Fitur baru Microsoft "Passwordless by default" memang bagus, tetapi ada biayanya

baeba · 2025-05-07T10:16:40+09:00

Microsoft memperkenalkan pendekatan menerapkan login tanpa kata sandi (passkey) sebagai default untuk akun baru, tetapi dalam praktiknya ada batasan bahwa pemasangan aplikasi Microsoft Authenticator wajib dilakukan. Passkey adalah metode autentikasi generasi berikutnya yang tahan terhadap phishing dan kebocoran, serta berdasarkan standar WebAuthn (FIDO2), dan bekerja dengan pasangan kunci publik/pribadi. Kebijakan ini memang memperkuat keamanan, tetapi struktur yang bergantung pada aplikasi tertentu dapat sedikit mengurangi pengalaman pengguna dan manfaat keamanannya. 1. Kebijakan Microsoft tentang “login default tanpa kata sandi” Mulai 2025, Microsoft mengadopsi passkey sebagai metode login default untuk akun Microsoft baru. Pengguna lama juga akan diarahkan untuk mendaftarkan passkey saat login. Tujuan: Mengurangi ancaman keamanan dan beban pengguna yang muncul dari pembuatan serta pengelolaan kata sandi. Mencoba mengatasi serangan password spray dan masalah kebocoran. 2. Gambaran teknis dan cara implementasinya Apa itu passkey? Autentikasi dilakukan melalui pasangan kunci publik/pribadi yang dibuat berdasarkan WebAuthn (FIDO2). Kunci pribadi disimpan di perangkat pengguna (ponsel, PC, Yubikey, dan sebagainya) dan tidak bocor ke luar. Secara mendasar tahan terhadap phishing, penggunaan ulang kata sandi, dan kebocoran. Cara kerjanya: Situs mengirim “challenge” berbasis bilangan acak → authenticator di perangkat menandatangani → server memverifikasi dengan kunci publik. Karena kunci terikat pada URL terkait, kunci itu tidak bisa digunakan ulang di situs phishing. 3. Batasan dan kendala Masalahnya: meskipun passkey sudah diatur, tanpa aplikasi Microsoft Authenticator, penghapusan kata sandi sepenuhnya tidak dimungkinkan. Authy, Google Authenticator, dan lainnya tidak kompatibel. Ini pada dasarnya memaksa pengguna untuk menginstal aplikasi tertentu, yang bertentangan dengan klaim “passwordless secara default”. Implikasi keamanan: Jika kata sandi masih tetap ada, sebagian manfaat keamanan dari passkey akan hilang. WebAuthn masih terus berkembang saat ini, dan masih ada kekurangan dari sisi kegunaan.

(arstechnica.com)

1 poin oleh baeba 2025-05-07 | Belum ada komentar. | Bagikan ke WhatsApp

Microsoft memperkenalkan pendekatan menerapkan login tanpa kata sandi (passkey) sebagai default untuk akun baru, tetapi dalam praktiknya ada batasan bahwa pemasangan aplikasi Microsoft Authenticator wajib dilakukan.
Passkey adalah metode autentikasi generasi berikutnya yang tahan terhadap phishing dan kebocoran, serta berdasarkan standar WebAuthn (FIDO2), dan bekerja dengan pasangan kunci publik/pribadi.
Kebijakan ini memang memperkuat keamanan, tetapi struktur yang bergantung pada aplikasi tertentu dapat sedikit mengurangi pengalaman pengguna dan manfaat keamanannya.

1. Kebijakan Microsoft tentang “login default tanpa kata sandi”

Mulai 2025, Microsoft mengadopsi passkey sebagai metode login default untuk akun Microsoft baru.
Pengguna lama juga akan diarahkan untuk mendaftarkan passkey saat login.
Tujuan:
- Mengurangi ancaman keamanan dan beban pengguna yang muncul dari pembuatan serta pengelolaan kata sandi.
- Mencoba mengatasi serangan password spray dan masalah kebocoran.

2. Gambaran teknis dan cara implementasinya

Apa itu passkey?
- Autentikasi dilakukan melalui pasangan kunci publik/pribadi yang dibuat berdasarkan WebAuthn (FIDO2).
- Kunci pribadi disimpan di perangkat pengguna (ponsel, PC, Yubikey, dan sebagainya) dan tidak bocor ke luar.
- Secara mendasar tahan terhadap phishing, penggunaan ulang kata sandi, dan kebocoran.
Cara kerjanya:
- Situs mengirim “challenge” berbasis bilangan acak → authenticator di perangkat menandatangani → server memverifikasi dengan kunci publik.
- Karena kunci terikat pada URL terkait, kunci itu tidak bisa digunakan ulang di situs phishing.

3. Batasan dan kendala

Masalahnya: meskipun passkey sudah diatur, tanpa aplikasi Microsoft Authenticator, penghapusan kata sandi sepenuhnya tidak dimungkinkan.
- Authy, Google Authenticator, dan lainnya tidak kompatibel.
- Ini pada dasarnya memaksa pengguna untuk menginstal aplikasi tertentu, yang bertentangan dengan klaim “passwordless secara default”.
Implikasi keamanan:
- Jika kata sandi masih tetap ada, sebagian manfaat keamanan dari passkey akan hilang.
WebAuthn masih terus berkembang saat ini, dan masih ada kekurangan dari sisi kegunaan.

Fitur baru Microsoft "Passwordless by default" memang bagus, tetapi ada biayanya

1. Kebijakan Microsoft tentang “login default tanpa kata sandi”

2. Gambaran teknis dan cara implementasinya

3. Batasan dan kendala

Bacaan terkait

Belum ada komentar.