Passkey Masih Bermasalah

 (fy.blackhats.net.au)
7 poin oleh GN⁺ 2025-12-19 | 4 komentar | Bagikan ke WhatsApp
  • Pada 2025, passkey masih menyisakan masalah pengalaman pengguna dan ketergantungan pada vendor, meski terus dibahas dari sisi keamanan dan kemudahan
  • FIDO Credential Exchange yang baru diperkenalkan memang memungkinkan perpindahan antar penyedia, tetapi masalah friksi lintas platform dan fragmentasi masih tetap ada
  • Risiko tidak bisa dibackup dan terkunci oleh pengelola platform seperti Apple, Google, Microsoft masih berlanjut, dan desain UI yang membatasi pilihan pengguna juga dikritik
  • Konsep passkey yang sulit dipahami serta komunikasi layanan yang menimbulkan salah paham menurunkan kepercayaan pengguna umum
  • Untuk melindungi akun penting, penggunaan Credential Manager yang bisa dikendalikan sendiri dan hardware key seperti Yubikey menjadi penting

Ringkasan TL;DR

  • Passkey masih memiliki kekurangan, dan pengguna perlu memahaminya lalu memakainya sesuai kebutuhan masing-masing
    • Hanya mengandalkan Credential Manager dari penyedia platform (Apple, Google, Microsoft) membawa risiko tidak bisa dibackup dan akun terkunci
    • Disarankan memakai Credential Manager yang bisa dibackup seperti Bitwarden, Vaultwarden
    • Perlu sinkronisasi berkala ke Credential Manager eksternal melalui FIDO Credential Exchange
    • Untuk akun penting seperti email, gunakan Yubikey sebagai penyimpanan passkey, dan pertahankan kata sandi kuat + TOTP sebagai sarana pendukung
    • Jika akses ke Credential Manager hilang, jalur pemulihan harus diperiksa sebelumnya

Perubahan dalam 1 tahun terakhir

  • Perubahan utama adalah adopsi spesifikasi FIDO Credential Exchange
    • Ini memungkinkan pemindahan kredensial antar penyedia passkey
  • Namun, friksi antar platform dan keterputusan ekosistem masih tetap ada
    • Passkey di perangkat yang berbeda bisa menjadi terfragmentasi, dan pengguna mungkin tidak menyadarinya
    • Passkey di perangkat Apple tidak bisa disinkronkan ke perangkat non-Apple, sementara Google dan Microsoft memungkinkan sebagian kasus
    • Pengguna Apple bisa merasakan ketergantungan yang lebih kuat
    Iklan

Konsep passkey yang sulit dipahami

  • Kata sandi mudah dipahami secara intuitif sebagai “sesuatu yang saya tahu”, dan SMS 2FA sebagai “sesuatu yang bisa saya terima”
  • Sebaliknya, passkey adalah faktor autentikasi yang tidak terlihat, yang tidak bisa diperiksa atau dicetak langsung oleh pengguna
  • Ada proses kepercayaan terhadap Credential Manager, tetapi passkey cenderung melewati tahap membangun kepercayaan itu
  • Bahkan pakar keamanan pun bisa bingung soal cara kerja passkey, menunjukkan tingginya hambatan pemahaman

Masalah ‘thought leadership’ dan edukasi pengguna

  • Sebagian tokoh industri berpendapat bahwa “belajar mengelola kata sandi adalah kegagalan industri”,
    tetapi kenyataannya passkey juga tetap menuntut pemahaman tentang Credential Manager
  • Pengguna yang lebih memilih kata sandi dan TOTP belum tentu karena arogan, melainkan bisa karena masalah kegunaan
  • Keyakinan bahwa passkey bisa berjalan tanpa edukasi pengguna adalah pandangan yang jauh dari realitas
  • Jika setelah benar-benar memahami passkey seseorang tetap memilih cara lain, maka passkey telah gagal bagi pengguna tersebut

Ketergantungan pada vendor yang masih ada

  • Meski FIDO Credential Exchange sudah ada, friksi dalam penggunaan nyata dan desain UI yang menggiring pilihan tetap meningkatkan biaya berpindah
  • Modal pembuatan passkey di Apple pada dasarnya mengarahkan pengguna ke Apple Keychain,
    sementara opsi lain seperti security key atau Android disembunyikan di ‘Other Options’
  • Pilihan pengguna tidak diingat, dan setiap kali kembali ke nilai bawaan
  • Google Chrome juga punya struktur serupa dan mengarahkan pengguna untuk tetap berada di ekosistem platform
  • Ini bukan sekadar soal lokasi penyimpanan, melainkan berujung pada ketergantungan di seluruh pengalaman pengguna

Kehilangan data di cloud keychain

  • Kasus passkey hilang dari Apple Keychain, atau tidak bisa dibuat maupun digunakan di perangkat Android, masih terus terjadi
  • Dalam beberapa kasus, bahkan reset perangkat tidak bisa memulihkan, sehingga akses ke akun pengguna benar-benar terblokir
  • Masalah seperti ini menyebabkan turunnya kepercayaan terhadap passkey
Iklan

Akun terkunci oleh vendor

  • Dalam kasus akun Apple terkunci, semua passkey ikut hilang dan tidak bisa dipulihkan
  • Kasus serupa juga ada di Google dan Microsoft
  • Satu tindakan pada satu akun saja bisa menimbulkan risiko hancurnya semua kredensial

Komunikasi layanan autentikasi yang memicu salah paham

  • Beberapa layanan menjelaskan seolah-olah “passkey mengirim data wajah atau sidik jari”
  • Padahal, data biometrik sebenarnya tidak keluar dari perangkat,
    tetapi pengguna umum bisa salah paham menjadi ‘wajah/sidik jari dikirim lewat internet’
  • Penjelasan seperti ini memicu ketidakpercayaan dan penolakan terhadap passkey
  • UI dari penyedia platform juga gagal menghilangkan salah paham tersebut

Layanan autentikasi yang membatasi pilihan pengguna

  • Beberapa situs web masih hanya mengizinkan satu passkey, atau
    memaksa passkey yang terikat pada platform saja melalui opsi authenticatorAttachment
  • Ini memblokir penggunaan security key atau Credential Manager non-platform
  • Beberapa situs bahkan mencoba mendaftarkan passkey secara otomatis saat login tanpa persetujuan sebelumnya, menunjukkan praktik yang tidak etis

Kesimpulan dan rekomendasi

  • Sebagian besar masalah berasal dari struktur pengelolaan passkey yang berpusat pada penyedia platform
  • Pengguna perlu memakai Credential Manager yang bisa mereka kendalikan sendiri untuk
    mengurangi risiko akun terkunci dan kehilangan data, serta melakukan backup rutin
  • Yubikey (firmware 5.7 atau lebih baru) dapat menyimpan hingga 150 passkey
    • Untuk sebagian akun, ini bisa menggantikan software Credential Manager
  • Karena akun email adalah inti dari jalur pemulihan,
    perlu memakai hardware key + kata sandi kuat + TOTP secara bersamaan dan menjaga backup offline
  • Platform seperti Apple dan Google perlu mengingat pilihan pengguna dan
    menyajikan pilihan security key maupun penyedia lain secara setara di UI
  • Pengembang perlu menghindari pemfilteran awal di WebAuthn API,
    dan baru melakukan pendaftaran passkey setelah memberi tahu pengguna dengan jelas
  • Prinsip utamanya adalah memastikan kendali pengguna dan persetujuan (consent)

Bacaan terkait

4 komentar

 
roxie 2025-12-19

Saya suka passkey,,
 
yeobi222 2025-12-19

Kalau pengguna tidak memahami struktur sistem keamanan, itu hanya akan memperbesar ketidakpercayaan.
Dari sisi kegunaan pun rasanya juga tidak bisa dibilang bagus.
 
koxel 2025-12-19

Saya pernah sekali menghapus Google Password Manager, lalu semua data hilang, dan setelah menerbitkannya ulang saya pindah ke Bitwarden..
 
GN⁺ 2025-12-19
Komentar Hacker News

  • Penulis masih salah paham tentang passkey. Banyak orang mengira jika passkey hilang maka tidak bisa dipulihkan, padahal kenyataannya sama seperti kehilangan kata sandi. Di sebagian besar layanan, reset kata sandi bisa dilakukan lewat email atau SMS. Namun, akun seperti Apple, Google, dan Facebook punya prosedur pemulihan yang rumit, jadi kode cadangan harus dicetak dan disimpan dengan aman. Selain itu, tetap dibutuhkan kata sandi terakhir untuk masuk ke password manager atau sarana eksternal seperti YubiKey

    • Saya penasaran apakah sebelum passkey diterapkan juga ada masalah akun terkunci di akun Apple dan Google. Saat ini passkey tidak bisa dicadangkan atau diekspor langsung oleh pengguna, dan akibat para insinyur keamanan hanya fokus pada pencegahan duplikasi kunci, miliaran orang terekspos pada risiko terkunci. Pendekatan seperti ini bisa memicu risiko regulasi
    • Apakah passkey bisa di-reset atau tidak bergantung pada implementasi penyedia layanan. Ada juga keluhan bahwa di beberapa tempat pemulihan hanya bisa dilakukan lewat telepon
    • Akun Apple dan Google menyimpan sebagian besar kata sandi dan passkey lainnya, jadi kehilangan akun ini adalah masalah yang jauh lebih serius
    • Passkey ada secara terpisah di tiap perangkat, dan tidak harus disetel di semua perangkat. Di perangkat lain, cukup masuk dengan kata sandi biasa

  • Ada dua hal yang saya harap bisa diperbaiki dari passkey.

    1. Meski hanya ada satu perangkat terdaftar, UI menampilkan opsi yang tidak perlu
    2. Akan lebih baik kalau sejak awal passkey punya portabilitas dan fleksibilitas seperti kunci SSH. Sekarang ketergantungan pada vendor terlalu kuat
    • Di Mac, tombol security key bisa ditekan lebih dulu untuk melewati tahap pemilihan
    • Opsi jangan disembunyikan; tampilkan abu-abu dan beri keterangan “tidak ada kunci terdaftar”. Dengan begitu pengguna bisa memahami penyebab masalahnya
    • Sistem passkey dirancang dengan tujuan anti-phishing, sehingga pengguna tidak boleh mengekspor kredensialnya sendiri. Akhirnya ini bermuara pada struktur vendor lock-in. Misalnya, untuk memakai passkey di Safari, iCloud Keychain wajib digunakan sehingga pemakaian lokal saja tidak dimungkinkan
    • Bagi pengguna yang tidak akrab dengan teknologi, passkey bisa menjadi pilihan yang baik. Namun, mereka tetap perlu dibantu agar kode pemulihan ditulis di kertas dan disimpan dengan aman

  • Melihat isu terkait KeePass, tekanan industri untuk mencegah pengguna melakukan ekspor kunci pribadi tampaknya makin besar. Arah seperti ini mengkhawatirkan
    Isu GitHub terkait

    • Saya adalah penulis komentar di isu itu. Menjadikan backup terenkripsi sebagai syarat default bukan berarti mencegah ekspor, justru membuat pengguna bisa mengendalikan kuncinya sendiri

  • Selama penyedia layanan memaksa cara penyimpanan passkey (hardware/software), atau memaksa MFA seperti Touch ID, saya tetap lebih memilih kombinasi kata sandi + TOTP

    • (1) sebenarnya sudah tidak mungkin. Layanan tidak bisa memaksa cara penyimpanan passkey
    • (2) itu bukan MFA melainkan lebih mirip verifikasi biometrik (liveness check). Hanya prosedur untuk membuktikan bahwa manusia benar-benar sedang login secara langsung
    • Dalam situasi darurat, tetap dibutuhkan cadangan berupa metode input manual. Pada akhirnya kembali ke bentuk yang mirip kata sandi

  • Saya tidak akan pernah memakai passkey karena vendor bisa mengunci pengguna. Terutama saat pengguna meninggal, masalah bahwa ahli waris tidak bisa mengakses menjadi sangat besar

    • Ada contoh kasus terkait: kasus kegagalan pemulihan Apple ID, diskusi HN
    • Beberapa password manager menyediakan rantai kepercayaan root offline. Misalnya, Emergency Kit milik 1Password memungkinkan ahli waris atau keluarga mengakses lewat kode pemulihan yang dicetak
    • Baik kata sandi maupun passkey, jika kebijakan vendor sama maka pembatasan aksesnya juga sama
    • Akan bagus jika kontrak seperti ini bisa diubah menjadi bentuk trust hukum, tetapi perusahaan kemungkinan tidak akan menyukainya
    • UI dark pattern yang memaksa pendaftaran passkey sangat menjengkelkan. Saya hanya memakainya untuk akun kantor, tetapi tetap terus diminta mendaftar. Sudah pakai SSO dan 2FA, jadi saya tidak paham kenapa masih harus passkey lagi

  • UX passkey berantakan. Bahkan tidak jelas berapa banyak yang aktif, dan kadang aplikasi autentikator malah melupakan passkey. Sangat membingungkan

  • Kombinasi Password + TOTP masih yang paling praktis. Pindah antarperangkat tinggal login ke Bitwarden. Sebaliknya, pada passkey, prosedur pemulihan saat perangkat hilang tidak jelas. Bahkan alasan passkey yang disetel di iPhone bisa bekerja di desktop Linux pun tidak terasa jelas. Ini hanya menguntungkan pengguna satu platform

    • Jika beberapa perangkat sudah didaftarkan atau disinkronkan, pemulihan memang mungkin, tetapi jika tidak maka tidak ada cara selain prosedur pemulihan akun. Pada akhirnya tidak lebih baik dari kata sandi

  • Pada akhirnya, passkey adalah desain yang terlalu rumit. Jika menerima lock-in, beberapa masalah memang berkurang, tetapi muncul batasan baru. TOTP adalah alternatif yang realistis

    • TOTP memang merepotkan, tetapi kendali tetap ada di tangan pengguna. Karena itu saya membuat sendiri ekstensi Chrome LazyOTP agar bisa dipakai sebagai autentikasi tunggal

  • Passkey adalah solusi yang sangat bagus bagi sebagian besar pengguna umum. Ini menghilangkan kerumitan pengelolaan kata sandi dan masalah penggunaan ulang, serta menyederhanakan proses login.
    Bahkan dari sudut pandang yang paham teknis, pengalaman login yang cepat dan mulus terasa jauh lebih baik

    • Namun, jika perangkat hilang atau rusak, akses ke semua akun bisa terblokir. Kata sandi di atas kertas tidak punya masalah seperti itu
    • Kelebihan terbesar passkey adalah daya tahan terhadap phishing. Kredensial tidak bisa dikirim ke domain yang salah
    • Namun, proses sinkronisasi kunci rahasia antara PC dan ponsel tidak jelas. Pada akhirnya ini tampak seperti struktur yang sepenuhnya mengikat ke ekosistem Apple
    • Sampai sekarang saya belum pernah melihat implementasi yang benar-benar mulus di berbagai platform

  • Saya sudah lebih dulu membangun password manager dan sistem 2FA, tetapi sekarang arus yang mendorong migrasi ke passkey membuat semua upaya itu terasa sia-sia. Saya tidak suka lingkungan teknologi yang justru merugikan orang yang sudah bersiap lebih dulu