Information Technology

Passkeys: Cara Login Lebih Aman Tanpa Password (dan Kenapa Kamu Perlu Mulai Sekarang)

Passkeys makin banyak dipakai Google, Apple, dan Microsoft. Ini panduan praktis memahami cara kerja passkeys, keamanannya, dan cara mulai memakainya sehari-hari.

Admin

3 min read
Passkeys: Cara Login Lebih Aman Tanpa Password (dan Kenapa Kamu Perlu Mulai Sekarang)

Password itu seperti kunci rumah yang kamu fotokopi berkali-kali, lalu kamu taruh di banyak tempat. Selama kamu disiplin, aman-aman saja—tapi begitu satu salinan bocor (phishing, data breach, atau perangkat teman yang kamu pakai sekali), efek domino-nya bisa bikin panik.

Karena itu, beberapa tahun terakhir muncul pendekatan baru yang lebih masuk akal: passkeys. Banyak orang mengira ini cuma ‘password versi modern’, padahal konsepnya beda. Passkeys mencoba menghapus dua sumber masalah terbesar password: mudah ditebak/diulang dan mudah dicuri lewat phishing.

Apa itu passkeys (versi manusia)

Passkeys adalah metode login berbasis kriptografi kunci publik. Artinya, saat kamu mendaftar atau mengaktifkan passkeys di sebuah layanan, perangkatmu membuat sepasang kunci: satu private key yang disimpan aman di perangkat (atau di secure enclave/TPM), dan satu public key yang dikirim ke server.

Ketika login, server mengirim ‘tantangan’ (challenge). Perangkatmu menandatangani tantangan itu menggunakan private key, lalu server memverifikasi dengan public key. Kamu membuktikan kepemilikan—tanpa pernah mengirim password apa pun.

Kenapa passkeys lebih aman daripada password + OTP

Password + OTP (SMS atau aplikasi autentikator) memang lebih baik daripada password saja, tetapi masih punya celah. Passkeys menutup banyak celah itu dengan cara yang cukup elegan.

  • Lebih tahan phishing: passkeys terikat ke domain (origin) asli. Kalau kamu salah buka situs palsu, mekanisme ini biasanya tidak akan ‘nyambung’ karena domain-nya berbeda.
  • Tidak ada password yang bisa bocor: kalau database layanan bocor, yang tersimpan di server adalah public key—itu tidak bisa dipakai untuk login tanpa private key.
  • Lebih nyaman: login bisa cukup dengan biometrik (sidik jari/Face ID) atau PIN perangkat. Orang jadi tidak tergoda pakai password ‘123456’ versi kreatif.
  • Mengurangi ‘fatigue’ MFA: beberapa serangan memanfaatkan kelelahan pengguna (push bombing). Passkeys mengurangi skenario itu karena prosesnya lebih terikat konteks dan perangkat.

Tapi… apakah passkeys berarti ‘tanpa risiko’?

Tidak ada sistem keamanan yang 100% kebal. Passkeys kuat, tapi tetap ada risiko yang perlu kamu pahami supaya tidak salah rasa aman.

1) Risiko perangkat hilang atau rusak

Kalau passkeys hanya tersimpan di satu perangkat dan perangkat itu hilang/rusak, kamu bisa terkunci. Solusinya: aktifkan sinkronisasi passkeys di ekosistem yang kamu pakai (misalnya iCloud Keychain atau Google Password Manager), dan pastikan opsi pemulihan akunmu rapi.

2) Risiko akun ekosistem (Apple ID/Google Account)

Jika passkeys tersinkronisasi, keamanan bergeser: akun Apple/Google kamu jadi lebih penting. Ini kabar baik karena mereka punya proteksi kuat, tapi kamu harus ikut disiplin: gunakan MFA yang kuat, recovery info yang valid, dan jangan sembarangan membagikan perangkat.

3) Risiko social engineering

Passkeys tahan phishing teknis, tapi manusia tetap bisa ditipu lewat cara non-teknis: ‘tolong login dulu ya’, ‘pinjam HP sebentar’, atau skenario tekanan. Jadi, kebiasaan tetap penting: jangan login di perangkat orang lain, dan jangan mengikuti instruksi login dari pihak yang tidak jelas.

Cara mulai pakai passkeys (praktis, tidak ribet)

Kalau kamu ingin mulai hari ini, pendekatan termudah adalah: pilih 2–3 akun penting dulu. Misalnya email utama, akun cloud, atau akun yang sering jadi ‘kunci’ reset password di layanan lain.

Langkah umum (hampir di semua layanan)

  • Masuk ke Security / Keamanan akun.
  • Cari menu Passkeys atau Sign in with passkey.
  • Tambah passkey dari perangkat utama (HP) terlebih dulu.
  • Tes logout → login ulang untuk memastikan kamu benar-benar bisa masuk dengan passkey.

Checklist kecil biar tidak keteteran

  • Pastikan kamu punya metode pemulihan akun (email cadangan/nomor/backup codes) yang aktif.
  • Kalau pakai sinkronisasi, cek apakah akun Apple/Google kamu sudah pakai MFA yang kuat.
  • Simpan minimal satu metode login alternatif (misalnya password + MFA) sampai kamu benar-benar yakin passkeys sudah jalan di semua perangkat.

Kapan sebaiknya kamu tetap pakai password?

Transisi itu bertahap. Ada situasi di mana password masih diperlukan: (1) layanan belum mendukung passkeys, (2) kamu sering login di perangkat khusus kantor yang dibatasi kebijakan IT, atau (3) integrasi aplikasi lama yang belum kompatibel.

Di fase ini, strategi yang paling realistis adalah: gunakan passkeys di layanan yang mendukung, dan untuk layanan lain gunakan password manager + MFA berbasis aplikasi (bukan SMS jika memungkinkan).

Penutup: passkeys itu masa depan yang ‘sudah mulai terjadi’

Dulu kita menerima ‘ingat password yang unik untuk setiap akun’ sebagai nasihat standar, padahal itu sulit dijalankan manusia normal. Passkeys mencoba menyelaraskan keamanan dengan kebiasaan manusia: lebih sedikit yang perlu diingat, lebih sulit dicuri, dan lebih cepat dipakai.

Mulai kecil saja: aktifkan passkeys di satu akun penting minggu ini, lalu tambah satu akun lagi minggu depan. Yang penting konsisten—bukan langsung sempurna.

Sumber/Referensi

Read more