Google telah mengumumkan bahwa penggunaan fitur passkeys akan segera tersedia di Android dan Chrome sebagai bagian dari upaya besar dari pabrikan mesin pencarian itu untuk mengantarkan masa depan tanpa kata sandi (password less future).

Secara konsep, passkeys  adalah kunci digital unik yang mudah digunakan, lebih aman, tidak pernah disimpan di server web, dan tetap ada di perangkat para penggunanya. Bagian terbaik dari penggunaan passkeys adalah fitur ini sangat aman, bahkan para hacker dan cracker dijamin tidak dapat mencuri passkeys dalam pelanggaran data atau mengelabui pengguna agar membagikannya. 

Verifikasi ID Wajah dan ID Sentuh memberi kamu kenyamanan dan biometrik yang dapat kami capai dengan iPhone. kamu tidak perlu membeli perangkat lain, tetapi kamu juga tidak perlu mempelajari kebiasaan baru.

Passkeys didasarkan pada apa yang disebut kriptografi kunci publik. Dengan menggunakan passkeys sebagai kunci pribadi, perangkatmu akan mendapatkan fitur pengamanan yang merupakan rahasia dan disimpan di perangkat yang kamu miliki, dan ada kunci publik yang masuk ke server web. Kunci sandi membuat phishing tidak mungkin dilakukan karena kamu tidak pernah menunjukkan kunci pribadi; kamu hanya mengotentikasi menggunakan perangkat kamu. 

Bahkan jika kamu kini menggunakan salah satu pengelola kata sandi terbaik untuk menghasilkan kata sandi yang kuat dan kompleks untuk setiap akun online  yang kamu milik, kamu masih bisa diretas. Hal ini dapat terjadi karena banyak layanan online menggunakan otentikasi dua faktor (2FA) untuk lebih mengamankan akun yang kamu miliki.

Masalah dengan 2FA atau bahkan otentikasi multi-faktor (MFA) adalah kenyataan bahwa peretas dapat menggunakan serangan man-in-the-middle berbasis SMS untuk mencuri kode sandi satu kali yang dikirim melalui teks untuk masuk ke akun yang kamu miliki. Ini dapat dilakukan dengan menyuap seseorang di wireless simcard milikmu melalui proses yang dikenal sebagai hijacking SIM.

Apa itu passkeys dan bagaimana cara kerjanya?

Image credit: MacRumours

Bagi mereka yang tidak terbiasa, kunci sandi adalah kunci digital unik yang merupakan alternatif yang lebih aman dan lebih aman daripada kata sandi tradisional karena tidak dapat digunakan kembali dan disimpan dalam format terenkripsi di perangkat yang kamu miliki.

Karena mereka tidak disimpan di server web di cloud, jika perusahaan pengelola menjadi korban pelanggaran data, kunci sandi milikmu tidak akan diekspos. Tidak seperti kunci keamanan, kamu tidak perlu membawa perangkat tambahan karena disimpan dengan aman di ponsel atau komputer kamu.

Kunci sandi didasarkan pada kriptografi kunci publik di mana kunci pribadi rahasia disimpan di perangkat yang kamu miliki sementara kunci publik disimpan di server web. Karena peretas tidak dapat dengan mudah mendapatkan akses ke kunci pribadi kamu, perangkat dan akun yang kamu miliki jauh lebih sulit untuk diretas.

Kamu dapat mencoba Kata Sandi di Google Pengelola Kata Sandi

Image credit: The Hacker News

Menurut posting blog baru (terbuka di tab baru) dari Google, Pengelola Kata Sandi Google mencadangkan dan menyinkronkan kunci sandi di Android. Jika kamu kebetulan memiliki dua perangkat Android – sebut saja salah satu ponsel Android terbaik dan salah satu tablet Android terbaik – kunci sandi yang dibuat di satu perangkat juga tersedia di perangkat lainnya. 

Kunci sandi di Google Pengelola Kata Sandi juga selalu dienkripsi end-to-end. Saat kunci sandi dicadangkan, kunci pribadinya dicadangkan menggunakan kunci enkripsi yang hanya dapat diakses dari perangkat kamu. Meskipun ini membantu melindungi kunci sandi dari peretas, ini juga mencegah Google mengaksesnya. 

Jika kamu ingin menggunakan kunci sandi di Google Pengelola Kata Sandi, kamu harus menyiapkan kunci layar di perangkat Android kamu terlebih dahulu. Ini dilakukan untuk mencegah orang lain yang mungkin memiliki akses ke ponsel cerdas kamu menggunakan salah satu kunci sandi kamu. 

Saat tiba waktunya untuk masuk, kamu dapat menggunakan kunci sandi yang tersimpan bersama dengan sidik jari, wajah, atau kunci layar kamu. Demikian juga, kamu juga dapat menggunakan kunci sandi di perangkat Android kamu untuk masuk ke situs di Chrome dengan desktop atau laptop kamu. Dalam skenario ini, kamu perlu menggunakan ponsel kamu untuk memindai kode QR di komputer kamu untuk masuk dengan aman.

Ponsel baru, tidak masalah

Karena kunci sandi disimpan di ponsel kamu, apa yang terjadi saat kamu ingin meningkatkan ke perangkat baru? Untungnya, saat kamu menyiapkan perangkat Android baru, kunci enkripsi end-to-end kamu ditransfer dengan aman saat kamu memindahkan aplikasi dan data lainnya ke perangkat tersebut.

Perlu dicatat bahwa dalam beberapa kasus seperti saat perangkat lama hilang atau rusak, kamu mungkin perlu memulihkan kunci enkripsi end-to-end dari cadangan online yang aman menurut Google. Untuk melakukan ini, kamu harus memberikan PIN, kata sandi, atau pola layar kunci dari perangkat lain yang memiliki akses ke kunci tersebut. Jika kamu perlu memulihkan kunci sandi di perangkat baru, kamu harus masuk ke Akun Google dan kunci layar perangkat yang ada.

Google juga mempersulit peretas untuk mencoba dan secara kasar memaksa PIN atau pola layar kunci kamu. Setelah 10 kali percobaan yang salah untuk menggunakan kunci layar pada perangkat yang ada, kunci layar tidak dapat digunakan lagi. Namun, kamu masih dapat menggunakan kunci layar dari perangkat lain yang ada.

Pindah ke masa depan tanpa kata sandi

Google beralih dari kata sandi bukanlah hal baru. Faktanya, Google, Microsoft, Apple, dan raksasa teknologi lainnya adalah anggota FIDO Alliance dan World Wide Web Consortium (W3C) yang telah bekerja untuk membantu mendorong adopsi stkamur otentikasi aman selama bertahun-tahun sekarang.

Namun, dengan diperkenalkannya kunci sandi di Android, Chrome, iOS dan macOS dan dengan rencana Microsoft untuk membawanya ke Windows dalam waktu dekat, kata sandi seperti yang kita ketahui akhirnya mungkin akan mati.