Pengantar
Kunci sandi adalah alternatif sandi yang lebih aman dan lebih mudah. Dengan kunci sandi, pengguna dapat login ke aplikasi dan situs dengan sensor biometrik (seperti sidik jari atau pengenalan wajah), PIN, atau pola, sehingga mereka tidak perlu mengingat dan mengelola sandi.
Developer dan pengguna sama-sama tidak menyukai sandi: mereka memberikan pengalaman pengguna yang buruk, mereka menambahkan hambatan konversi, dan mereka menciptakan kewajiban keamanan bagi pengguna dan developer. Pengelola Sandi Google di Android dan Chrome mengurangi hambatan melalui isi otomatis; bagi developer yang mencari peningkatan lebih lanjut dalam konversi dan keamanan, kunci sandi dan penggabungan identitas adalah pendekatan modern industri.
Kunci sandi dapat memenuhi persyaratan autentikasi multifaktor dalam satu langkah, menggantikan sandi dan OTP (misalnya kode SMS 6 digit) untuk memberikan perlindungan yang kuat terhadap serangan phishing dan menghindari masalah UX pada SMS atau sandi sekali pakai berbasis aplikasi. Karena kunci sandi distandardisasi, satu implementasi memungkinkan pengalaman tanpa sandi di semua perangkat pengguna, di berbagai browser dan sistem operasi.
Kunci sandi lebih mudah:
- Pengguna dapat memilih akun untuk login. Nama pengguna tidak perlu dietik.
- Pengguna dapat mengautentikasi menggunakan kunci layar perangkat, seperti sensor sidik jari, pengenalan wajah, atau PIN.
- Setelah kunci sandi dibuat dan didaftarkan, pengguna dapat dengan lancar beralih ke perangkat baru dan langsung menggunakannya tanpa perlu mendaftar ulang (tidak seperti autentikasi biometrik tradisional, yang memerlukan penyiapan di setiap perangkat).
Kunci sandi lebih aman:
- Pengembang hanya menyimpan kunci publik ke server, bukan sandi. Artinya, pihak tidak bertanggung jawab akan meretas server menjadi jauh lebih sedikit, dan lebih sedikit pembersihan jika terjadi pembobolan.
- Kunci sandi melindungi pengguna dari serangan phishing. Kunci sandi hanya berfungsi di situs dan aplikasi yang terdaftar; pengguna tidak dapat tertipu untuk melakukan autentikasi di situs yang menipu karena browser atau OS menangani verifikasi.
- Kunci sandi mengurangi biaya pengiriman SMS, sehingga menjadikannya cara yang lebih aman dan hemat biaya untuk autentikasi 2 langkah.
Apa yang dimaksud dengan kunci sandi?
Kunci sandi adalah kredensial digital yang terkait dengan akun pengguna dan situs atau aplikasi. Kunci sandi memungkinkan pengguna melakukan autentikasi tanpa harus memasukkan nama pengguna atau sandi, atau memberikan faktor autentikasi tambahan. Teknologi ini bertujuan untuk mengganti mekanisme autentikasi lama seperti sandi.
Jika pengguna ingin login ke layanan yang menggunakan kunci sandi, browser atau sistem operasinya akan membantunya memilih dan menggunakan kunci sandi yang tepat. Pengalamannya mirip dengan cara kerja sandi tersimpan saat ini. Untuk memastikan hanya pemilik yang sah yang dapat menggunakan kunci sandi, sistem akan meminta mereka membuka kunci perangkat. Hal ini dapat dilakukan dengan sensor biometrik (seperti sidik jari atau pengenalan wajah), PIN, atau pola.
Agar dapat membuat kunci sandi untuk situs atau aplikasi, pengguna harus terlebih dahulu mendaftar ke situs atau aplikasi tersebut.
- Buka aplikasi dan login menggunakan metode login yang ada.
- Klik tombol Buat kunci sandi.
- Periksa informasi yang disimpan dengan kunci sandi baru.
- Gunakan buka kunci layar perangkat untuk membuat kunci sandi.
Saat kembali ke situs atau aplikasi ini untuk login, pengguna dapat melakukan langkah-langkah berikut:
- Buka aplikasi.
- Ketuk kolom nama akun untuk menampilkan daftar kunci sandi dalam dialog isi otomatis.
- Pilih kunci sandinya.
- Gunakan buka kunci layar perangkat untuk menyelesaikan login.
Perangkat pengguna membuat tanda tangan berdasarkan kunci sandi. Tanda tangan ini digunakan untuk memverifikasi kredensial login antara origin dan kunci sandi.
Pengguna dapat login ke layanan di perangkat apa pun menggunakan kunci sandi, di mana pun kunci sandi disimpan. Misalnya, kunci sandi yang dibuat di ponsel dapat digunakan untuk login ke situs di laptop terpisah.
Bagaimana cara kerja kunci sandi?
Kunci sandi dimaksudkan untuk digunakan melalui infrastruktur sistem operasi yang memungkinkan pengelola kunci sandi membuat, mencadangkan, dan menyediakan kunci sandi untuk aplikasi yang berjalan pada sistem operasi tersebut. Di Android, kunci sandi dapat disimpan di Pengelola Sandi Google, yang menyinkronkan kunci sandi antara perangkat Android pengguna yang login ke Akun Google yang sama. Kunci sandi dienkripsi dengan aman di perangkat sebelum disinkronkan, dan perlu didekripsi di perangkat baru. Pengguna dengan Android OS 14 atau yang lebih baru dapat memilih untuk menyimpan kunci sandi mereka di pengelola sandi pihak ketiga yang kompatibel.
Pengguna tidak dibatasi untuk menggunakan kunci sandi hanya di perangkat tempat mereka tersedia—kunci sandi yang tersedia di ponsel dapat digunakan saat login ke laptop, meskipun kunci sandi tidak disinkronkan ke laptop, selama ponsel berada di dekat laptop dan pengguna menyetujui login di ponsel. Karena kunci sandi dibuat berdasarkan standar FIDO, semua browser dapat mengadopsinya.
Misalnya, pengguna membuka example.com di browser Chrome di komputer
Windows. Pengguna ini sebelumnya telah login ke example.com di perangkat
Android-nya dan membuat kunci sandi. Di komputer Windows, pengguna memilih untuk login
dengan kunci sandi dari perangkat lain. Kedua perangkat tersebut akan terhubung dan pengguna
akan diminta untuk menyetujui penggunaan kunci sandinya di perangkat Android, misalnya
dengan sensor sidik jari. Setelah melakukannya, mereka
masuk ke komputer Windows. Perlu diketahui bahwa kunci sandi itu sendiri tidak ditransfer ke mesin
Windows, jadi biasanya example.com akan menawarkan untuk membuat kunci sandi baru di sana.
Dengan demikian, ponsel tidak diperlukan saat pengguna ingin login lagi. Baca
Login dengan ponsel untuk
mempelajari lebih lanjut.
Siapa yang menggunakan kunci sandi?
Sejumlah layanan sudah menggunakan kunci sandi di sistem mereka.
- DocuSign
- Kayak
- Mercari
- NTT Docomo
- PayPal
- Shopify
- Yahoo! JPN
Cobalah sendiri
Anda dapat mencoba kunci sandi dalam demo ini: https://passkeys-demo.appspot.com/
Pertimbangan privasi
- Karena login dengan biometrik dapat memberikan kesan palsu kepada pengguna bahwa perintah ini mengirimkan informasi sensitif ke server. Pada kenyataannya, materi biometrik tidak pernah dikirim ke luar perangkat pribadi pengguna.
- Kunci sandi tidak mengizinkan pelacakan pengguna atau perangkat antar-situs. Kunci kunci yang sama tidak pernah digunakan dengan lebih dari satu situs. Protokol kunci sandi dirancang dengan cermat sehingga tidak ada informasi yang dibagikan ke situs yang dapat digunakan sebagai vektor pelacakan.
- Pengelola kunci sandi melindungi kunci sandi dari akses dan penggunaan yang tidak sah. Misalnya, Pengelola Sandi Google mengenkripsi rahasia kunci sandi secara menyeluruh. Hanya pengguna yang dapat mengakses dan menggunakannya, dan meskipun data dicadangkan ke server Google, Google tidak dapat menggunakannya untuk meniru identitas pengguna.
Pertimbangan keamanan
- Kunci sandi menggunakan kriptografi kunci publik. Kriptografi kunci publik mengurangi ancaman dari potensi pelanggaran data. Saat pengguna membuat kunci sandi dengan situs atau aplikasi, tindakan ini akan membuat pasangan kunci publik–pribadi di perangkat pengguna. Hanya kunci publik yang disimpan oleh situs, tetapi ini saja tidak berguna bagi penyerang. Penyerang tidak dapat memperoleh kunci pribadi pengguna dari data yang disimpan di server, yang diperlukan untuk menyelesaikan autentikasi.
- Karena kunci sandi terikat dengan identitas situs atau aplikasi, kunci sandi aman dari serangan phishing. Browser dan sistem operasi memastikan bahwa kunci sandi hanya dapat digunakan dengan situs atau aplikasi yang membuatnya. Dengan begitu, pengguna tidak perlu bertanggung jawab login ke situs atau aplikasi asli.
Dapatkan notifikasi
Berlangganan ke newsletter developer kunci sandi Google untuk mendapatkan notifikasi tentang update kunci sandi.