Passkey Masih Bermasalah

• Pada 2025, passkey masih menyisakan masalah pengalaman pengguna dan ketergantungan pada vendor, meski terus dibahas dari sisi keamanan dan kemudahan
• FIDO Credential Exchange yang baru diperkenalkan memang memungkinkan perpindahan antar penyedia, tetapi masalah friksi lintas platform dan fragmentasi masih tetap ada
• Risiko tidak bisa dibackup dan terkunci oleh pengelola platform seperti Apple, Google, Microsoft masih berlanjut, dan desain UI yang membatasi pilihan pengguna juga dikritik
• Konsep passkey yang sulit dipahami serta komunikasi layanan yang menimbulkan salah paham menurunkan kepercayaan pengguna umum
• Untuk melindungi akun penting, penggunaan Credential Manager yang bisa dikendalikan sendiri dan hardware key seperti Yubikey menjadi penting

Ringkasan TL;DR

• Passkey masih memiliki kekurangan, dan pengguna perlu memahaminya lalu memakainya sesuai kebutuhan masing-masing
  • Hanya mengandalkan Credential Manager dari penyedia platform (Apple, Google, Microsoft) membawa risiko tidak bisa dibackup dan akun terkunci
  • Disarankan memakai Credential Manager yang bisa dibackup seperti Bitwarden, Vaultwarden
  • Perlu sinkronisasi berkala ke Credential Manager eksternal melalui FIDO Credential Exchange
  • Untuk akun penting seperti email, gunakan Yubikey sebagai penyimpanan passkey, dan pertahankan kata sandi kuat + TOTP sebagai sarana pendukung
  • Jika akses ke Credential Manager hilang, jalur pemulihan harus diperiksa sebelumnya

Perubahan dalam 1 tahun terakhir

• Perubahan utama adalah adopsi spesifikasi FIDO Credential Exchange
  • Ini memungkinkan pemindahan kredensial antar penyedia passkey
• Namun, friksi antar platform dan keterputusan ekosistem masih tetap ada
  • Passkey di perangkat yang berbeda bisa menjadi terfragmentasi, dan pengguna mungkin tidak menyadarinya
  • Passkey di perangkat Apple tidak bisa disinkronkan ke perangkat non-Apple, sementara Google dan Microsoft memungkinkan sebagian kasus
  • Pengguna Apple bisa merasakan ketergantungan yang lebih kuat

Konsep passkey yang sulit dipahami

• Kata sandi mudah dipahami secara intuitif sebagai “sesuatu yang saya tahu”, dan SMS 2FA sebagai “sesuatu yang bisa saya terima”
• Sebaliknya, passkey adalah faktor autentikasi yang tidak terlihat, yang tidak bisa diperiksa atau dicetak langsung oleh pengguna
• Ada proses kepercayaan terhadap Credential Manager, tetapi passkey cenderung melewati tahap membangun kepercayaan itu
• Bahkan pakar keamanan pun bisa bingung soal cara kerja passkey, menunjukkan tingginya hambatan pemahaman

Masalah ‘thought leadership’ dan edukasi pengguna

• Sebagian tokoh industri berpendapat bahwa “belajar mengelola kata sandi adalah kegagalan industri”,
  tetapi kenyataannya passkey juga tetap menuntut pemahaman tentang Credential Manager
• Pengguna yang lebih memilih kata sandi dan TOTP belum tentu karena arogan, melainkan bisa karena masalah kegunaan
• Keyakinan bahwa passkey bisa berjalan tanpa edukasi pengguna adalah pandangan yang jauh dari realitas
• Jika setelah benar-benar memahami passkey seseorang tetap memilih cara lain, maka passkey telah gagal bagi pengguna tersebut

Ketergantungan pada vendor yang masih ada

• Meski FIDO Credential Exchange sudah ada, friksi dalam penggunaan nyata dan desain UI yang menggiring pilihan tetap meningkatkan biaya berpindah
• Modal pembuatan passkey di Apple pada dasarnya mengarahkan pengguna ke Apple Keychain,
  sementara opsi lain seperti security key atau Android disembunyikan di ‘Other Options’
• Pilihan pengguna tidak diingat, dan setiap kali kembali ke nilai bawaan
• Google Chrome juga punya struktur serupa dan mengarahkan pengguna untuk tetap berada di ekosistem platform
• Ini bukan sekadar soal lokasi penyimpanan, melainkan berujung pada ketergantungan di seluruh pengalaman pengguna

Kehilangan data di cloud keychain

• Kasus passkey hilang dari Apple Keychain, atau tidak bisa dibuat maupun digunakan di perangkat Android, masih terus terjadi
• Dalam beberapa kasus, bahkan reset perangkat tidak bisa memulihkan, sehingga akses ke akun pengguna benar-benar terblokir
• Masalah seperti ini menyebabkan turunnya kepercayaan terhadap passkey

Akun terkunci oleh vendor

• Dalam kasus akun Apple terkunci, semua passkey ikut hilang dan tidak bisa dipulihkan
• Kasus serupa juga ada di Google dan Microsoft
• Satu tindakan pada satu akun saja bisa menimbulkan risiko hancurnya semua kredensial

Komunikasi layanan autentikasi yang memicu salah paham

• Beberapa layanan menjelaskan seolah-olah “passkey mengirim data wajah atau sidik jari”
• Padahal, data biometrik sebenarnya tidak keluar dari perangkat,
  tetapi pengguna umum bisa salah paham menjadi ‘wajah/sidik jari dikirim lewat internet’
• Penjelasan seperti ini memicu ketidakpercayaan dan penolakan terhadap passkey
• UI dari penyedia platform juga gagal menghilangkan salah paham tersebut

Layanan autentikasi yang membatasi pilihan pengguna

• Beberapa situs web masih hanya mengizinkan satu passkey, atau
  memaksa passkey yang terikat pada platform saja melalui opsi authenticatorAttachment
• Ini memblokir penggunaan security key atau Credential Manager non-platform
• Beberapa situs bahkan mencoba mendaftarkan passkey secara otomatis saat login tanpa persetujuan sebelumnya, menunjukkan praktik yang tidak etis

Kesimpulan dan rekomendasi

• Sebagian besar masalah berasal dari struktur pengelolaan passkey yang berpusat pada penyedia platform
• Pengguna perlu memakai Credential Manager yang bisa mereka kendalikan sendiri untuk
  mengurangi risiko akun terkunci dan kehilangan data, serta melakukan backup rutin
• Yubikey (firmware 5.7 atau lebih baru) dapat menyimpan hingga 150 passkey
  • Untuk sebagian akun, ini bisa menggantikan software Credential Manager
• Karena akun email adalah inti dari jalur pemulihan,
  perlu memakai hardware key + kata sandi kuat + TOTP secara bersamaan dan menjaga backup offline
• Platform seperti Apple dan Google perlu mengingat pilihan pengguna dan
  menyajikan pilihan security key maupun penyedia lain secara setara di UI
• Pengembang perlu menghindari pemfilteran awal di WebAuthn API,
  dan baru melakukan pendaftaran passkey setelah memberi tahu pengguna dengan jelas
• Prinsip utamanya adalah memastikan kendali pengguna dan persetujuan (consent)