Peneliti keamanan telah mendemonstrasikan bagaimana sistem autentikasi passkey dapat dikompromikan melalui metode berbasis software, memicu perdebatan sengit di komunitas keamanan siber tentang keseimbangan antara keamanan dan kegunaan dalam sistem autentikasi modern.
Penelitian ini berfokus pada reverse-engineering protokol CTAP2 dan implementasi WebAuthn untuk menciptakan autentikator berbasis software yang dapat melewati langkah-langkah keamanan tertentu. Meskipun teknik ini memerlukan keahlian teknis yang signifikan dan kondisi khusus seperti mode remote debugging Chrome , teknik ini menyoroti kelemahan potensial dalam cara sistem passkey memvalidasi permintaan autentikasi.
Komponen Teknis Utama yang Terlibat:
- CTAP2 ( Client to Authenticator Protocol 2 )
- WebAuthn ( Web Authentication API )
- Kerangka kerja autentikasi FIDO2
- Komunikasi USB-HID ( Human Interface Device )
- Kunci Keamanan Perangkat Keras dan modul TPM
- Autentikator virtual Chrome untuk pengujian
Kekhawatiran Keamanan Utama
Demonstrasi ini menunjukkan bagaimana pelaku jahat berpotensi dapat membajak proses registrasi passkey dengan mengganti kunci kriptografi mereka sendiri selama pengaturan akun. Hal ini akan memungkinkan penyerang untuk kemudian melakukan autentikasi sebagai korban menggunakan kredensial yang mereka kendalikan. Namun, para ahli keamanan menunjukkan bahwa serangan ini memerlukan registrasi awal terjadi pada sistem yang telah dikompromikan, yang secara signifikan membatasi dampak praktisnya.
Serangan ini bekerja dengan menciptakan autentikator FIDO2 berbasis software yang dapat menghasilkan respons autentikasi yang valid tanpa memerlukan kunci keamanan hardware khusus atau trusted platform modules ( TPMs ). Meskipun tanda tangan kriptografi itu sendiri sah, kekhawatiran terletak pada kemampuan untuk menghasilkan tanda tangan ini menggunakan software daripada hardware yang aman.
Persyaratan Serangan:
- Browser Chrome dengan remote debugging diaktifkan
- Akses ke perangkat korban selama pendaftaran passkey
- Keahlian teknis dalam reverse engineering protokol
- Kemampuan menjalankan perangkat lunak khusus pada sistem target
- Kemampuan MITM (Man-in-the-Middle) selama alur pendaftaran
Respons Industri dan Perdebatan Attestation
Penelitian ini telah memicu kembali diskusi tentang persyaratan attestation dalam implementasi passkey. Attestation adalah mekanisme yang memungkinkan situs web untuk memverifikasi bahwa kredensial autentikasi dihasilkan oleh hardware khusus dan terpercaya daripada software. Saat ini, sebagian besar situs web yang menghadap konsumen tidak memerlukan attestation, membuat mereka berpotensi rentan terhadap metode autentikasi berbasis software.
Manfaatnya jelas ada: kunci yang berasal dari hardware tidak dapat dicuri dalam keadaan normal apa pun. Sementara itu, passkey yang disinkronkan hanyalah pasangan login/password yang mewah, sehingga dapat dieksfiltrasi oleh penyerang.
Namun, menerapkan persyaratan attestation yang ketat dapat menciptakan masalah kegunaan yang signifikan. Hal ini berpotensi mengunci pengguna yang mengandalkan pengelola kata sandi atau layanan sinkronisasi lintas platform, memaksa mereka untuk membeli kunci keamanan hardware khusus. Pendekatan ini juga dapat menciptakan skenario vendor lock-in di mana hanya perangkat dari produsen yang disetujui yang akan bekerja dengan situs web tertentu.
Faktor Apple dan Implikasi Ekosistem
Pendekatan Apple terhadap implementasi passkey telah menjadi titik sentral dalam perdebatan ini. Berbeda dengan perusahaan teknologi besar lainnya, Apple memilih untuk tidak menerapkan attestation untuk passkey konsumen, memprioritaskan privasi pengguna dan portabilitas lintas perangkat daripada verifikasi hardware. Keputusan ini secara efektif telah memaksa banyak situs web untuk menerima kredensial yang tidak di-attest, karena mengecualikan pengguna Apple akan menjadi tidak praktis secara komersial.
Kritikus berpendapat bahwa sikap Apple telah melemahkan postur keamanan keseluruhan sistem passkey, sementara pendukung berpendapat bahwa hal ini telah mencegah terciptanya ekosistem yang restriktif di mana hanya vendor yang disetujui yang dapat menyediakan layanan autentikasi. Perdebatan ini mencerminkan ketegangan yang lebih luas antara keamanan, privasi, dan kompetisi pasar dalam sistem autentikasi digital.
Posisi Industri terhadap Attestation:
- Apple: Menghapus attestation untuk passkey konsumen, hanya mendukungnya di lingkungan MDM
- Google / Microsoft: Secara umum mendukung kemampuan attestation
- Enterprise: Sering kali memerlukan attestation untuk kepatuhan (FIPS, keamanan korporat)
- Situs Konsumen: Mayoritas tidak menerapkan verifikasi attestation
- Password Manager: Mendukung passkey tetapi akan terkunci oleh attestation yang ketat
 |
|---|
| Analisis lalu lintas jaringan yang mencerminkan kompleksitas implementasi passkey dan potensi kerentanan |
Dampak Praktis dan Penilaian Risiko
Meskipun ada demonstrasi teknis, para ahli keamanan menekankan bahwa risiko praktis bagi sebagian besar pengguna tetap rendah. Serangan ini memerlukan akses fisik ke perangkat korban selama registrasi atau kemampuan untuk menjalankan software berbahaya dengan hak istimewa yang ditinggikan. Untuk sebagian besar aplikasi konsumen, manfaat keamanan yang ada dari passkey—termasuk resistensi terhadap serangan phishing dan penggunaan ulang kredensial—masih lebih besar daripada kerentanan teoretis ini.
Lingkungan enterprise mungkin memiliki kalkulasi risiko yang berbeda, terutama untuk aplikasi keamanan tinggi di mana biaya hardware dan kompleksitas tambahan dapat dibenarkan. Banyak kebijakan keamanan perusahaan sudah memerlukan autentikasi berbasis hardware dengan attestation yang tepat untuk sistem sensitif.
Penelitian ini berfungsi sebagai pengingat berharga bahwa tidak ada sistem autentikasi yang sempurna, dan bahwa implementasi keamanan harus menyeimbangkan berbagai prioritas yang bersaing termasuk kegunaan, privasi, dan perlindungan terhadap berbagai model ancaman. Seiring dengan terus berkembangnya adopsi passkey, penelitian keamanan yang berkelanjutan dan diskusi komunitas akan sangat penting untuk mengidentifikasi dan mengatasi kerentanan potensial sambil mempertahankan manfaat pengalaman pengguna yang membuat passkey menjadi alternatif yang menarik untuk kata sandi tradisional.
Referensi: REversing Windows, FPGAs, and Folding@Home