Cara Beralih Sepenuhnya ke Sistem Tanpa Password

Menerapkan passkeys merupakan sebuah lompatan besar ke depan dalam keamanan autentikasi, tetapi itu bukanlah akhir dari perjalanan. Jika Anda sudah menerapkan passkeys, Anda mungkin sedang merayakan peningkatan metrik keamanan, tetapi bagaimana sebenarnya kita beralih dari memiliki passkeys ke mencapai autentikasi yang sepenuhnya tanpa password?

Passkeys menawarkan keuntungan keamanan yang krusial melalui desainnya yang tahan phishing menggunakan kriptografi kunci publik yang terikat pada domain spesifik, sehingga mustahil bagi penyerang untuk menipu pengguna agar melakukan autentikasi di situs palsu. Passkeys juga menghilangkan penggunaan kembali kredensial karena setiap passkey unik untuk layanan tertentu, yang berarti kompromi pada satu layanan tidak akan memengaruhi layanan lainnya. Lebih lanjut, passkeys memberikan kekebalan terhadap serangan brute-force dengan mengganti rahasia yang dihafal dengan kunci kriptografis yang tidak dapat ditebak atau dipecahkan.

Namun, keuntungan-keuntungan kuat ini lenyap begitu pengguna dapat melewati autentikasi passkey dan masuk dengan password. Hal ini menimbulkan pertanyaan krusial: Mengapa passkeys saja tidak cukup untuk keamanan yang lengkap? Jawabannya terletak pada pemahaman bahwa selama pintu password tetap terbuka, penyerang akan mencoba melewatinya. Pertanyaan yang lebih penting adalah, apa yang membuat pemulihan akun menjadi kerentanan tersembunyi yang dapat merusak seluruh implementasi passkey Anda? Pelanggaran keamanan tingkat tinggi baru-baru ini menunjukkan bahwa penyerang semakin menargetkan alur pemulihan daripada autentikasi utama.

Artikel ini akan memandu Anda melalui perjalanan lengkap dari menerapkan passkeys hingga mencapai keamanan tanpa password yang sesungguhnya, menjawab setiap pertanyaan penting ini dengan solusi praktis dan contoh nyata.

Autentikasi tanpa password yang sesungguhnya berarti menghilangkan password sepenuhnya dari arsitektur keamanan Anda. Dalam sistem tanpa password, pengguna tidak dapat mengatur, mengatur ulang, atau menggunakan password pada titik mana pun dalam perjalanan autentikasi mereka. Sebaliknya, autentikasi sepenuhnya bergantung pada metode kriptografis seperti passkeys.

Banyak organisasi mengklaim "tanpa password" padahal masih mempertahankan password di latar belakang sebagai opsi cadangan. Ini bukanlah sistem tanpa password yang sesungguhnya, melainkan hanya sistem di mana password bersifat opsional. Perbedaan ini penting karena selama password masih ada di sistem Anda, termasuk dalam alur pemulihan, password tetap menjadi kerentanan yang dapat dieksploitasi oleh penyerang.

Keamanan tanpa password yang sesungguhnya memerlukan penghapusan password dari autentikasi utama DAN memastikan proses pemulihan juga tahan terhadap phishing.

Mempertahankan password sebagai opsi cadangan sama saja dengan mempertahankan setiap vektor serangan yang seharusnya dihilangkan oleh passkeys. Penyerang hanya perlu mengalihkan kampanye phishing mereka untuk menargetkan entri password, sementara serangan credential stuffing dan password spraying terus berlanjut menggunakan kredensial yang dicuri dari pelanggaran lain. Rekayasa sosial tetap efektif karena pengguna masih bisa ditipu untuk mengungkapkan password kepada agen dukungan palsu.

Selama password masih ada, password akan tetap menjadi titik terlemah, sebuah titik masuk tunggal yang sepenuhnya melewati keamanan passkey yang tahan phishing.

Melihat pengalaman login saja tidak cukup. Vektor serangan yang krusial namun sering terabaikan adalah alur pemulihan akun. Bahkan organisasi yang telah menerapkan passkeys dapat tetap rentan jika proses pemulihan mereka bergantung pada metode yang mudah di-phishing seperti OTP SMS atau tautan ajaib email.

Lihatlah pelanggaran MGM Resorts yang terkenal pada tahun 2023, di mana penyerang tidak menargetkan sistem autentikasi utama tetapi mengeksploitasi proses pemulihan akun melalui rekayasa sosial, sehingga berhasil melewati semua langkah keamanan utama. Demikian pula, pelanggaran sistem dukungan Okta menunjukkan bagaimana alur pemulihan bisa menjadi titik terlemah, yang memungkinkan penyerang untuk mengatur ulang kredensial dan mendapatkan akses tidak sah ke lingkungan pelanggan.

Insiden-insiden ini menggarisbawahi sebuah kebenaran penting: menerapkan passkeys tanpa mengamankan alur pemulihan adalah seperti memasang pintu baja tetapi membiarkan jendelanya terbuka.

Mencapai autentikasi tanpa password yang sesungguhnya bukanlah satu langkah tunggal, melainkan sebuah perjalanan strategis yang memerlukan perencanaan cermat, implementasi bertahap, dan optimisasi berkelanjutan:

Fase pertama berfokus pada memperkenalkan passkeys sebagai metode autentikasi tambahan sambil mempertahankan opsi yang sudah ada sebagai cadangan. Tahap pembangunan fondasi ini memberi pengguna waktu untuk memahami dan mempercayai teknologi baru sambil tetap menyediakan metode yang sudah dikenal untuk mengurangi gesekan.

Langkah-Langkah Implementasi Utama:

• Integrasikan autentikasi passkey ke dalam alur autentikasi Anda yang sudah ada
• Aktifkan pembuatan passkey untuk pengguna baru dan yang sudah ada
• Pertahankan password dan metode autentikasi lainnya sebagai alternatif
• Lacak tingkat pembuatan passkey dan pola penggunaan

Metrik Keberhasilan:

• Persentase pengguna yang telah membuat setidaknya satu passkey di atas 50%
• Tingkat keberhasilan pembuatan passkey di atas 95%
• Penggunaan passkey awal untuk autentikasi mencapai 20-30%

Setelah passkeys tersedia, fokus beralih ke mendorong adopsi dan menjadikan passkeys sebagai metode autentikasi pilihan. Fase ini mengubah passkeys dari opsi alternatif menjadi pilihan autentikasi utama melalui keterlibatan pengguna yang strategis dan optimisasi.

Langkah-Langkah Implementasi Utama:

• Jadikan autentikasi passkey sebagai opsi default dalam alur login
• Terapkan prompt cerdas yang mendorong pembuatan passkey setelah login dengan password berhasil
• Edukasi pengguna tentang manfaat keamanan dan kenyamanan melalui pesan dalam aplikasi
• Berikan insentif untuk adopsi passkey (checkout lebih cepat, fitur eksklusif)
• Lakukan A/B testing pada berbagai pendekatan pesan dan UI untuk memaksimalkan konversi
• Terapkan kebijakan akses bersyarat yang mewajibkan passkeys untuk operasi sensitif

Metrik Keberhasilan:

• 60%+ pengguna aktif memiliki setidaknya satu passkey
• 80%+ login menggunakan passkeys untuk akun yang sudah mengaktifkan passkey
• Tingkat kegagalan pembuatan passkey kurang dari 2%

Di sinilah transformasi keamanan yang sesungguhnya terjadi: menghapus password sepenuhnya untuk pengguna yang secara konsisten menggunakan passkeys. Fase ini menghilangkan vektor serangan utama dengan menonaktifkan password bagi pengguna yang telah menunjukkan adopsi passkey yang berhasil.

Langkah-Langkah Implementasi Utama:

• Analisis pola autentikasi pengguna menggunakan sistem pemantauan cerdas
• Identifikasi pengguna yang secara eksklusif menggunakan passkeys dengan beberapa perangkat yang siap passkey
• Tawarkan penonaktifan password dengan pesan yang jelas tentang manfaat keamanannya
• Verifikasi ketersediaan passkey cadangan (disinkronkan ke cloud atau beberapa perangkat)

Metrik Keberhasilan:

• 30%+ pengguna yang memenuhi syarat secara sukarela menghapus password
• Tidak ada peningkatan dalam tingkat penguncian akun
• Skor kepuasan pengguna tetap atau meningkat

Fase terakhir mengatasi kerentanan terakhir: mengubah pemulihan akun menjadi proses yang tahan phishing. Fase ini memastikan bahwa alur pemulihan memiliki tingkat keamanan yang setara dengan autentikasi utama, sehingga mencegah serangan melalui pintu belakang.

Langkah-Langkah Implementasi Utama:

• Terapkan autentikasi multi-faktor dengan setidaknya satu faktor yang tahan phishing
• Faktor tahan phishing yang tersedia:
  • Passkeys Cadangan: Passkeys pemulihan yang disimpan di perangkat sekunder atau layanan cloud yang memberikan bukti identitas kriptografis (opsi yang paling banyak tersedia)
  • Digital Credentials API: Standar W3C untuk pernyataan identitas yang diverifikasi secara kriptografis dari penyedia tepercaya (teknologi baru, belum tersebar luas)
  • Hardware Security Keys: Token fisik FIDO2 yang terdaftar sebagai faktor pemulihan yang tidak dapat di-phishing atau diduplikasi (mengharuskan pengguna untuk membeli dan memelihara perangkat fisik)
  • Verifikasi Dokumen Identitas dengan Deteksi Kehidupan: Pemindaian ID pemerintah yang dikombinasikan dengan tindakan biometrik real-time untuk membuktikan kehadiran fisik

Catatan tentang opsi pemulihan: Meskipun Digital Credentials API dan Hardware Security Keys menawarkan keamanan yang kuat, keduanya belum diadopsi secara luas; yang pertama masih merupakan teknologi baru dan yang terakhir mengharuskan pengguna membeli perangkat fisik.

Ketika passkeys cadangan tidak tersedia, verifikasi dokumen identitas dengan deteksi kehidupan menjadi alternatif yang layak. Meskipun ada potensi cara untuk melewati pemeriksaan kehidupan tanpa kepemilikan fisik ID, metode-metode ini masih memberikan keamanan yang jauh lebih kuat daripada OTP tradisional, yang dapat dengan mudah dicegat melalui phishing, SIM swapping, atau serangan man-in-the-middle.

Metrik Keberhasilan:

• 100% alur pemulihan menyertakan faktor yang tahan phishing
• Tidak ada pengambilalihan akun yang berhasil melalui proses pemulihan
• Tingkat penyelesaian pemulihan dipertahankan di atas 90%

Gerakan tanpa password semakin mendapatkan momentum di seluruh industri teknologi, dengan perusahaan-perusahaan terkemuka mulai beralih dari password.

Beberapa perusahaan telah berhasil mencapai penghapusan password sepenuhnya untuk operasi internal mereka. Okta, Yubico, dan Cloudflare secara efektif telah mencapai penggunaan password nol secara internal dan alur login mereka tidak akan menerima password sama sekali.

Raksasa teknologi seperti Google, Apple, Microsoft, dan X secara aktif meninggalkan password tetapi belum menghapusnya sepenuhnya. Pendekatan mereka menyeimbangkan peningkatan keamanan dengan pilihan pengguna selama periode transisi.

Google telah mengambil sikap agresif dengan mengaktifkan "Lewati password jika memungkinkan" secara default untuk semua akun, menjadikan passkeys sebagai metode autentikasi pilihan sambil tetap memperbolehkan pengguna untuk memilih keluar jika diperlukan. Pendekatan opt-out ini menciptakan momentum kuat menuju sistem tanpa password sambil mempertahankan fleksibilitas bagi pengguna yang belum siap beralih.

Microsoft melangkah lebih jauh dengan memungkinkan pengguna untuk menghapus password mereka sepenuhnya dari akun mereka hari ini, dengan rencana untuk "pada akhirnya menghapus dukungan password sama sekali" di masa depan. Peta jalan yang jelas ini memberi sinyal kepada pengguna bahwa password hanya tinggal menunggu waktu, mendorong adopsi dini metode tanpa password.

Apple telah mengintegrasikan passkeys di seluruh ekosistemnya dan secara aktif mempromosikan penggunaannya, meskipun password Apple ID tetap tersedia sebagai opsi cadangan. Pendekatan mereka memanfaatkan sinkronisasi yang mulus di seluruh perangkat Apple untuk membuat adopsi passkey semudah mungkin.

Perusahaan-perusahaan ini tidak memaksakan perubahan segera tetapi mengirimkan pesan yang jelas: password akan hilang begitu adopsi mencapai massa kritis. Strategi mereka melibatkan menjadikan passkeys sebagai default, mengedukasi pengguna tentang manfaatnya, dan secara bertahap mengurangi fungsionalitas password.

Keputusan untuk menghapus password tidak boleh terburu-buru atau diterapkan secara universal. Sebaliknya, adopsi pendekatan bertahap yang berbasis data yang mempertimbangkan perilaku pengguna, kemampuan perangkat, dan profil risiko.

Sektor berisiko tinggi yang saat ini mengalami serangan phishing parah harus segera memulai transisi tanpa password mereka, tetapi tetap mengikuti peluncuran bertahap dan strategis:

• Bank & Lembaga Keuangan: Target utama pencurian kredensial. Untuk bank-bank Eropa, passkeys juga sejalan dengan persyaratan Strong Customer Authentication (SCA) PSD2, menyediakan MFA yang tahan phishing yang memenuhi kepatuhan regulasi sambil meningkatkan pengalaman pengguna.
• Penyedia Pembayaran & Fintech: Akses langsung ke dana pelanggan membuat mereka menarik bagi kejahatan siber terorganisir.
• Bursa Cryptocurrency: Transaksi yang tidak dapat dibatalkan berarti kredensial yang dicuri menyebabkan kerugian permanen.
• Layanan Kesehatan & Asuransi: Menghadapi persyaratan kepatuhan dan risiko keselamatan pasien dari pencurian identitas medis.
• Pemerintah & Infrastruktur Kritis: Menjadi sasaran aktor negara-bangsa dengan kampanye spear-phishing yang canggih.

Bagi organisasi-organisasi ini, tindakan segera sangat penting, tetapi keberhasilan masih memerlukan pendekatan peluncuran yang metodis dan bertahap. Mulailah hari ini, tetapi luncurkan secara strategis untuk memastikan adopsi yang tinggi dan menghindari penguncian akun pengguna.

Mulai dengan Subkelompok yang lebih kecil: Mulailah transisi tanpa password Anda dengan pengguna yang menunjukkan penggunaan passkey yang konsisten. Para pengguna awal ini akan membantu Anda mengidentifikasi potensi masalah sebelum penerapan yang lebih luas.

Analisis pola perilaku pengguna:

• Frekuensi login dan metode yang digunakan
• Jenis perangkat dan kompatibilitas passkey
• Upaya autentikasi yang gagal
• Penggunaan alur pemulihan
• Pola autentikasi lintas perangkat

Pengguna yang memenuhi syarat untuk penonaktifan password berdasarkan pola-pola ini:

• Secara konsisten melakukan autentikasi melalui passkeys - menunjukkan bahwa mereka nyaman dengan teknologi tersebut
• Menggunakan passkeys di beberapa perangkat - mengindikasikan mereka memiliki metode akses cadangan
• Belum menggunakan password atau alur pemulihan dalam 30-60 hari terakhir - menunjukkan bahwa mereka tidak bergantung pada autentikasi berbasis password

Corbado menyediakan platform komprehensif untuk memandu organisasi melalui keempat fase perjalanan tanpa password yang dijelaskan di atas. Dari implementasi passkey awal hingga mencapai penghapusan password sepenuhnya, solusi Corbado menangani kompleksitas teknis sambil menyediakan alat yang dibutuhkan untuk adopsi pengguna yang sukses.

Dukungan Fase 1 & 2: Corbado menawarkan integrasi passkey yang lancar dengan tumpukan autentikasi yang ada, prompt cerdas yang memaksimalkan tingkat adopsi, dan analitik terperinci untuk melacak pembuatan dan pola penggunaan passkey. Fitur Passkey Intelligence platform secara otomatis mengoptimalkan pengalaman pengguna berdasarkan kemampuan perangkat dan perilaku pengguna, memastikan proses orientasi yang mulus.

Implementasi Fase 3 & 4: Bagi organisasi yang siap menghapus password sepenuhnya, Corbado memungkinkan penonaktifan password secara bertahap berdasarkan kesiapan pengguna sambil mempertahankan alur pemulihan yang aman dan tahan phishing.

Dengan menangani kompatibilitas lintas platform, mekanisme cadangan, dan optimisasi pengalaman pengguna, Corbado mempercepat transformasi tanpa password dari hitungan tahun menjadi bulan, memungkinkan organisasi untuk fokus pada bisnis inti mereka sambil mencapai autentikasi yang tahan phishing.

Perjalanan menuju autentikasi tanpa password yang sesungguhnya menjawab dua pertanyaan krusial yang kita ajukan di awal:

Mengapa passkeys saja tidak cukup untuk keamanan yang lengkap? Karena keamanan hanya sekuat titik terlemahnya. Selama password masih tersedia, bahkan sebagai cadangan, penyerang hanya akan beralih untuk menargetkannya melalui phishing, credential stuffing, atau serangan downgrade. Setiap password dalam sistem Anda melemahkan manfaat passkeys yang tahan phishing.

Apa yang membuat pemulihan akun menjadi kerentanan tersembunyi? Alur pemulihan sering kali menjadi pintu belakang yang terlupakan. Seperti yang ditunjukkan oleh pelanggaran MGM Resorts dan Okta, penyerang semakin sering melewati implementasi passkey yang kuat dengan mengeksploitasi metode pemulihan yang lebih lemah seperti OTP SMS atau tautan ajaib email. Ini seperti memasang pintu baja tetapi membiarkan jendelanya terbuka.

Keamanan tanpa password yang sesungguhnya memerlukan penyelesaian seluruh perjalanan: menerapkan passkeys, mendorong adopsi, menghapus password sepenuhnya, dan mengamankan alur pemulihan dengan metode yang tahan phishing. Hanya dengan menutup semua pintu password, termasuk yang tersembunyi dalam proses pemulihan, organisasi dapat mencapai autentikasi yang benar-benar aman.