- Teknologi yang belum siap untuk digunakan secara luas: teknologi passkey elegan, tetapi masih kurang aman untuk benar-benar digunakan
- Menarik perhatian sebagai alternatif kata sandi, dan dianggap sebagai pertahanan yang kuat terhadap phishing serta peretasan basis data
- Spesifikasi FIDO2 dan WebAuthn memang elegan, tetapi pengalaman pengguna masih kompleks
- Ratusan situs serta sistem operasi dan browser utama mendukung passkey, tetapi cara implementasi tiap platform dan alur kerja yang tidak konsisten menurunkan kegunaan
- Misalnya, bahkan di situs yang sama, pengalaman login di iOS dan Android berbeda, dan pada beberapa browser bahkan tidak didukung sama sekali
- Setiap platform memaksakan opsi sinkronisasi passkey miliknya sendiri, sehingga pengguna sulit memilih opsi lain
- Implementasi passkey seharusnya memudahkan pengguna, tetapi saat ini belum demikian
- Masalah ini dapat diatasi dengan menyinkronkan passkey melalui pengelola keamanan seperti 1Password, tetapi hal itu justru melemahkan tujuan utama passkey sebagai autentikasi tanpa kata sandi.
- Selain itu, sebagian besar pengguna masih belum menggunakan pengelola kata sandi
- Di antara situs yang mendukung passkey, tidak ada yang sepenuhnya menghapus kata sandi
- Autentikasi MFA berbasis SMS masih rentan, dan itu mengurangi keamanan passkey
- Dalam lingkungan perusahaan, passkey bisa menjadi alternatif untuk kata sandi dan aplikasi autentikator
Usulan
- Gunakan pengelola keamanan: sinkronkan passkey melalui alat seperti 1Password dan aktifkan MFA untuk memperkuat keamanan
- Prioritaskan MFA: jika memungkinkan, gunakan security key atau aplikasi autentikator untuk mengaktifkan autentikasi multi-faktor
- Pertimbangkan adopsi passkey: passkey pada akhirnya menjanjikan, tetapi untuk saat ini kata sandi dan pengelola keamanan masih tetap penting
Kesimpulan
- Passkey sangat mungkin menyelesaikan masalah keamanan kata sandi, tetapi pada saat ini belum menjadi alternatif yang sempurna karena keterbatasan teknis dan masalah kegunaan
- Kemungkinan besar akan terus membaik di masa depan, tetapi untuk saat ini pendekatan paling rasional adalah tetap memakai metode autentikasi yang ada secara berdampingan.
2 komentar
Saya juga menyimpan dan menggunakan passkey di Bitwarden.
Melihat dari fakta bahwa kita bisa mendaftarkan nama satu per satu, sepertinya ini bukan teknologi yang dibuat dengan asumsi cukup membuat satu passkey lalu menyinkronkannya untuk dipakai. Rasanya tujuan utamanya adalah membuat satu untuk tiap perangkat, tapi jujur saja itu merepotkan.
Komentar Hacker News
Di suatu alam semesta paralel, ada hukum yang mewajibkan semua produsen perangkat komputasi menyediakan tempat penyimpanan agar pengguna bisa mencolokkan kredensial keamanan mereka. Pendekatan passkey saat ini dirancang berdasarkan model imajiner di mana pengguna sepenuhnya tenggelam dalam satu ekosistem.
Passkey pada awalnya dimaksudkan sebagai autentikasi menggunakan hardware key seperti yang diinginkan Yubico, tetapi Apple, Google, dan Microsoft lebih memilih autentikasi yang bekerja seperti sulap melalui OS.
Vendor OS ingin pengguna tidak memakai software atau hardware di luar OS, dan mendorong mereka untuk menggunakan passkey berbasis cloud.
Kondisi masa depan yang ideal adalah bisa memilih penyedia untuk kredensial yang baru didaftarkan dari pengaturan browser.
TOTP juga mengalami masalah serupa, dan banyak penyimpanan passkey tidak mengizinkan ekspor. Bitwarden menjadi pengecualian karena bisa mengekspor passkey.
Peralihan dari password ke passkey adalah perubahan besar dalam model keamanan internet modern, jadi wajar jika orang-orang bersikap hati-hati dan memiliki pendapat yang terpecah.
Sebagai salah satu dari sedikit pengguna yang menyukai passkey, saya membuat passkey di iCloud Keychain dan 1Password. Saya rasa fitur ekspor/impor yang lebih baik dibutuhkan.
Passkey adalah black box yang tidak terlihat, dan pengguna biasa tidak bisa mencadangkannya. Implementasinya masih belum matang dan permukaan serangannya lebih besar.
Fido kekurangan dukungan dari website/framework/library, dan saya menganggap passkey sebagai produk yang gagal. Karena masalah kegunaan, saya tidak bisa mempercayai passkey.
Sebagai pengguna teknis, saya berhenti menggunakan Google karena durasi sesi autentikasi passkey terlalu pendek. Terlalu merepotkan karena harus terlalu sering melakukan autentikasi ulang.