Pengantar
Kunci sandi adalah alternatif yang lebih aman dan lebih mudah untuk sandi. Dengan kunci sandi, pengguna dapat login ke aplikasi dan situs dengan sensor biometrik (seperti sidik jari atau pengenalan wajah), PIN, atau pola, sehingga mereka tidak perlu mengingat dan mengelola sandi.
Developer dan pengguna tidak menyukai sandi: mereka memberikan pengalaman pengguna yang buruk, mereka menambahkan hambatan konversi, dan menciptakan kewajiban keamanan bagi pengguna dan developer. Pengelola Sandi Google di Android dan Chrome mengurangi hambatan melalui isi otomatis; bagi developer yang mencari peningkatan lebih lanjut dalam konversi dan keamanan, kunci sandi dan penggabungan identitas adalah pendekatan modern industri.
Kunci sandi dapat memenuhi persyaratan autentikasi multifaktor dalam satu langkah, mengganti sandi dan OTP (mis., kode SMS 6 digit) untuk memberikan perlindungan yang kuat terhadap serangan phishing dan menghindari masalah UX pada SMS atau sandi sekali pakai berbasis aplikasi. Karena kunci sandi distandarisasi, satu penerapan memungkinkan pengalaman tanpa sandi di semua perangkat pengguna, di berbagai browser dan sistem operasi.
Kunci sandi lebih mudah:
- Pengguna dapat memilih akun untuk login. Nama pengguna tidak diperlukan.
- Pengguna dapat melakukan autentikasi menggunakan kunci layar perangkat seperti sensor sidik jari, pengenalan wajah, atau PIN.
- Setelah kunci sandi dibuat dan didaftarkan, pengguna dapat dengan lancar beralih ke perangkat baru dan langsung menggunakannya tanpa perlu mendaftar ulang (tidak seperti autentikasi biometrik tradisional, yang memerlukan penyiapan di setiap perangkat).
Kunci sandi lebih aman:
- Developer hanya menyimpan kunci publik ke server, bukan sandi, yang berarti pihak tidak bertanggung jawab dapat meretas server menjadi lebih berharga, dan lebih sedikit pembersihan jika terjadi pelanggaran.
- Kunci sandi melindungi pengguna dari serangan phishing. Kunci sandi hanya berfungsi di situs dan aplikasi yang terdaftar; pengguna tidak dapat ditipu untuk melakukan autentikasi di situs yang menipu karena browser atau OS menangani verifikasi.
- Kunci sandi mengurangi biaya pengiriman SMS, sehingga menjadikannya cara yang lebih aman dan hemat biaya untuk autentikasi 2 langkah.
Apa itu kunci sandi?
Kunci sandi adalah kredensial digital, yang terkait dengan akun pengguna dan situs atau aplikasi. Kunci sandi memungkinkan pengguna melakukan autentikasi tanpa harus memasukkan nama pengguna atau sandi, atau memberikan faktor autentikasi tambahan. Teknologi ini bertujuan untuk menggantikan mekanisme autentikasi lama seperti sandi.
Jika pengguna ingin login ke layanan yang menggunakan kunci sandi, browser atau sistem operasinya akan membantunya memilih dan menggunakan kunci sandi yang tepat. Pengalamannya mirip dengan cara kerja sandi tersimpan saat ini. Untuk memastikan hanya pemilik yang sah yang dapat menggunakan kunci sandi, sistem akan meminta mereka membuka kunci perangkatnya. Tindakan ini dapat dilakukan dengan sensor biometrik (seperti sidik jari atau pengenalan wajah), PIN, atau pola.
Untuk membuat kunci sandi untuk situs atau aplikasi, pengguna harus terlebih dahulu mendaftar ke situs atau aplikasi tersebut.
- Buka aplikasi dan login menggunakan metode login yang sudah ada.
- Klik tombol Buat kunci sandi.
- Periksa informasi yang disimpan dengan kunci sandi baru.
- Gunakan buka kunci layar perangkat untuk membuat kunci sandi.
Saat kembali ke situs atau aplikasi ini untuk login, pengguna dapat melakukan langkah-langkah berikut:
- Buka aplikasi.
- Ketuk kolom nama akun untuk menampilkan daftar kunci sandi dalam dialog isi otomatis.
- Pilih kunci sandinya.
- Gunakan buka kunci layar perangkat untuk menyelesaikan login.
Perangkat pengguna membuat tanda tangan berdasarkan kunci sandi. Tanda tangan ini digunakan untuk memverifikasi kredensial login antara origin dan kunci sandi.
Pengguna dapat login ke layanan di perangkat mana pun menggunakan kunci sandi, di mana pun kunci sandi disimpan. Misalnya, kunci sandi yang dibuat di ponsel dapat digunakan untuk login ke situs di laptop terpisah.
Bagaimana cara kerja kunci sandi?
Kunci sandi dimaksudkan untuk digunakan melalui infrastruktur sistem operasi yang memungkinkan pengelola kunci sandi membuat, mencadangkan, dan menyediakan kunci sandi untuk aplikasi yang berjalan di sistem operasi tersebut. Di Android, kunci sandi dapat disimpan di Pengelola Sandi Google, yang menyinkronkan kunci sandi antara perangkat Android pengguna yang login ke Akun Google yang sama. Kunci sandi dienkripsi dengan aman di perangkat sebelum disinkronkan, dan memerlukan dekripsi di perangkat baru. Pengguna dengan Android OS 14 atau yang lebih baru dapat memilih untuk menyimpan kunci sandi mereka di pengelola sandi pihak ketiga yang kompatibel.
Pengguna tidak dibatasi untuk menggunakan kunci sandi hanya di perangkat yang tersedia. Kunci sandi yang tersedia di ponsel dapat digunakan saat login ke laptop, meskipun kunci sandi tidak disinkronkan ke laptop, selama ponsel berada di dekat laptop dan pengguna menyetujui login di ponsel tersebut. Karena kunci sandi dibuat berdasarkan standar FIDO, semua browser dapat mengadopsinya.
Misalnya, pengguna mengunjungi example.com
di browser Chrome di komputer
Windows-nya. Pengguna ini sebelumnya telah login ke example.com
di perangkat
Android-nya dan membuat kunci sandi. Di komputer Windows, pengguna memilih untuk login
dengan kunci sandi dari perangkat lain. Kedua perangkat akan terhubung dan pengguna
akan diminta untuk menyetujui penggunaan kunci sandinya di perangkat Android, misalnya, dengan sensor sidik jari. Setelah melakukannya, mereka masuk
ke komputer Windows. Perlu diketahui bahwa kunci sandi itu sendiri tidak ditransfer ke komputer
Windows, jadi biasanya example.com
akan menawarkan untuk membuat kunci sandi baru di sana.
Dengan demikian, ponsel tidak diperlukan saat pengguna ingin login lagi. Baca
Login dengan ponsel untuk
mempelajari lebih lanjut.
Siapa yang menggunakan kunci sandi?
Sejumlah layanan sudah menggunakan kunci sandi di sistem mereka.
- DocuSign
- Kayak
- Mercari
- NTT Docomo
- PayPal
- Shopify
- Yahoo! JPN
Cobalah sendiri
Anda dapat mencoba kunci sandi dalam demo ini: https://passkeys-demo.appspot.com/
Pertimbangan privasi
- Karena login dengan biometrik dapat memberikan kesan palsu kepada pengguna bahwa hal ini mengirimkan informasi sensitif ke server. Pada kenyataannya, materi biometrik tidak pernah dikirim ke luar perangkat pribadi pengguna.
- Kunci sandi tidak mengizinkan pelacakan pengguna atau perangkat antar-situs. Kunci sandi yang sama tidak pernah digunakan untuk lebih dari satu situs. Protokol kunci sandi dirancang dengan cermat sehingga tidak ada informasi yang dibagikan kepada situs yang dapat digunakan sebagai vektor pelacakan.
- Pengelola kunci sandi melindungi kunci sandi dari akses dan penggunaan yang tidak sah. Misalnya, Pengelola Sandi Google mengenkripsi rahasia kunci sandi secara menyeluruh. Hanya pengguna yang dapat mengakses dan menggunakannya, dan meskipun dicadangkan ke server Google, Google tidak dapat menggunakannya untuk meniru identitas pengguna.
Pertimbangan keamanan
- Kunci sandi menggunakan kriptografi kunci publik. Kriptografi kunci publik mengurangi ancaman dari potensi pelanggaran data. Saat pengguna membuat kunci sandi dengan situs atau aplikasi, tindakan ini akan membuat pasangan kunci publik-pribadi di perangkat pengguna. Hanya kunci publik yang disimpan oleh situs, tetapi ini tidak berguna bagi penyerang. Penyerang tidak dapat memperoleh kunci pribadi pengguna dari data yang tersimpan di server, yang diperlukan untuk menyelesaikan autentikasi.
- Karena kunci sandi terikat dengan identitas situs atau aplikasi, kunci sandi aman dari serangan phishing. Browser dan sistem operasi memastikan bahwa kunci sandi hanya dapat digunakan dengan situs atau aplikasi yang membuatnya. Dengan begitu, pengguna tidak akan bertanggung jawab untuk login ke situs atau aplikasi asli.
Dapatkan notifikasi
Berlangganan newsletter developer kunci sandi Google untuk mendapatkan notifikasi tentang update kunci sandi.