Metode Login dan Autentikasi Kode QR

Metode autentikasi yang aman dan nyaman menjadi semakin penting. Dengan semakin banyaknya layanan online yang kita akses setiap hari di berbagai perangkat, sistem berbasis kata sandi tradisional menjadi kurang efektif dan lebih merepotkan. Terutama bagi perusahaan dengan banyak pengguna di aplikasi native mereka (iOS atau Android), hal ini telah meningkatkan permintaan untuk login berbasis kode QR, yang menawarkan cara cepat dan mudah untuk mengautentikasi pengguna tanpa perlu mengetik kata sandi yang rumit atau bahkan nama pengguna.

Dalam konteks ini, muncul pertanyaan seperti berikut:

• Bagaimana cara kerja autentikasi berbasis kode QR dengan aplikasi native?
• Bagaimana perbandingannya dengan autentikasi berbasis kode QR dengan passkeys?

Native QR Code Revolut

Passkeys QR Code Apple

Contoh terkemuka untuk kode QR dalam login aplikasi native adalah layanan yang mengutamakan aplikasi seperti WhatsApp, TikTok, atau Revolut. Pada saat yang sama, ada daftar perusahaan yang mendukung login passkey yang berkembang pesat.

Dalam artikel ini, kita akan menjelajahi teknik autentikasi berbasis kode QR. Kita tidak akan fokus pada kode QR TOTP yang digunakan untuk inisialisasi faktor kedua (dengan aplikasi tambahan seperti Authy atau Google Authenticator).

Kita juga akan membandingkan berbagai metode autentikasi berbasis QR, memeriksa kekuatan, kelemahan, dan potensi kerentanan mereka.

Pada akhirnya, Anda akan memiliki pemahaman yang lebih jelas tentang apakah autentikasi berbasis kode QR adalah pilihan yang tepat untuk kebutuhan keamanan Anda.

Kode QR, atau Quick Response code, adalah barcode dua dimensi yang dapat menyimpan berbagai informasi, mulai dari URL hingga teks biasa. Awalnya dikembangkan pada tahun 1994 oleh Denso Wave, anak perusahaan dari Toyota Group, kode QR dirancang untuk melacak suku cadang otomotif dengan cepat dan efisien. Sejak saat itu, kode QR telah berevolusi dan menemukan tempatnya di berbagai industri karena kemampuannya menyimpan sejumlah besar data dalam kotak kecil yang dapat dipindai.

Istilah "QR Code" sebenarnya adalah merek dagang dari Denso Wave, meskipun teknologinya sendiri telah diadopsi secara luas dan tidak dibatasi oleh merek dagang tersebut. Kode QR dicirikan oleh pola kotak hitam putihnya, yang dapat dipindai menggunakan smartphone atau perangkat pemindai khusus (pemindai QR) untuk mengakses informasi yang dikodekan.

Dukungan untuk kode QR telah terintegrasi ke dalam sistem operasi seluler seperti iOS dan Android selama beberapa tahun. Kedua platform secara native mendukung pemindaian kode QR melalui aplikasi kamera masing-masing, sehingga memudahkan pengguna untuk berinteraksi dengan kode QR tanpa memerlukan perangkat lunak tambahan.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Umumnya, kode QR yang digunakan bersama aplikasi memanfaatkan URL kustom atau tautan aplikasi. Tautan ini dapat memicu aplikasi untuk terbuka secara otomatis jika terpasang di perangkat. Jika aplikasi tidak terpasang, kode QR dapat mengarahkan pengguna ke toko aplikasi yang relevan untuk mengunduh dan menginstal aplikasi, sehingga memfasilitasi pengalaman pengguna yang lancar. Di sini Anda dapat melihat daftar path yang telah didaftarkan oleh Revolut untuk Penanganan Aplikasi:

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

Seperti yang bisa Anda lihat, semua tautan yang diawali dengan “/app/*” akan ditangani, Anda akan melihat contohnya di bagian berikutnya. Dengan menyematkan URL kustom dan tautan aplikasi di dalam kode QR, bisnis dan pengembang dapat menciptakan pengalaman yang disesuaikan yang mengarahkan pengguna langsung ke aplikasi atau layanan yang diinginkan, meningkatkan kenyamanan dan keamanan dalam interaksi pengguna.

Login kode QR melalui aplikasi native memanfaatkan interaksi yang mulus antara kamera perangkat seluler dan URL spesifik yang disematkan di dalam kode QR. Prosesnya biasanya dimulai dengan pengguna memindai kode QR yang ditampilkan di situs web atau perangkat lain menggunakan kamera smartphone mereka. Kode QR berisi URL kustom yang dirancang khusus untuk berinteraksi dengan aplikasi native tertentu, seperti yang ditemukan di perangkat iOS atau Android.

Misalnya, layanan seperti Revolut mungkin menggunakan kode QR dengan URL seperti https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b. URL ini pasti akan dikenali oleh aplikasi Revolut yang terpasang di perangkat pengguna.

Saat kode QR dipindai, aplikasi secara otomatis menangkap tautan ini, mengenalinya, dan menampilkan aplikasi yang sesuai (dalam contoh di atas, lihat “Revolut” diidentifikasi sebagai Aplikasi yang cocok), dan melanjutkan untuk menangani proses login secara internal. Interaksi ini difasilitasi oleh mekanisme deep linking yang didukung oleh iOS dan Android, yang memungkinkan tautan spesifik untuk terbuka langsung di dalam aplikasi yang terpasang daripada di browser web:

Jika aplikasi tidak terpasang di perangkat, sistem operasi biasanya akan meminta pengguna untuk menginstal aplikasi dengan mengarahkan mereka ke toko aplikasi yang sesuai, baik itu Apple App Store untuk perangkat iOS atau Google Play Store untuk perangkat Android.

Ini memastikan bahwa bahkan jika pengguna tidak memiliki aplikasi yang terpasang pada awalnya, mereka dapat dengan cepat dan mudah mendapatkannya, melanjutkan proses setelah instalasi.

Dalam kebanyakan kasus, pelanggan yang sudah menginstal aplikasi akan mengalami proses login yang lancar. Mereka memindai kode QR, aplikasi terbuka secara otomatis, dan autentikasi selesai tanpa perlu memasukkan nama pengguna atau kata sandi. Metode ini terutama memberikan kemudahan bagi pengguna, karena tidak ada informasi sensitif yang ditransmisikan selama proses pemindaian kode QR.

Secara teknis, yang terjadi adalah sesi login yang sudah ada di ponsel digunakan untuk mengautentikasi sesi baru di desktop. Ada berbagai teknik untuk melakukannya. Versi yang sangat rumit dipublikasikan dalam Whitepaper Keamanan WhatsApp di bawah Registrasi Klien à Registrasi Perangkat Pendamping à Menautkan Menggunakan Kode QR.

Diambil dari https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/

Karena WhatsApp mendukung akses multi-perangkat dan enkripsi ujung-ke-ujung sejak 2021, arsitekturnya tidak sepenuhnya cocok untuk autentikasi – karena protokol ini terutama dirancang untuk aplikasi perpesanan multi-perangkat. Ada pendekatan yang lebih sederhana untuk mencapai jabat tangan yang aman, tergantung pada implementasi autentikasi yang sebenarnya. Yang perlu diingat adalah Anda harus selalu memastikan penanganan sesi pengguna dan saluran komunikasi antara perangkat dan server yang aman. Terlepas dari kompleksitas implementasi login autentikasi kode QR, beberapa prinsip keamanan utama harus selalu diikuti:

1. Integritas Sesi: Sesi login yang ada di ponsel, yang digunakan untuk mengautentikasi sesi baru di desktop atau perangkat lain, harus divalidasi dengan aman. Ini biasanya melibatkan pemeriksaan keaslian sesi menggunakan token aman atau metode kriptografi lainnya untuk mencegah pembajakan sesi atau serangan replay.
2. Komunikasi Terenkripsi: Semua komunikasi antara aplikasi seluler, server, dan perangkat yang meminta autentikasi harus dienkripsi menggunakan HTTPS. Ini membantu memastikan bahwa informasi sensitif, termasuk token sesi dan detail login, tidak dapat disadap atau diubah selama transmisi.
3. Pembuatan Token yang Aman: Setiap token atau kredensial yang dibuat untuk proses autentikasi kode QR harus dibuat dengan aman. Ini bisa termasuk mengikatnya ke perangkat yang meminta sehingga tidak dapat digunakan di perangkat lain sebagai tindakan pencegahan (misalnya Browser-Agent).
4. Login Diverifikasi oleh Pengguna: Sebelum menyelesaikan proses autentikasi, disarankan untuk memiliki langkah di mana pengguna dapat memverifikasi atau mengonfirmasi upaya login. Ini bisa berupa notifikasi di perangkat seluler yang memerlukan persetujuan pengguna dan menunjukkan detail autentikasi, menambahkan lapisan keamanan ekstra (seperti yang terlihat pada tangkapan layar di atas).
5. Pembatasan Berbasis Waktu: Terapkan pembatasan berbasis waktu pada validitas kode QR untuk meminimalkan risiko kode QR digunakan untuk akses tidak sah jika jatuh ke tangan yang salah. Membatasi jendela waktu di mana kode QR dapat digunakan membantu mengurangi potensi ancaman keamanan. Kode QR harus diperbarui secara otomatis dan memiliki validitas maksimum kurang dari 120 detik untuk menghindari serangan man-in-the-middle.
6. Pembatasan Berbasis Lokasi: Pembatasan terkait upaya login, seperti deteksi “perjalanan yang mustahil”, juga harus diberlakukan dengan kode QR. Ini bisa melibatkan pencegatan otomatis upaya login berdasarkan intelijen berbasis IP yang mencurigakan, seperti membuat kode QR di AS sementara aplikasi dibuka untuk autentikasi di Eropa.
7. Pembatasan Laju, Pencatatan, dan Pemantauan: Terapkan pembatasan laju, pencatatan, dan pemantauan yang sesuai untuk mendeteksi dan menanggapi aktivitas mencurigakan yang terkait dengan login kode QR. Ini membantu dalam mengidentifikasi potensi pelanggaran keamanan dan mengambil tindakan tepat waktu untuk melindungi akun pengguna.
8. Notifikasi Pengguna: Upaya login yang berhasil di perangkat baru harus memicu notifikasi email kepada pengguna dengan informasi penting (seperti kapan dan di mana upaya login dilakukan dengan perangkat dan alamat IP mana) dan instruksi tentang apa yang harus dilakukan jika login tidak dipicu oleh pengguna (seperti segera menghubungi layanan, memantau akun, atau menghapus semua perangkat yang login jika sistem mendukungnya).

Dengan mengikuti praktik terbaik ini, perusahaan dapat menerapkan autentikasi berbasis kode QR yang ramah pengguna dan aman, memanfaatkan kemudahan perangkat seluler sambil mempertahankan langkah-langkah keamanan yang kuat untuk melindungi data dan sesi pengguna.

Become part of our Passkeys Community for updates & support.

Join

Sekarang mari kita lihat login kode QR melalui passkeys.

Autentikasi berbasis passkey menawarkan sistem autentikasi lintas perangkat yang aman yang terintegrasi ke dalam ekosistem iOS dan Android dan ditentukan dalam standar WebAuthn. Saat ini, hanya passkeys yang dibuat di iOS atau Android yang dapat digunakan untuk autentikasi lintas perangkat (CDA) melalui kode QR.

Mari kita analisis cara kerja login kode QR dengan passkeys. Bagan berikut menunjukkan gambaran tingkat tinggi dari berbagai langkah.

Untuk iOS dan Android, passkeys disimpan di dalam authenticator native platform (misalnya Face ID, Touch ID, atau Android Biometrics). Ini memastikan bahwa passkeys pengguna tersedia di semua perangkat mereka yang masuk ke Apple ID yang sama (untuk iOS) atau akun Google (untuk Android) pada versi sistem operasi modern.

• Kedua Perangkat Membutuhkan Koneksi Internet Aktif: Kedua perangkat yang terlibat dalam proses autentikasi harus memiliki koneksi internet aktif. Ini sangat penting untuk menyinkronkan data dan memverifikasi kredensial selama proses autentikasi.
• Kedua Perangkat Harus Mendukung Bluetooth: Kedua perangkat harus mendukung Bluetooth, dan Bluetooth harus diaktifkan. Bluetooth digunakan untuk membangun kedekatan antara perangkat, memastikan bahwa perangkat berada di dekat satu sama lain selama autentikasi, sehingga mengurangi risiko phishing dari lokasi jarak jauh.

• Passkeys Desktop yang Terikat pada Perangkat: Passkeys yang terikat pada perangkat dan berada di desktop, misalnya di platform Windows, tidak memenuhi syarat untuk CDA berbasis kode QR.
• Ketergantungan pada Bluetooth: Bergantung pada Bluetooth terkadang bisa menjadi kelemahan karena potensi masalah konektivitas atau pengaturan perangkat yang mungkin mengganggu pemeriksaan jarak Bluetooth. Meskipun membangun kedekatan dapat meningkatkan keamanan, hal itu juga dapat menyebabkan tantangan kegunaan jika perangkat gagal terhubung melalui Bluetooth. Namun, setelah perangkat berhasil dipasangkan, koneksi berikutnya biasanya menjadi lebih mudah.

Discuss passkeys news and questions in r/passkey.

Join Subreddit

• Tidak Ada Serangan Phishing Jarak Jauh: Penggunaan Bluetooth untuk pemeriksaan jarak memastikan bahwa kedua perangkat secara fisik berdekatan selama proses autentikasi, mengurangi risiko serangan phishing dari lokasi jarak jauh.
• Passkeys yang Tersinkronisasi Memberikan UX yang Lebih Baik: Sinkronisasi passkeys di seluruh perangkat juga memberikan pengalaman pengguna yang mulus, karena pengguna tidak perlu mengelola beberapa set kredensial.

Saat menerapkan Autentikasi Lintas Perangkat (CDA) berbasis passkey, sangat penting untuk memberikan panduan yang jelas kepada pengguna tentang prosesnya. Pengguna harus diinformasikan bahwa kode QR akan ditampilkan dan mereka perlu menggunakan ponsel mereka untuk memindainya.

Menurut kami, penting untuk memastikan bahwa kode QR tidak ditampilkan jika pengguna tidak memiliki passkey yang dapat digunakan untuk CDA. Selain itu, perlu untuk memverifikasi bahwa sistem operasi dan browser pengguna saat ini mendukung CDA sebelum menampilkan kode QR.

Want to find out how many people use passkeys?

View Adoption Data

Untuk mengelola skenario ini secara efektif, kami telah menguraikan semua kasus kritis dalam artikel ini, jadi kami tidak akan membahasnya secara detail di sini. Sistem intelijen passkey kami dirancang untuk menangani situasi ini secara otomatis, memastikan bahwa kode QR hanya ditampilkan saat sesuai dan membimbing pengguna dengan lancar melalui proses autentikasi. Ini memastikan pengalaman yang mulus sambil mempertahankan keamanan tinggi dan kompatibilitas di berbagai perangkat dan sistem operasi.

Di bagian ini, kita akan merangkum dua metode login utama berbasis kode QR yang dibahas dalam artikel ini: login kode QR melalui aplikasi native dan login kode QR melalui passkeys. Setiap metode menawarkan keunggulan unik dan cocok untuk kasus penggunaan yang berbeda berdasarkan faktor-faktor seperti keamanan, pengalaman pengguna, dan kompleksitas implementasi.

• Login Kode QR melalui Aplikasi Native memanfaatkan deep linking untuk menghubungkan kode QR dengan aplikasi spesifik yang terpasang di perangkat seluler. Saat pengguna memindai kode QR, aplikasi terkait dipicu, memfasilitasi proses login yang mulus dan aman. Metode ini umum digunakan dalam aplikasi yang mengutamakan aplikasi seperti WhatsApp, TikTok, dan Revolut, di mana pengguna terbiasa dengan lingkungan aplikasi dan dapat dengan mudah mengautentikasi tanpa perlu memasukkan kata sandi.
• Login Kode QR melalui Passkeys menggunakan pendekatan autentikasi lintas perangkat yang lebih canggih, yang terintegrasi langsung dengan authenticator platform sistem operasi (tidak perlu menginstal aplikasi native apa pun). Metode ini dirancang untuk memberikan tingkat keamanan yang tinggi, menggunakan passkeys yang disinkronkan dan mengharuskan kedua perangkat berada dalam jarak dekat (diverifikasi melalui Bluetooth) selama proses autentikasi. Metode ini menawarkan perlindungan yang kuat terhadap serangan phishing dan memberikan pengalaman pengguna yang efisien di berbagai perangkat.

Mari kita lihat bagaimana kedua metode ini dibandingkan dan memiliki karakteristik yang berbeda:

Tabel Perbandingan: Login Kode QR via Aplikasi Native vs. Login Kode QR via Passkeys

Kami telah fokus pada karakteristik berbasis autentikasi dalam tabel perbandingan, dan persyaratan di sekitarnya yang diuraikan di bagian tiga berlaku untuk kedua alternatif. Pembatasan berbasis lokasi dan waktu tidak diperlukan dengan passkeys, karena metode ini menggunakan ketahanan terhadap phishing dan pemeriksaan jarak melalui WebAuthn.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Seperti yang diuraikan di pendahuluan, kita telah melihat dua skenario paling umum dari autentikasi lintas perangkat, mari kita rangkum secara singkat:

• Login Kode QR via Aplikasi Native ideal untuk perusahaan dengan basis pengguna yang kuat di aplikasi native mereka, belum mempertimbangkan untuk menerapkan passkeys, dan tidak terlalu khawatir dengan serangan phishing. Metode ini memberikan kemudahan dan keamanan dengan menggunakan mekanisme autentikasi yang ada di aplikasi, mengurangi gesekan bagi pengguna yang sering menggunakan aplikasi, tetapi tidak membantu untuk login aplikasi yang jarang.
• Login Kode QR via Passkeys menawarkan opsi yang lebih aman dan fleksibel, terutama untuk lingkungan di mana autentikasi lintas perangkat diperlukan dan passkeys juga sedang dipertimbangkan atau sudah digunakan sebagai faktor autentikasi. Dengan memanfaatkan autentikasi tingkat platform dan pemeriksaan jarak berbasis Bluetooth, metode ini membawa satu-satunya metode autentikasi multi-faktor tahan phishing yang siap untuk masa depan juga ke kasus lintas perangkat.

Untuk menjawab pertanyaan kita dari pendahuluan:

• Bagaimana perbedaan kedua pendekatan tersebut: Setiap organisasi harus memilih metode yang paling sesuai dengan kebutuhannya, dengan mempertimbangkan faktor-faktor seperti basis pengguna, persyaratan keamanan, dan pengalaman pengguna yang diinginkan. Untuk layanan yang berpusat pada aplikasi, mengintegrasikan login kode QR melalui aplikasi native mungkin sudah cukup. Namun, bagi mereka yang memprioritaskan keamanan maksimum dan kemampuan lintas perangkat, login kode QR melalui passkeys menyajikan solusi yang kuat.

Terlepas dari evaluasi saat ini tentang solusi mana yang cocok dengan arsitektur autentikasi yang ada, perlu diingat bahwa passkeys adalah investasi untuk masa depan autentikasi, karena ekosistem jelas bergerak ke arah ini. Memulai lebih awal untuk mengumpulkan passkeys dapat dikombinasikan dengan berbagai strategi CDA.