Komunitas teknologi sedang aktif memperdebatkan masa depan passkey, khususnya terkait pembatasan ekspor yang mencegah pengguna memindahkan kredensial autentikasi mereka antar password manager. Meskipun passkey menjanjikan keamanan yang lebih baik dibanding password tradisional, kekhawatiran yang meningkat tentang vendor lock-in dan otonomi pengguna menciptakan gesekan dalam lanskap autentikasi.
Keterbatasan Ekspor Menciptakan Masalah Migrasi
Salah satu isu paling kontroversial dengan implementasi passkey saat ini adalah ketidakmampuan untuk mengekspor private key antar password manager yang berbeda. Tidak seperti password tradisional yang dapat dengan mudah disalin atau diekspor, passkey dirancang untuk tidak dapat diekspor demi alasan keamanan. Hal ini menciptakan tantangan signifikan bagi pengguna yang ingin beralih antar penyedia autentikasi atau mempertahankan metode akses cadangan.
Situasi ini menjadi sangat bermasalah ketika pengguna menemukan bahwa mereka memiliki ratusan akun yang terikat dengan passkey dari satu penyedia. Anggota komunitas melaporkan memiliki 60 hingga 400 entri passkey yang berbeda, membuat pendaftaran ulang manual di berbagai layanan menjadi tugas yang sangat memberatkan jika mereka perlu beralih password manager.
Status Dukungan Ekspor Passkey Saat Ini:
- Apple : Fungsionalitas ekspor diumumkan untuk iOS 26 dan macOS 26 (tersedia dalam beta publik)
- Bitwarden : Mendukung passkey sejak Mei 2024, termasuk aplikasi mobile
- KeePassXC : Mendukung passkey dengan kemampuan ekspor
- 1Password : Mengumumkan rencana untuk fungsionalitas ekspor/impor
- Google : Tidak ada data atestasi yang diekspos untuk passkey konsumen, tetapi tersedia untuk enterprise melalui MDM
Autentikasi Keluarga Menjadi Lebih Kompleks
Para orang tua dan administrator keluarga menemukan pengelolaan passkey semakin membuat frustrasi dibandingkan dengan berbagi password yang sederhana. Alur autentikasi baru memerlukan penggunaan berbagai aplikasi dan proses otorisasi yang kompleks ketika mencoba mengakses akun di perangkat anak-anak atau membantu anggota keluarga dengan akun mereka.
Masuk ke akun saya di perangkat anak-anak saya telah berubah dari proses yang mudah menjadi pengalaman yang sangat membuat frustrasi. Saya mendapati diri saya harus menggunakan berbagai jenis aplikasi dan alur yang berbeda.
Kompleksitas ini meluas ke situasi darurat di mana anggota keluarga memerlukan akses ke akun kerabat yang telah meninggal, menciptakan tantangan baru yang tidak ada dengan sistem password tradisional.
Kekhawatiran Kontrol Korporat dan Attestation
Standar passkey mencakup sistem attestation yang memungkinkan website mengidentifikasi jenis authenticator yang digunakan pengguna. Fitur ini telah digunakan oleh beberapa pemerintah, seperti Austria, untuk membatasi akses ke layanan resmi kecuali pengguna membeli token perangkat keras yang masuk dalam whitelist tertentu.
Para profesional keamanan umumnya mendukung passkey karena sifat anti-phishing dan keamanan yang lebih baik dibanding kombinasi password-plus-TOTP. Namun, potensi penyalahgunaan attestation oleh korporasi atau pemerintah untuk menciptakan skenario vendor lock-in tetap menjadi kekhawatiran signifikan bagi para advokat privasi dan penggemar open-source.
Perbandingan Keamanan Metode Autentikasi:
- Terkuat: Password + Hardware Security Key ( WebAuthn )
- Kuat: Passkeys (tahan terhadap phishing)
- Sedang: Password + TOTP (rentan terhadap phishing)
- Lemah: Password + SMS/Email (rentan terhadap phishing dan SIM swapping)
- Terlemah: Password saja
Ketergantungan Platform Menciptakan Risiko Baru
Pergeseran menuju passkey meningkatkan ketergantungan pada platform teknologi besar seperti Google, Apple, dan Microsoft. Pengguna yang kehilangan akses ke akun utama mereka melalui terminasi otomatis atau masalah lain kini menghadapi kehilangan tidak hanya data mereka, tetapi juga kredensial autentikasi mereka untuk website pihak ketiga.
Ketergantungan ini sangat mengkhawatirkan mengingat platform besar dikenal melakukan terminasi akun tanpa proses banding yang jelas, meninggalkan pengguna tanpa jalan keluar untuk memulihkan identitas digital mereka di seluruh web.
Jalan ke Depan
Meskipun ada kekhawatiran ini, teknologi terus berkembang. Apple telah mengumumkan fungsionalitas ekspor passkey dalam versi iOS dan macOS mendatang, dan password manager seperti Bitwarden dan KeePassXC sedang bekerja untuk mendukung portabilitas passkey yang lebih baik. Namun, ketegangan fundamental antara keamanan dan kontrol pengguna terus mendorong diskusi komunitas tentang masa depan autentikasi web.
Perdebatan ini menyoroti pertanyaan yang lebih luas tentang apakah manfaat keamanan passkey membenarkan potensi hilangnya otonomi pengguna dan peningkatan ketergantungan platform yang datang dengan implementasi saat ini.
Referensi: Passkeys and Modern Authentication