ini juga salah satu alasan mengapa hal seperti PGP tidak pernah tersebar luas. Kita selalu harus mengelola sesuatu yang kecil dan berharga, dan dampaknya menjadi masalah ketika benda itu tidak bisa dipakai atau dipakai oleh seseorang yang berniat jahat
    • “Bisa terkunci dari akun” adalah versi modern dari pepatah lama “hard drive pada akhirnya akan rusak”
      Ini bukan soal if, melainkan when. Bagi orang yang menganggap datanya penting, backup dan rencana pemulihan bencana yang matang adalah keharusan. Akan ada perusahaan yang mengacaukan sesuatu meski bukan karena salah kita, dan itu tidak bisa dihindari
      Sayangnya, untuk beberapa aspek akun yang hilang tidak ada opsi pemulihan bencana yang baik, tetapi memiliki beberapa akun dan menghindari single point of failure bisa membantu sampai batas tertentu
    • Membayangkan skenario pesimistis berguna jika berujung pada tindakan. Dalam kasus ini, tindakan yang tepat adalah mencari tahu dan memanfaatkan opsi pemulihan akun Google
      Kita perlu memiliki beberapa cara independen untuk bisa login. Misalnya, mencetak kode cadangan dan menyimpannya bersama dokumen penting
      Namun ini pun tidak mencegah situasi terkunci dari akun karena perubahan kebijakan Google, jadi idealnya kita juga perlu berlatih bertahan tanpa akun Google
    • Setuju 100%. Masa depan tanpa password memang menarik, tetapi satu pemblokiran tanpa penjelasan membuatnya terasa mirip kehilangan dompet fisik
  • Lauren Weinstein memperingatkan bahwa Passkey itu cacat dan akan menjadi sumber kerepotan besar, terutama bagi pengguna umum
    https://mastodon.laurenweinstein.org/@lauren/111103819626952...
    https://mastodon.laurenweinstein.org/@lauren/111211366080459...

    • Betul. Saya juga sudah punya keluhan serupa sejak beberapa tahun lalu
      Jika isu privasi dan ketergantungan pada vendor kita kesampingkan dulu, Passkey bukan alternatif yang terlalu buruk bagi orang yang memakai ulang password dasar yang sama di semua situs web tanpa autentikasi dua faktor
      Tetapi begitu mulai mengandalkannya untuk benar-benar melindungi sesuatu, ini cepat berubah menjadi mimpi buruk besar. Ditambah lagi, keadaan makin buruk karena ini diperlakukan seolah-olah setara dengan password + autentikasi dua faktor
    • Di mana dijelaskan apa cacatnya?
      Katanya “mudah ditemukan”, tetapi sepertinya saya justru tidak bisa menemukannya
      https://mastodon.laurenweinstein.org/@lauren/111211489395997...
      Jika pengguna pada akhirnya kemungkinan besar akan memakai password layanan yang lemah, saya tidak mengerti mengapa kode sandi perangkat yang lemah menjadi alasan untuk menghindari Passkey
    • Tidak jelas apa yang menjadi kerepotannya. Jika poinnya adalah konsekuensi Passkey bagi sebagian besar pengguna umum, mayoritas sudah login ke akun Google di perangkat mobile
      Dalam kasus itu, jika autentikasi perangkat bobol, akunnya juga memang sudah kompromi
      Khususnya Google saat ini bukan memakai struktur yang memaksa memilih hanya salah satu antara password dan Passkey. Jika perangkat tidak punya Passkey, pengguna bisa kembali ke alur login dengan password
    • Perdebatan ini membuat frustrasi karena tidak ada data. Isinya hanya opini tentang risiko mana yang lebih buruk daripada risiko lainnya
      Untuk membandingkan risiko dan manfaat, kita perlu tahu seberapa sering orang benar-benar menggunakan ulang password, memakai autentikasi dua faktor, bergantung hanya pada kunci layar ponsel untuk semua akses akun, memakai autentikasi biometrik, seberapa sering pemulihan akun dibutuhkan, dan seterusnya
      Hanya data itu yang bisa merapikan perdebatan, dan juga memungkinkan setiap orang mengambil kesimpulan berbeda sesuai situasinya masing-masing
      Google punya sebagian besar data seperti ini. Jika ingin mendukung klaimnya, mereka harus membukanya ke publik
    • “Autentikasi perangkat yang lemah”? Saya kira ponsel zaman sekarang semuanya sudah punya pemindai sidik jari atau pengenalan wajah
  • 1Password baru-baru ini mengaktifkan dukungan Passkey, dan saya “terkejut” ketika mengetahui tidak ada cara untuk mengekspornya ke luar 1Password
    Tidak disertakan dalam ekspor format 1PUX, maupun CSV
    Artinya, secara harfiah tidak bisa dicadangkan. Jika 1Password down, perusahaannya tutup, atau terjadi hal serupa, Passkey akan hilang begitu saja. Sama sekali tidak ada cara untuk memulihkannya

    • Saat ini tidak ada pemain besar di bidang Passkey yang mendukung ekspor atau impor Passkey. Sebab belum ada spesifikasi yang disepakati untuk melakukannya dengan aman, dan tidak ada yang ingin mengizinkan ekspor plaintext Passkey
      Lihat tulisan AMA 1Password Passkey terbaru tentang topik ini:
      https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
      Soal jika 1Password berhenti beroperasi, baik kata sandi maupun Passkey juga disimpan secara lokal saat disinkronkan ke perangkat. Jika karena alasan apa pun Anda tidak bisa mengakses 1Password, Anda tetap dapat mengakses semua item di dalam vault, hanya saja tidak bisa menyinkronkannya antarperangkat
    • Bukankah itu memang tujuan Passkey? Membuatnya tidak bisa ditangani langsung oleh pengguna agar tidak dicuri lewat serangan rekayasa sosial
      Alih-alih memindahkan Passkey antarperangkat, semestinya dilihat sebagai struktur seperti kunci SSH: membuat Passkey berbeda untuk tiap perangkat dan mendaftarkan semuanya ke layanan terkait
      Tentu saja pengguna masih bisa ditipu untuk menambahkan Passkey milik penyerang ke akunnya
    • Saya pernah berbicara dengan ibu saya sambil menyarankan beliau untuk beralih, tetapi beliau takut mengganti penyedia internet karena emailnya terikat ke penyedia internet
      Di mobile masalah ini sudah diselesaikan beberapa tahun lalu, tetapi email masih berantakan. Pelajarannya: jangan pernah bergantung pada satu pihak
    • Apakah ada password manager pihak ketiga yang di-host sendiri yang benar-benar menyediakan implementasi Passkey yang kompatibel dengan ekspor dan backup yang aman?
    • Dukungan Passkey 1Password terasa seperti growth hacking yang cukup agresif
      Ia mencegat pemanggilan window.credentials, dan jika ingin memakai metode verifikasi lain seperti Yubikey bersama 1Password, Anda harus masuk ke pengaturan dan mematikan seluruh fitur Passkey
      Ini juga mirip dengan cara mencegat prompt Google One Tap lalu menonaktifkannya secara global untuk menampilkan prompt OAuth miliknya sendiri. Saya hanya memakai ekstensi Chrome, jadi tidak tahu apakah pengalaman aplikasi native sangat berbeda
  • Dari sisi pengguna, saya masih belum paham
    Kalau rumah terbakar atau semacamnya sehingga semua perangkat yang sedang login ke Google rusak, apa yang terjadi? Bagaimana bisa login lagi ke akun?

    • Hal seperti itu benar-benar terjadi pada keluarga dari pihak pasangan saya. Ponselnya jatuh di tangga, layarnya pecah dan tidak lagi merespons
      Saya memberikan ponsel lama, dan SIM berhasil dipindahkan, tetapi kami sama sekali tidak bisa login ke akun Google. Sebab Google terus-menerus bersikeras menyuruh “gunakan ponsel”. Laptopnya juga sudah logout dari email
      Untungnya, karena kejadian lama, saya punya token cadangan, jadi masalahnya terselesaikan. Saya tidak tahu bagaimana orang lain akan mengatasinya
    • Saya tidak tahu bagaimana Google menyelesaikan ini, tetapi ada solusi lama: Shamir's Secret Sharing
      Kunci dibagi menjadi M bagian, dan diperlukan N bagian di antaranya untuk merekonstruksinya. Misalnya 3/8 berarti kunci dapat dipulihkan hanya dengan 3 dari 8 bagian. Tiap bagian dipercayakan kepada orang-orang tepercaya, lalu saat pemulihan, bagian diminta dari setidaknya 3 orang di antaranya untuk menghidupkan kembali kunci
      Ketika saya mengimplementasikannya dalam demo YC bernama multipasskey, pengguna diminta memilih kontak tepercaya, lalu potongan kunci dikirim kepada mereka di background. Jika perlu pemulihan, pengguna memintanya kepada mereka, dan setelah menerima cukup potongan, kunci perangkat direkonstruksi. Setelah kunci perangkat tersedia, backup kunci terenkripsi diunduh dari server jarak jauh dan dipulihkan seperti baru
      Pada 2017/2018 saya mendaftar ke YC dengan proyek ini bernama multipasskey sebagai demo yang berfungsi, tetapi ditolak. Saya rasa mungkin saya tidak menjelaskannya dengan baik
    • Sebagai tambahan, cukup buruk bahwa artikel ini tidak menautkan ke FAQ yang menjawab pertanyaan non-teknis mendasar
      Dari sudut pandang teknisi, saya menduga maksudnya adalah kita perlu menitipkan perangkat cadangan kepada teman, atau menyimpan Passkey juga di akun Apple/Microsoft/password manager
      Namun Google perlu menjelaskannya lebih rinci
    • Saya benar-benar pernah mengalami kebakaran. Berkat pemilik rumah yang menyelamatkan ponsel saya, hanya itu yang tersisa dan semua barang milik saya hilang. Kalau tidak, saya akan benar-benar terkunci karena semua aplikasi TOTP ada di sana
      Dan jangan sampai kehilangan nomor telepon. Meski punya username, kata sandi, dan email pemulihan, Anda tidak bisa masuk kembali ke akun Google jika tidak bisa menerima kode SMS
    • Passkey adalah teknologi baru, dan pengguna, penyedia layanan, serta organisasi semuanya akan membutuhkan waktu untuk belajar dan beradaptasi
      Selama masa transisi ini, pendekatan yang disarankan adalah menyediakan Passkey sebagai alternatif untuk metode yang sudah ada. Google dan banyak penyedia layanan melakukannya seperti itu
      Namun pertanyaan yang diajukan sekarang adalah masalah pemulihan akun yang harus ditanyakan semua orang, bahkan tanpa Passkey. Harus ada rencana tentang bagaimana login jika lupa kata sandi, tidak bisa mengakses password manager, atau kehilangan perangkat autentikasi kedua. Penerapan Passkey tidak sepenuhnya menghilangkan kebutuhan memikirkan pemulihan akun
      Meski begitu, ada kasus khusus ketika Passkey lebih baik untuk pemulihan akun. Jika membuat Passkey untuk akun Google di perangkat Apple yang memakai iCloud Keychain, Passkey itu akan disinkronkan ke iCloud. Jadi meski rumah terbakar dan semua perangkat hilang, selama masih bisa mengakses akun iCloud, Anda dapat mendapatkan kembali Passkey untuk akun Google dan situs web lain
      Tentu saja pertanyaan “bagaimana jika kehilangan akses ke akun Apple iCloud?” tetap valid. Jadi masalah pemulihan akun tidak sepenuhnya hilang, tetapi dalam banyak kasus Passkey dapat menguranginya cukup banyak
  • Di sini ada paradoks Simpson
    Secara rata-rata, ini bisa meningkatkan keamanan. Karena mayoritas pengguna memakai kata sandi dengan sangat buruk
    Namun bagi pengguna mahir yang memakai kata sandi dengan aman, jika dipaksakan, keamanannya justru turun drastis
    Autentikasi dua faktor wajib lewat nomor telepon juga punya efek yang sama. Dalam kasus Big G, autentikasi dua faktor wajib lewat nomor telepon adalah kebijakan anti-anonimitas yang dikemas sebagai keamanan. Dalam kasus ini, tampaknya seperti upaya memperoleh data biometrik

    • Pernyataan “autentikasi dua faktor wajib lewat nomor telepon adalah kebijakan anti-anonimitas yang dikemas sebagai keamanan” bisa berarti keduanya. Bahkan, sangat mungkin memang begitu
      Nomor telepon adalah identitas jangka panjang terbaik yang dimiliki kebanyakan orang, dan Google harus mendukung pemulihan akun bagi miliaran pengguna pada skala yang tidak masuk akal
      Banyak orang kehilangan kata sandi dan perangkat, tetapi sangat sedikit yang kehilangan nomor telepon
      Jadi masuk akal bila Google memakai nomor telepon untuk menetapkan dan mendelegasikan identitas di platformnya. Buruk untuk privasi, tetapi sangat baik untuk keamanan karena membuat data dikendalikan melalui “kredensial” autentikasi pihak ketiga yang tidak perlu dikelola sendiri oleh pengguna
    • Mengapa keamanan turun drastis jika pengguna mahir memakai kata sandi dengan aman? Karena perangkat bisa dicuri dan PIN bisa ditebak? Kalau mau, bukankah bisa memakai kata sandi panjang alih-alih PIN?
      Dan bagian ini saya tidak sepenuhnya yakin, jadi semoga ada yang tahu bisa mengoreksi. Meski mengasumsikan pengguna mahir yang kebal terhadap kata sandi lemah, penggunaan ulang, dan phishing, saya memahami ada satu keunggulan keamanan. Sekalipun Google Passkey bocor, yang bocor hanya kunci publik, dan karena kunci publik tidak bisa dipakai untuk login, kebocoran itu hampir tidak berguna
    • Data biometrik dipakai untuk membuka penyimpanan kunci di perangkat lokal, yang berisi kunci privat. Dari situ kunci publik bisa diturunkan, dan inti Passkey adalah pasangan kunci publik/kunci privat yang dipakai untuk memverifikasi login situs web
      Jika Google memang mengumpulkan data biometrik, mereka sudah melakukannya sejak lama, dan itu tidak terkait dengan fitur ini
      Detail yang sangat mendasar dari model keamanan ini sudah benar sejak lama, sejak masa iPhone mulai memakai Secure Enclave. Saya tidak tahu mengapa orang-orang di situs ini begitu yakin berbicara tentang sesuatu yang sama sekali tidak mereka pahami, dan jujur saja saya terkejut
      Passkey secara moral setara dengan memakai kunci SSH alih-alih kata sandi SSH saat login ke server, hanya saja diterapkan ke situs web. Selain itu, secara objektif ada fakta sederhana yang tidak bisa digantikan oleh gagasan “memakai kata sandi dengan aman”. Passkey secara harfiah tahan phishing
    • Passkey tidak bergantung pada Google atau Apple. Seperti yang dibutuhkan perusahaan dan pemerintah, Anda bisa memiliki penyimpan atau pengelola milik sendiri
  • Mengejutkan bahwa ini sudah didorong secepat ini. Bahkan per minggu lalu, implementasinya masih punya cukup banyak bagian kasar, jadi saya menonaktifkannya di tenant Workspace saya
    Dua hal yang paling menyebalkan adalah Advanced Protection belum mendukung Passkey sehingga untuk sementara harus tetap memakai U2F, dan jika akun memiliki kunci U2F yang disiapkan, Google lebih dulu mengarahkan untuk memakainya sebagai Passkey, lalu karena itu bukan Passkey, meminta login dengan kata sandi
    Akibatnya, orang yang memakai autentikasi multifaktor tahan phishing kehilangan fitur untuk membuat perangkat “mengingat” langkah autentikasi multifaktor. Karena Google selalu meminta faktor autentikasi U2F sebelum kata sandi
    Terlepas dari itu, saat bersiap menerapkan login tanpa kata sandi berbasis Okta untuk beberapa pelanggan kecil, saya sudah banyak menguji alur FIDO2 dengan security key dan Passkey di berbagai jenis perangkat dan platform. Saya secara umum menyukai alur autentikasinya sendiri, tetapi ada banyak jebakan yang perlu diperhatikan
    Saya menghabiskan cukup banyak waktu untuk merapikan jalur normal, membuat materi onboarding, dan mendokumentasikan skenario kesinambungan bisnis. Kasus penggunaan pribadi dalam beberapa hal lebih sulit, karena harus memikirkan tiap layanan, bukan satu IdP tunggal
    Jika harus mendukung banyak lingkungan, jalan mudah saat ini adalah berinvestasi pada 1Password atau pengelola kata sandi lain yang mendukung Passkey. Itu memberikan pengalaman pengguna paling konsisten dan bekerja di sebagian besar platform, tetapi masih ada masalah di Android 14
    Untuk akun berprivilege tinggi, kami akan tetap memakai kunci hardware, jadi admin menerima sepasang kunci FIDO2. Yang lain mendapat satu Yubikey, yang berfungsi sebagai cadangan saat kehilangan akses perangkat atau harus login dari perangkat yang tidak tepercaya. Android juga menjadi masalah di sini. Bahkan di 14, tampaknya belum mendukung alur FIDO2 tanpa kata sandi

    • Mengapa Android akan mendukungnya? Passkey memberi Google satu kesempatan lagi untuk mengikat pelanggan dalam lock-in
  • Arah yang menarik. Namun perlu dicatat bahwa data biometrik seperti sidik jari atau pengenalan wajah sebenarnya bukan “rahasia”
    Itu bisa diamati atau dimanfaatkan tanpa sepengetahuan atau persetujuan pengguna, dan dalam banyak hal berperilaku lebih seperti nama pengguna daripada kata sandi

    • Kata sandi pun menurut definisi dibagikan, jadi tidak sepenuhnya rahasia. Passkey memakai kriptografi kunci publik, dan lebih aman dalam segala aspek
    • Bukankah seseorang harus punya akses fisik ke perangkat sekaligus sidik jari atau wajahnya?
    • Passkey itu sendiri bukan autentikasi biometrik. Misalnya, menggunakan TouchID bukan berarti Google mengautentikasi pengguna dengan sidik jari
      Sidik jari hanya membuka pasangan kunci kriptografis yang akan dipakai untuk autentikasi
      Saya memakai Yubico Security Key sebagai Passkey, dan dilindungi PIN 6 digit. PIN itu hanya ada secara lokal di perangkat, dan tujuannya mencegah orang yang memegang perangkat secara fisik langsung login. Jika PIN salah 10 kali berturut-turut, kuncinya terhapus
      Saat PIN dimasukkan, kunci terbuka, dan kunci itulah yang membuat akun Google bisa diakses
  • Sebagian besar akun yang memiliki kata sandi punya pengaman berupa “buktikan identitas ke perusahaan, maka mereka akan meresetnya”. Misalnya, jika tidak ingat kata sandi bank, ada jalur bagi bank untuk meresetnya
    Untuk hal-hal yang dikendalikan Google, sama sekali tidak ada cara untuk menghubungi mereka guna menyelesaikan masalah. Ini sudah menjadi masalah di semua produk Google
    Mengunci semua akses di balik pintu yang dikendalikan Google berarti menyiapkan sendiri mimpi buruk masa depan

  • Sayang sekali belum bisa menyimpan Passkey di Bitwarden. Namun menurut pesan di bagian atas halaman ini, sepertinya akan hadir pada Oktober
    https://bitwarden.com/blog/bitwarden-passkey-management/