Ilustrasi. Foto: realdigitalsuccess.com
Ilustrasi. Foto: realdigitalsuccess.com
Cyberthreat.id – Google pekan lalu baru saja mengenalkan login dengan kunci sandi (passkey) ke Android dan Google Chrome.
Langkah tersebut menjadi terobosan karena pengguna menggunakan sistem autentikasi bawaan ponsel atau komputer, bukan lagi kata sandi (password) jadul.
Saat ini perusahaan sedang menguji coba dan bakal tersedia untuk umum pada akhir 2022, tulis Google di halaman Security Google Blog, diakses Senin (18 Oktober 2022).
Kunci sandi adalah alternatif kata sandi yang diklaim Google lebih aman karena disimpan di perangkat. Namun, Google mencadangkannya di cloud jika perangkat hilang.
“Anda tinggal memverifikasi identitas Anda ke perangkat, kemudian masuk ke situsweb dan layanan yang digunakan tanpa bergantung lagi pada kata sandi,” demikian dikutip dari The Verge.
Kunci sandi juga diklaim sulit dicuri oleh peretas dengan cara yang sama ketika menyerang kata sandi. Sebab, penggunaannya bergantung pada perangkat fisik—jadi, ini menggabungkan keamanan 2FA perangkat keras dengan penggunaan ponsel.
Selain dukungan kunci sandi, perusahaan juga bakal menganti metode autentikasi dua faktor (2FA) seperti teks dan kode OTP menjadi berbasis aplikasi atau persetujuan berbasis push.
Google mengatakan, kunci sandi tunggal bisa dipakai untuk mengidentifikasi akun pengguna di beberapa layanan online. “Dari sudut pandang pengguna, menggunakan passkey sangat mirip dengan kata sandi yang disimpan,” ujar Google.
Kunci sandi menggunakan kriptografi kunci publik sehingga pelanggaran data penyedia layanan tidak mengakibatkan peretasan terhadap akun yang dilindungi kunci sandi. Di sisi lain, passkey juga tidak mudah terkena serangan phishing karena didasarkan pada API dan protokol standar industri.
Meski dasar utama kunci sandi adalah kunci pribadi kriptografis, “Ketika kunci sandi dibuat, hanya kunci publik terkait yang disimpan oleh layanan online,” tutur Google.
Saat Anda masuk dengan kunci sandi, Anda akan ditanya akun mana yang ingin Anda gunakan untuk masuk. Setelah memilih, Anda akan diminta untuk memindai sidik jari, memasukkan PIN, atau mengotentikasi diri sendiri seperti yang Anda lakukan untuk membuka kunci ponsel. Foto: Google
Selama login, layanan menggunakan kunci publik untuk memverifikasi tanda tangan dari kunci pribadi. Ini hanya dapat berasal dari salah satu perangkat pengguna. Selain itu, pengguna juga diharuskan untuk membuka kunci perangkat atau kredensial untuk mencegah sesesorang login ketika ponsel dicuri.
Sementara itu, di Android, Google Password Manager akan menyediakan pencadangan dan sinkronisasi kunci sandi.
“Artinya, jika pengguna menyiapkan dua perangkat Android dengan Akun Google yang sama, kunci sandi yang dibuat di satu perangkat akan tersedia di perangkat lainnya,” kata Google.
Hal itu bisa diterapkan ke beberapa perangkat secara bersamaan, misal, ponsel dan tablet; atau dari ponsel Android lama ke ponsel baru.
Google mengingatkan, untuk membuat atau menggunakan kunci sandi yang disimpan di Google Password Manager memerlukan kunci layar yang harus disiapkan. “Ini mencegah orang lain menggunakan kunci sandi meskipun mereka memiliki akses ke perangkat pengguna,” perusahaan menambahkan.
Lintas platform
Yang menarik adalah sistem kunci sandi kompatibel dengan lintas platformnya. Kunci sandi yang disimpan di ponsel dapat digunakan untuk mengotorisasi login web di perangkat terdekat lainnya.
Pendek kata, pemilik ponsel Android dapat masuk ke situs web yang mendukung kunci sandi dari Safari di Mac, tulis The Verge.
Nantinya, pengguna perlu melakukan pemindaian kode QR yang ditampilkan oleh situsweb desktop dan mengonfirmasi di telepon bahwa opsi masuk kunci sandi harus digunakan.
Kompatibilitas lintas platform ini dimungkinkan karena teknologi passkey dibangun di atas standar industri bersama yang dikenal: FIDO2 dan Otentikasi Web Level 3.[]
Share:
