Passkeys, teknologi pengganti kata sandi yang didukung oleh perusahaan teknologi besar, menghadapi pengawasan yang meningkat dari para pengembang dan ahli keamanan yang berargumen bahwa sistem ini menciptakan masalah baru sambil menyelesaikan masalah lama. Teknologi yang menggunakan kunci kriptografi alih-alih kata sandi tradisional ini telah memicu perdebatan sengit tentang kebebasan pengguna, kontrol vendor, dan manfaat keamanan sesungguhnya yang diberikannya.
Masalah Lock-in
Kritik paling signifikan berpusat pada betapa sulitnya memindahkan passkeys antar pengelola kata sandi yang berbeda. Tidak seperti kata sandi tradisional yang dapat disalin dan ditempel, passkeys dirancang untuk tidak transparan bagi pengguna dan tidak dapat dengan mudah dipindahkan. Hal ini menciptakan situasi di mana beralih dari pengelola kata sandi Google ke Apple, atau ke layanan independen seperti Bitwarden, menjadi rumit tanpa alasan yang jelas.
Meskipun FIDO Alliance telah menjanjikan Credential Exchange Protocol untuk mengatasi masalah ini, solusinya masih sebagian besar teoretis di tahun 2025. Saat ini, satu-satunya solusi adalah website mengizinkan beberapa passkeys per akun, tetapi banyak layanan tidak mendukung fitur ini. Hal ini memaksa pengguna untuk memilih antara kenyamanan dan fleksibilitas.
Perbandingan Opsi Penyimpanan Passkey
| Metode Penyimpanan | Tingkat Keamanan | Portabilitas | Opsi Backup | Risiko Vendor Lock-in |
|---|---|---|---|---|
| Hardware Keys ( YubiKey ) | Tinggi | Memerlukan transfer manual | Perlu duplikat fisik | Rendah |
| Cloud Sync ( Google / Apple ) | Sedang | Otomatis lintas perangkat | Bergantung pada pemulihan akun | Tinggi |
| Password Manager Lokal | Sedang-Tinggi | Tersedia ekspor/impor | Backup dikontrol pengguna | Rendah-Sedang |
| Bawaan Browser | Sedang | Terbatas pada ekosistem browser | Bervariasi per browser | Sedang-Tinggi |
Teater Keamanan atau Perlindungan Nyata?
Manfaat keamanan passkeys juga sedang diperdebatkan. Para pendukung berargumen bahwa passkeys memberikan perlindungan superior terhadap serangan phishing karena terikat pada domain spesifik dan tidak dapat ditipu untuk bekerja di website palsu. Teknologi ini juga menghilangkan risiko pelanggaran basis data kata sandi karena kunci privat tidak pernah meninggalkan perangkat pengguna.
Namun, para kritikus menunjukkan bahwa passkeys dapat direset menggunakan metode yang sama dengan kata sandi tradisional - biasanya melalui verifikasi email. Ini berarti jika seseorang dapat mengkompromikan akun email Anda, mereka masih dapat memperoleh akses ke akun yang dilindungi passkey Anda. Proses reset pada dasarnya membuat passkeys hanya menjadi kata sandi yang memerlukan pengelola kata sandi, seperti yang dikatakan dalam satu analisis.
Keterbatasan Utama Passkey
- Kesulitan Transfer: Tidak dapat menyalin/menempel passkey antar pengelola kata sandi
- Proses Reset: Kerentanan yang sama seperti kata sandi tradisional melalui reset email
- Ketergantungan Vendor: Risiko terkunci akun jika penyedia cloud memblokir pengguna
- Opsi Backup Terbatas: Tidak ada metode standar untuk backup kredensial yang aman
- Kekhawatiran Attestation: Potensi memblokir implementasi open-source
- Pengalaman Pengguna: Perilaku yang tidak konsisten di berbagai browser dan perangkat
Perdebatan Kontrol
Perpecahan filosofis yang lebih dalam telah muncul seputar kontrol dan kebebasan pengguna. Passkeys dirancang dengan asumsi bahwa pengguna tidak dapat dipercaya dengan kredensial keamanan mereka sendiri. Teknologi ini sengaja mencegah pengguna melihat atau mengelola kunci privat mereka secara manual, yang oleh sebagian orang dilihat sebagai perlindungan yang diperlukan terhadap serangan rekayasa sosial.
Ini adalah DRM untuk kata sandi, yang secara efektif memblokir penyerang jahat dari mengekspor kredensial, pada dasarnya tanpa pengecualian.
Yang lain melihat ini sebagai pembatasan yang tidak dapat diterima terhadap hak pengguna. Pengelola kata sandi sumber terbuka seperti KeePassXC, yang memungkinkan pengguna mengekspor data passkey mereka, telah menghadapi ancaman diblokir melalui mekanisme atestasi yang dapat mencegah penggunaannya dengan layanan tertentu.
Hardware vs. Penyimpanan Cloud
Implementasi passkeys sangat bervariasi tergantung pada metode penyimpanan. Kunci keamanan hardware seperti YubiKeys menawarkan manfaat keamanan yang sesungguhnya dengan menyimpan kredensial dalam perangkat yang tahan terhadap gangguan. Namun, sebagian besar pengguna mengandalkan passkeys yang disinkronkan cloud yang disimpan dalam layanan seperti iCloud Keychain atau Google Password Manager.
Pendekatan berbasis cloud ini memperkenalkan risiko baru. Pengguna yang kehilangan akses ke akun Google atau Apple mereka dapat menemukan diri mereka terkunci dari puluhan layanan secara bersamaan. Kenyamanan sinkronisasi lintas perangkat datang dengan biaya menciptakan titik kegagalan tunggal yang baru.
Resistensi Industri dan Tantangan Adopsi
Teknologi ini menghadapi resistensi dari pengguna teknis maupun konsumen biasa. Banyak pengembang melihat passkeys sebagai prematur, menggambarkannya sebagai perangkat lunak alpha yang entah bagaimana dikirim karena kesalahan. Pengalaman pengguna tetap tidak konsisten di berbagai browser dan perangkat, dengan tingkat keberhasilan untuk autentikasi passkey bervariasi secara signifikan.
Institusi keuangan dan pengguna enterprise lebih lambat dalam mengadopsi teknologi ini, sebagian karena kekhawatiran tentang ketergantungan vendor dan kurangnya prosedur pemulihan yang jelas. Kompleksitas menjelaskan passkeys kepada pengguna non-teknis juga telah menghambat adopsi yang luas.
Perdebatan passkey mencerminkan ketegangan yang lebih luas dalam industri teknologi antara keamanan, kenyamanan, dan otonomi pengguna. Meskipun teknologi ini mengatasi masalah nyata dengan autentikasi berbasis kata sandi tradisional, implementasinya saat ini menimbulkan kekhawatiran baru tentang kontrol korporat atas identitas digital. Saat teknologi terus berkembang, menemukan keseimbangan yang tepat antara keamanan dan kebebasan pengguna tetap menjadi tantangan yang berkelanjutan.
Referensi: Passkeys are just passwords that require a password manager