---
url: 'https://www.corbado.com/id/blog/passkey-berbasis-perangkat-keras-adopsi-konsumen'
title: 'Passkey Berbasis Perangkat Keras: Perlombaan Sebenarnya Adalah Adopsi'
description: 'Siapa yang memenangkan perlombaan konsumen untuk passkey berbasis perangkat keras? Bandingkan kunci keamanan, kartu pintar FIDO2, dan dompet kripto, serta pelajari mengapa adopsi mengalahkan perangkat keras itu sendiri.'
lang: 'id'
author: 'Vincent Delitz'
date: '2026-05-19T12:05:33.146Z'
lastModified: '2026-05-19T12:28:31.155Z'
keywords: 'passkey berbasis perangkat keras, kunci keamanan vs passkey, passkey perangkat keras terbaik, passkey konsumen yubikey, passkey kartu pintar arculus, perbankan kartu pintar fido2, passkey yang disinkronkan vs terikat perangkat'
category: 'Passkeys Strategy'
---

# Passkey Berbasis Perangkat Keras: Perlombaan Sebenarnya Adalah Adopsi

## Key Facts

- Passkey berbasis perangkat keras mencapai NIST AAL3. Passkey tersinkronisasi dibatasi pada AAL2 karena sinkronisasi cloud membuat kunci dapat diekspor.
- iOS dan Android memegang lebih dari 99 persen pangsa seluler, menurut StatCounter. Keduanya menyembunyikan autentikator perangkat keras 1 hingga 3 klik di bawah kredensial tersinkronisasi.
- Yubico telah mengirimkan lebih dari 30 juta YubiKey sejak 2008. CompoSecure mengirimkan lebih dari 100 juta kartu logam per tahun. IDEMIA memproduksi lebih dari 3 miliar elemen aman setiap tahunnya.
- Aktivasi passkey berbasis perangkat keras dalam perbankan konsumen berada di bawah 5 persen beberapa bulan setelah peluncuran, menurut FIDO Alliance Authentication Barometer 2024.
- Ledger telah mengirimkan lebih dari 7 juta dompet. Trezor lebih dari 2 juta. Hak asuh mandiri kripto adalah satu-satunya kategori konsumen di mana pengguna membeli perangkat keras secara mandiri.
- Perlombaan tidak akan dimenangkan oleh perangkat keras terkuat. Ini akan dimenangkan oleh pemain yang memasangkan perangkat keras dengan adopsi engineering dan observabilitas passkey.

## 1. Pendahuluan: Siapa yang Memenangkan Perlombaan Konsumen?

Passkey berbasis perangkat keras adalah cara paling aman untuk masuk, tetapi hampir tidak ada yang menggunakannya di aplikasi konsumen. Produsen [kunci keamanan](https://www.corbado.com/glossary/security-key) dan produsen [kartu pintar](https://www.corbado.com/glossary/smart-card) telah mendorong faktor bentuk ini selama bertahun-tahun. Meskipun begitu, [FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/) menunjukkan aktivasi passkey berbasis perangkat keras dalam [perbankan](https://www.corbado.com/passkeys-for-banking) konsumen masih berada di bawah 5 persen pada tahun 2025.

Alasannya sederhana. Apple dan Google mengontrol lebih dari 99 persen pangsa seluler menurut [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide) dan mereka memutuskan jenis passkey mana yang dilihat pengguna terlebih dahulu. Jadi perlombaan konsumen tidak akan dimenangkan oleh perusahaan dengan kunci terkuat. Perlombaan ini akan dimenangkan oleh perusahaan yang menggabungkan perangkat keras dengan perangkat lunak, data, dan distribusi.

### 1.1 Terminologi: Passkey Berbasis Perangkat Keras vs. Tersinkronisasi

Passkey berbasis perangkat keras adalah kredensial [FIDO2](https://www.corbado.com/glossary/fido2) yang private key-nya tetap terkunci di dalam elemen aman fisik. Kunci tersebut tidak pernah meninggalkan perangkat. [Passkey tersinkronisasi](https://www.corbado.com/blog/device-bound-synced-passkeys) menggunakan kriptografi [FIDO2](https://www.corbado.com/glossary/fido2) yang sama tetapi menyalin kunci di seluruh perangkat kita melalui [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain), [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager), atau pengelola kata sandi pihak ketiga. [Spesifikasi W3C WebAuthn Level 3](https://www.w3.org/TR/webauthn-3/) memperlakukan keduanya sebagai jenis kredensial yang sama dengan kebijakan penyimpanan yang berbeda. Industri ini juga menyebut passkey berbasis perangkat keras sebagai "[device-bound passkeys](https://www.corbado.com/blog/fbi-operation-winter-shield-passkeys)" atau "hardware-bound WebAuthn credentials". Artikel ini menggunakan ketiga istilah tersebut sebagai sinonim.

Kesalahpahaman yang umum adalah bahwa setiap passkey yang didukung oleh elemen aman di ponsel atau laptop bersifat berbasis perangkat keras. Praktiknya, [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) dan [Android StrongBox](https://source.android.com/docs/security/features/keystore) menampung passkey yang secara default tersinkronisasi melalui [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) atau [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager), sehingga private key dapat dipulihkan dari cloud. Satu-satunya elemen aman konsumen yang masih menjaga kunci secara lokal saat ini adalah TPM [Windows Hello](https://www.corbado.com/glossary/windows-hello), dan bahkan Microsoft sedang bergerak menuju sinkronisasi di dalam Edge. Karena [Windows Hello](https://www.corbado.com/glossary/windows-hello) tidak memerlukan pembelian perangkat keras tambahan dan sudah terpasang di laptop, artikel ini mengecualikannya dari perlombaan konsumen berbasis perangkat keras dan berfokus pada kunci keamanan khusus, kartu pintar FIDO2, dan dompet kripto.

Satu perbedaan tersebut - apakah kunci dapat meninggalkan perangkat keras - mendorong hampir semua properti hilir, mulai dari tingkat jaminan [NIST](https://www.corbado.com/blog/nist-passkeys) hingga alur pemulihan. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) menempatkan passkey berbasis perangkat keras pada [AAL3](https://www.corbado.com/blog/nist-passkeys), tingkat tertinggi, sementara passkey tersinkronisasi dibatasi pada [AAL2](https://www.corbado.com/blog/nist-passkeys). Kesenjangan satu langkah tersebut penting bagi regulator yang mewajibkan pengikatan faktor kepemilikan, termasuk [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), RBI 2024, dan APRA CPS 234.

### 1.2 Mengapa Passkey Tersinkronisasi Memenangkan Slot Default

Passkey tersinkronisasi mengambil slot default karena Apple dan Google mengirimkannya terlebih dahulu dan mengontrol prompt tersebut. Apple menambahkan dukungan sinkronisasi passkey [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) pada 2021, [Google Password Manager](https://www.corbado.com/blog/passkeys-vs-password-managers) menyusul pada 2022, dan keduanya menggunakan WebAuthn [Conditional UI](https://www.corbado.com/glossary/conditional-ui) untuk menampilkan kredensial tersinkronisasi tepat di dalam bilah isi otomatis. Sebuah [autentikator](https://www.corbado.com/glossary/authenticator) perangkat keras berada satu hingga tiga klik lebih dalam di setiap alur default.

[FIDO Alliance Online Authentication Barometer 2024](https://fidoalliance.org/content/research/) melaporkan bahwa 64 persen konsumen secara global telah memperhatikan passkey dan 53 persen telah mengaktifkan passkey pada setidaknya satu akun. Hampir semua pendaftaran tersebut tersinkronisasi.

### 1.3 Di Mana Perlombaan Konsumen Sebenarnya Terjadi

Dalam artikel ini, "konsumen" berarti CIAM. Kita berbicara tentang pelanggan eksternal yang masuk ke bank, bursa kripto, dompet [pemerintah](https://www.corbado.com/passkeys-for-public-sector) [dompet](https://www.corbado.com/blog/digital-wallet-assurance), atau platform kreator. Kita tidak sedang membicarakan login tenaga kerja, di mana passkey berbasis perangkat keras sudah mendominasi. Pertanyaan menariknya adalah perjalanan konsumen mana yang terbuka berikutnya dan pemain mana yang mencapainya lebih dulu.

Perlombaan ini mencakup dua faktor bentuk yang benar-benar harus dibeli oleh konsumen dan tiga jalur distribusi.

- **Faktor bentuk**: USB atau [kunci keamanan NFC](https://www.corbado.com/blog/best-fido2-hardware-security-keys) dan [kartu pintar](https://www.corbado.com/blog/best-fido2-smartcards) FIDO2 yang terpasang di dalam kartu [pembayaran](https://www.corbado.com/passkeys-for-payment). Perangkat keras kripto [dompet](https://www.corbado.com/blog/digital-wallet-assurance) berada di samping keduanya sebagai kategori niche ketiga.
- **Jalur distribusi**: penjualan langsung ke konsumen, perangkat yang dikirimkan oleh bank atau [pemerintah](https://www.corbado.com/passkeys-for-public-sector) kepada penggunanya, dan dompet kripto yang dibeli oleh pengguna hak asuh mandiri.

### 1.4 Tesis Artikel Ini

Perangkat keras yang baik sangat diperlukan, tetapi itu tidak lagi cukup. Vendor dengan chip terkuat tidak akan secara otomatis memenangkan adopsi konsumen. Hambatan sebenarnya berada di atas silikon: prompt browser, tumpukan NFC pada berbagai ponsel [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), desain pemulihan, dan distribusi konsumen. Pemenangnya adalah perusahaan yang memadukan perangkat keras dengan adopsi engineering dan [observabilitas passkey](https://www.corbado.com/blog/authentication-observability).

Sisa artikel ini membahas sejarah, pemain, hambatan, kasus penggunaan di dunia nyata, dan pedoman praktis bagi perusahaan mana pun yang ingin keluar dari segmen perusahaan (enterprise) dan masuk ke segmen konsumen.

## 2. Bagaimana Autentikator Perangkat Keras Sampai di Sini?

Kredensial berbasis perangkat keras bukanlah hal baru. Usianya sekitar 30 tahun lebih tua dari FIDO. Kartu pintar PKI tiba di sektor [pemerintahan](https://www.corbado.com/passkeys-for-public-sector) pada 1990-an, dikodifikasi oleh [standar NIST FIPS 201 PIV](https://csrc.nist.gov/publications/detail/fips/201/3/final). Token RSA SecurID menyusul di VPN perusahaan. Kartu chip-and-PIN EMV mencapai [pembayaran](https://www.corbado.com/passkeys-for-payment) pada 2002. [EMVCo](https://www.emvco.com/about/) melaporkan lebih dari 12 miliar kartu EMV beredar hari ini, yang menjadikan chip pada kartu [pembayaran](https://www.corbado.com/passkeys-for-payment) sebagai platform kriptografi perangkat keras terbesar yang pernah digunakan dalam sejarah.

Rantai pasokan elemen aman yang sama, yang dijalankan oleh IDEMIA, Thales, dan Infineon pada lebih dari 3 miliar chip setahun, kini memproduksi silikon di dalam kartu pintar FIDO2. Tiga pergeseran industri yang membawa [autentikator](https://www.corbado.com/glossary/authenticator) perangkat keras ke dalam FIDO2 terjadi hanya dalam empat tahun, antara 2014 dan 2018.

### 2.1 Dari U2F ke FIDO2 (2014 hingga 2018)

[FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) meluncurkan FIDO U2F pada 2014, dengan token perangkat keras pertama yang dikirimkan oleh beberapa vendor [kunci keamanan](https://www.corbado.com/glossary/security-key). Google meluncurkan kunci U2F ke lebih dari 89.000 karyawan pada 2017 dan melaporkan nol pengambilalihan akun terkait [phishing](https://www.corbado.com/glossary/phishing) pada tahun berikutnya, menurut [Krebs on Security](https://krebsonsecurity.com/2018/07/google-security-keys-neutralized-employee-phishing/). Namun U2F hanya merupakan faktor kedua. Pengguna masih memiliki kata sandi dan ketukan perangkat keras hanyalah langkah ekstra di atasnya. Faktor bentuknya tetap di ranah perusahaan: kunci USB kecil untuk staf Google, badan [pemerintah](https://www.corbado.com/passkeys-for-public-sector), dan segelintir bursa kripto.

[FIDO2](https://www.corbado.com/glossary/fido2) dan [WebAuthn](https://www.w3.org/TR/webauthn-3/) mengubah hal itu pada 2018 dengan mengubah U2F menjadi kerangka kerja tanpa kata sandi (passwordless) yang utuh. Elemen aman yang sama yang dulunya mendukung faktor kedua kini dapat mendukung kredensial login utama.

### 2.2 Pergeseran Branding Passkey (2022)

Pada Mei 2022, Apple, Google, Microsoft, dan [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) bersama-sama meluncurkan merek "passkey" di [konferensi FIDO Alliance Authenticate](https://fidoalliance.org/expanded-support-for-fido-authentication-in-ios-and-macos/). Idenya adalah satu kata sederhana yang dapat dipahami konsumen untuk kredensial FIDO2 baik yang tersinkronisasi maupun yang terikat pada perangkat.

Apple meluncurkan sinkronisasi passkey [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) di [iOS](https://www.corbado.com/blog/webauthn-errors) 16 pada September 2022, menurut [catatan rilis pengembang Apple](https://developer.apple.com/passkeys/). Google menyusul pada Oktober 2022 pada [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android) 9 dan yang lebih baru, menurut [blog Identity](https://blog.google/technology/safety-security/passkeys-google-account/) mereka.

[Microsoft](https://www.microsoft.com/) adalah yang paling lambat dari ketiganya. [Windows Hello](https://www.corbado.com/glossary/windows-hello) telah mengirimkan kredensial yang terikat TPM sejak 2015, menurut [dokumentasi Windows Hello](https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/), tetapi akun konsumen tidak dapat [menyinkronkan passkey antar perangkat](https://www.corbado.com/blog/passkeys-sharing) selama bertahun-tahun. Microsoft baru menambahkan dukungan passkey untuk akun Microsoft konsumen pada Mei 2024, dan passkey tersinkronisasi di [Microsoft Edge Password Manager](https://learn.microsoft.com/en-us/deployedge/microsoft-edge-passkeys) hadir lebih lambat lagi, pada 2025. Jadi, sementara Apple dan Google unggul dua hingga tiga tahun dalam passkey konsumen tersinkronisasi, Microsoft masih mengejar ketertinggalan pada sinkronisasi lintas perangkat di dalam browsernya sendiri.

Vendor perangkat keras memperkirakan perubahan merek besar dari empat pemain utama ini akan mengangkat permintaan terhadap kunci keamanan dan kartu pintar. Ternyata tidak. Passkey tersinkronisasi menyerap hampir semua pendaftaran konsumen baru, menurut [FIDO Alliance Barometer](https://fidoalliance.org/content/research/).

### 2.3 Terbagi menjadi 2 Jalur

Dalam waktu 18 bulan, ekosistem terbagi menjadi dua jalur yang jelas. Jalur konsumen didominasi oleh passkey tersinkronisasi, di mana Apple dan Google membangun alur default di sekitar pengelola mereka sendiri. Jalur perusahaan didominasi oleh passkey berbasis perangkat keras, di mana departemen TI membeli kunci keamanan atau [kartu pintar FIDO2](https://www.corbado.com/blog/best-fido2-smartcards) untuk identitas tenaga kerja. [FIDO Alliance](https://www.corbado.com/glossary/fido-alliance) menilai pasar perusahaan tersebut dengan lebih dari 1 miliar USD dalam pengeluaran perangkat keras [autentikator](https://www.corbado.com/glossary/authenticator) tahunan.

Vendor perangkat keras tidak pernah menyerah pada konsumen. Pertanyaan sebenarnya adalah apakah mereka masih memiliki jalan yang kredibel atau apakah lapisan OS telah mengunci mereka untuk selamanya.

## 3. Siapa yang Bersaing dalam Perlombaan Konsumen?

Dua faktor bentuk bersaing memperebutkan ruang. Kunci keamanan memimpin dalam penjualan langsung ke penggemar dan perusahaan. Kartu pintar memiliki saluran distribusi terbesar melalui bank: lebih dari 1,5 miliar kartu EMV diterbitkan setiap tahun menurut [statistik EMVCo](https://www.emvco.com/about/).

Vendor yang bersaing terbagi dalam dua kubu. Produsen [kunci keamanan](https://www.corbado.com/glossary/security-key) menjual kunci USB atau NFC secara langsung kepada pengguna akhir dan perusahaan. Produsen [kartu pintar](https://www.corbado.com/glossary/smart-card) dan elemen aman membangun chip dan kartu yang diterbitkan oleh bank. Setiap kubu menghadapi masalah biaya unit yang berbeda, dan tidak ada satupun yang mampu memecahkan kesenjangan distribusi konsumen sendirian.

### 3.1 Siapa yang Memimpin Faktor Bentuk Kunci Keamanan?

Beberapa produsen kunci keamanan bersaing di segmen ini. Kunci keamanan modern umumnya mendukung FIDO2, FIDO U2F, kartu pintar PIV, OpenPGP, dan OTP di seluruh USB-A, USB-C, NFC, dan Lightning, dan beberapa menambahkan sensor sidik jari di perangkat. Tabel di bawah ini memberikan ikhtisar tentang vendor yang paling relevan di pasar konsumen dan perusahaan.

| **Vendor**                                            | **Pusat**    | **Produk Utama**                     | **Konektor**                 | **Sudut Pandang Utama**                                              |
| ----------------------------------------------------- | ------------ | ------------------------------------ | ---------------------------- | -------------------------------------------------------------- |
| [Yubico](https://www.yubico.com/)                     | Swedia / AS  | YubiKey 5, YubiKey Bio, Security Key | USB-A, USB-C, NFC, Lightning | Merek direct-to-consumer terbesar, dukungan protokol yang luas |
| [Feitian](https://www.ftsafe.com/)                    | Tiongkok     | ePass, BioPass, MultiPass            | USB-A, USB-C, NFC, BLE       | Pesaing terbesar berdasarkan volume unit global, OEM untuk Google Titan |
| [Token2](https://www.token2.com/)                     | Swiss        | T2F2, Bio3                           | USB-A, USB-C, NFC            | Terjangkau, varian PIN+ dan biometrik                        |
| [Google](https://cloud.google.com/titan-security-key) | AS           | Titan Security Key                   | USB-C, NFC                   | Menjadi jangkar Google Advanced Protection, diproduksi oleh Feitian |
| [OneSpan](https://www.onespan.com/)                   | AS           | DIGIPASS FX1 BIO                     | USB-A, USB-C, NFC, BLE       | Berfokus pada perbankan, sensor sidik jari opsional                   |
| [Identiv](https://www.identiv.com/)                   | AS           | uTrust FIDO2                         | USB-A, USB-C, NFC            | Warisan kartu pintar perusahaan dan pemerintah                  |
| [Kensington](https://www.kensington.com/)             | AS           | VeriMark Guard                       | USB-A, USB-C                 | Pembaca sidik jari biometrik, distribusi ritel arus utama  |

Harga satu perangkat adalah 40 hingga 80 USD per halaman penetapan harga produsen, yang dapat dikelola dalam pengaturan perusahaan namun membunuh adopsi pada skala konsumen. Masalah NFC, pemulihan, dan distribusi yang menyertai label harga tersebut dibahas secara rinci di bagian 4.

### 3.2 Siapa yang Memimpin Faktor Bentuk Kartu Pintar?

Produsen [kartu pintar](https://www.corbado.com/glossary/smart-card) bersaing di segmen FIDO2 yang diterbitkan bank. Lanskap vendor terbagi menjadi pembuat kartu dan pemasok chip. Pembuat kartu seperti [CompoSecure](https://www.compositionusa.com/) (yang mengirimkan produk FIDO2 [Arculus](https://www.arculus.co/)), [IDEMIA](https://www.idemia.com/), NagraID, [Feitian](https://www.ftsafe.com/), dan TrustSEC memproduksi kartu FIDO2 itu sendiri. Pemasok chip, tiga raksasa elemen aman [IDEMIA](https://www.idemia.com/), [Thales](https://www.thalesgroup.com/), dan [Infineon](https://www.infineon.com/), memproduksi elemen aman di dalam sebagian besar kartu. [IDEX Biometrics](https://www.idexbiometrics.com/) memasok sensor sidik jari pada kartu yang mengubah kartu pintar menjadi [kartu pintar biometrik](https://www.corbado.com/blog/best-fido2-smartcards).

Distribusi ke [penerbit](https://www.corbado.com/glossary/issuer) kartu sudah terpecahkan melalui rantai pasokan kartu [pembayaran](https://www.corbado.com/passkeys-for-payment) yang ada. Tantangannya adalah meyakinkan [penerbit](https://www.corbado.com/glossary/issuer) untuk menyerap premium biaya unit dan memastikan ketukan NFC berfungsi dengan andal di seluruh perangkat.

Kartu pintar FIDO2 menambahkan 2 hingga 5 USD di atas biaya dasar 5 hingga 15 USD untuk bodi kartu logam atau biometrik. Menurut [Juniper Research 2024](https://www.juniperresearch.com/), kartu pembayaran biometrik akan melebihi 140 juta unit yang dikirimkan secara global pada tahun 2027.

### 3.3 Bagaimana dengan Hybrid dan Pendekatan Lain?

Beberapa produk lain bersaing untuk kasus penggunaan yang sama tanpa benar-benar masuk ke dalam salah satu faktor bentuk. [Ledger](https://www.ledger.com/) telah mengirimkan lebih dari 7 juta dompet [Nano](https://www.corbado.com/blog/digital-wallet-assurance), dan [Trezor](https://trezor.io/) lebih dari 2 juta. Keduanya mengekspos FIDO2 sebagai fitur sekunder di atas penyimpanan kripto. Elemen aman ponsel seperti [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web) dan [Android StrongBox](https://source.android.com/docs/security/features/keystore) secara teknis melindungi private key dengan perangkat keras, namun Apple dan Google secara default menyinkronkan passkey melalui [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) dan Google Password Manager, sehingga perilaku yang terlihat oleh pengguna adalah [passkey tersinkronisasi](https://www.corbado.com/blog/device-bound-synced-passkeys), bukan berbasis perangkat keras. [Autentikator](https://www.corbado.com/glossary/authenticator) yang dapat dikenakan (wearable) seperti [Token Ring](https://www.tokenring.com/) dan cincin Mojo Vision jumlah pengirimannya berada di bawah 100.000 unit, menurut pernyataan publik.

Dengan kata lain, perlombaan konsumen sebenarnya adalah kontes dua arah antara kunci keamanan dan kartu pintar, dengan [dompet](https://www.corbado.com/blog/digital-wallet-assurance) kripto sebagai vertikal ketiga dan wearable sebagai catatan kaki di bawah 1 persen.

## 4. Apa yang Menghambat Adopsi Konsumen?

Empat hambatan struktural memblokir [adopsi passkey](https://www.corbado.com/blog/passkey-adoption-business-case) berbasis perangkat keras di pasar konsumen: hierarki prompt OS dan browser, fragmentasi NFC pada [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), pemulihan yang sulit setelah kehilangan perangkat, dan biaya langsung ke konsumen. Tak satu pun dari ini dapat diperbaiki oleh vendor perangkat keras sendirian.

### 4.1 Hierarki OS dan Browser

[AuthenticationServices](https://developer.apple.com/documentation/authenticationservices) dari Apple secara default memilih iCloud Keychain. Bahkan ketika [relying party](https://www.corbado.com/glossary/relying-party) menyetel `authenticatorAttachment` ke `cross-platform`, pengguna tetap harus menutup lembar platform tersebut terlebih dahulu. [Credential Manager](https://developer.android.com/identity/sign-in/credential-manager) Google melakukan hal yang sama pada Android dengan [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager). [Safari dan Chrome bersama-sama menguasai sekitar 84 persen pangsa browser seluler](https://gs.statcounter.com/browser-market-share/mobile/worldwide) menurut StatCounter, sehingga kedua vendor ini secara efektif mengatur UX prompt untuk seluruh web konsumen.

Browser juga kurang berinvestasi pada UX kunci perangkat keras karena lebih dari 99 persen konsumen tidak memiliki kunci keamanan khusus, berdasarkan gabungan data pengiriman kunci keamanan dibandingkan dengan pangsa seluler global di [StatCounter](https://gs.statcounter.com/os-market-share/mobile/worldwide). Itu menciptakan putaran umpan balik. UX yang buruk mengarah pada adopsi yang rendah. Adopsi yang rendah berarti tidak ada investasi. Tidak ada investasi menyebabkan UX yang buruk.

### 4.2 Fragmentasi NFC pada Android

Perilaku NFC pada Android sangat bervariasi antar produsen. [Samsung](https://www.corbado.com/blog/samsung-passkeys), [Xiaomi](https://www.mi.com/global/), [Oppo](https://www.oppo.com/), dan [Google Pixel](https://store.google.com/category/phones) semuanya menggunakan tumpukan NFC yang berbeda di atas [Android Open Source](https://source.android.com/). Beberapa versi Android 14 bahkan merusak dukungan dari penyedia passkey [pihak ketiga](https://www.corbado.com/blog/passkey-providers) selama beberapa bulan pada 2024, menurut [Android Issue Tracker](https://issuetracker.google.com/). Kartu pintar FIDO2 yang diketuk dengan baik pada Pixel 8 mungkin gagal pada Galaxy S23 Ultra dan berperilaku berbeda lagi pada Xiaomi 14. Dan tidak ada program pengujian terpusat dari [Google Android Compatibility Program](https://source.android.com/docs/compatibility/overview) yang menangkap regresi ini sebelum mencapai konsumen.

### 4.3 Pemulihan dan Kehilangan

Passkey tersinkronisasi pulih secara otomatis saat pengguna masuk di perangkat baru. Kredensial perangkat keras tidak demikian. Pengguna yang kehilangan kunci keamanan atau mematahkan kartu pintar harus melalui pemulihan akun atau seringkali metode yang kurang aman. [Verizon 2024 Data Breach Investigations Report](https://www.verizon.com/business/resources/reports/dbir/) menemukan bahwa 68 persen pelanggaran melibatkan elemen manusia yang tidak berbahaya, termasuk penyalahgunaan pemulihan kredensial. [NIST SP 800-63B](https://www.corbado.com/faq/nist-sp-800-63b-supplement-passkey-adoption) juga memperingatkan secara eksplisit bahwa pemulihan akun adalah jalur umum terjadinya kompromi autentikasi. Jadi pengikatan perangkat keras hanya sekuat saluran pemulihannya, yang berarti [relying party](https://www.corbado.com/glossary/relying-party) memikul beban keamanan yang sama besarnya dengan vendor silikon.

### 4.4 Distribusi dan Biaya

Kunci keamanan tingkat konsumen [dijual](https://www.corbado.com/passkeys-for-e-commerce) seharga 40 hingga 80 USD menurut halaman penetapan harga produsen. Konsumen yang tidak merasa akunnya berisiko tidak akan mau membayar. Bank dan bursa kripto yang menanggung biayanya dapat memberikan perangkat secara gratis, tetapi mereka yang kemudian menanggung beban dukungan. Kartu pintar yang digabungkan dengan kartu kredit menambahkan 2 hingga 5 USD di atas biaya dasar 5 hingga 15 USD per kartu, menurut pengungkapan vendor kartu pintar publik termasuk [materi investor CompoSecure](https://ir.compositionusa.com/).

Keempat hambatan inilah yang menjelaskan mengapa passkey tersinkronisasi mencakup lebih dari 95 persen pendaftaran konsumen dalam [layanan keuangan](https://www.corbado.com/passkeys-for-banking) menurut FIDO Alliance Barometer, bahkan ketika perangkat keras ditawarkan sebagai opsi.

## 5. Di Mana Passkey Berbasis Perangkat Keras Benar-Benar Menang?

Tiga kategori konsumen memberi pengguna alasan yang kuat untuk membawa perangkat keras khusus: [perbankan](https://www.corbado.com/passkeys-for-banking) dan [pembayaran](https://www.corbado.com/passkeys-for-payment), hak asuh mandiri kripto, dan akun bernilai tinggi. Masing-masing menggabungkan pendorong yang kuat, jalur distribusi yang kredibel, dan konsekuensi yang cukup serius untuk membenarkan adanya gesekan. Di luar ketiga segmen tersebut, passkey tersinkronisasi biasanya menang di segi kenyamanan.

### 5.1 Perbankan dan Pembayaran

Bank adalah saluran distribusi yang paling alami. Mereka sudah mengirimkan kartu fisik ke nasabah. Mereka juga beroperasi di bawah [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), [EBA Opinion on SCA](https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money), RBI [2FA](https://www.corbado.com/blog/passkeys-vs-2fa-security), [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), dan APRA CPS 234. Banyak dari aturan tersebut mewajibkan faktor kepemilikan kriptografik yang belum secara jelas dipenuhi oleh passkey tersinkronisasi.

Tesis "kartu pintar sebagai kartu kredit" berhasil karena kartunya sudah ada. Sebuah bank yang menerbitkan kartu logam membayar 5 hingga 15 USD per kartu, menurut [CompoSecure 10-K](https://ir.compositionusa.com/sec-filings). Menambahkan FIDO2 membawanya menjadi 7 hingga 20 USD, menurut analisis biaya kartu biometrik [Juniper Research](https://www.juniperresearch.com/). Kartu tunggal tersebut kemudian menangani chip-and-PIN, tap-to-pay NFC, penarikan ATM, login [perbankan](https://www.corbado.com/passkeys-for-banking) online, dan konfirmasi [transaksi 3DS](https://www.corbado.com/blog/3ds-webauthn) bernilai tinggi. Konsumen tidak pernah ditanya "apakah Anda menginginkan [autentikator](https://www.corbado.com/glossary/authenticator) perangkat keras?" Kartu tersebut tiba begitu saja melalui pos.

### 5.2 Kripto dan Hak Asuh Mandiri

Pengguna kripto sudah menerima gagasan untuk membawa perangkat keras. [Ledger](https://www.ledger.com/) telah mengirimkan lebih dari 7 juta perangkat Nano dan melaporkan pendapatan kumulatif lebih dari 4 miliar USD, menurut [halaman perusahaannya](https://www.ledger.com/about). [Trezor](https://trezor.io/) telah mengirimkan lebih dari 2 juta unit. Kunci keamanan juga memiliki posisi jangka panjang dalam MFA bursa kripto, di mana [Coinbase](https://www.corbado.com/blog/coinbase-passkey), [Kraken](https://www.kraken.com/security), dan [Binance](https://www.corbado.com/blog/binance-passkeys) semuanya mendukung kunci FIDO2.

Menambahkan FIDO2 ke [dompet](https://www.corbado.com/blog/digital-wallet-assurance) perangkat keras adalah pekerjaan rekayasa tambahan. Perangkat seharga 100 USD yang melindungi portofolio 50.000 USD jelas layak untuk dibawa. Kripto tetap menjadi satu-satunya kategori konsumen di mana pengguna membeli perangkat keras atas inisiatif mereka sendiri.

### 5.3 Akun Konsumen Bernilai Tinggi

Kelompok konsumen yang lebih kecil melindungi akun di mana pengambilalihan tidak dapat diubah kembali. Contoh umumnya adalah email utama, [dompet](https://www.corbado.com/blog/digital-wallet-assurance) identitas pemerintah, akun kreator di [YouTube](https://www.youtube.com/) atau [Twitch](https://www.twitch.tv/), dan kredensial jurnalisme. [Advanced Protection Program](https://landing.google.com/advancedprotection/) Google mendeskripsikan kelompok ini sebagai "pengguna berisiko tinggi seperti jurnalis, pekerja hak asasi manusia, dan staf kampanye politik."

OpenAI mengikuti pedoman yang sama pada April 2026 dengan program [Advanced Account Security](https://openai.com/index/advanced-account-security/) mereka untuk ChatGPT, bermitra dengan [Yubico](https://www.yubico.com/openai-and-yubico/) pada paket ganda [YubiKey](https://www.corbado.com/glossary/yubikey) C NFC dan [YubiKey](https://www.corbado.com/glossary/yubikey) C Nano co-branded sekitar 68 USD. Program ini sepenuhnya menonaktifkan kata sandi dan login email atau SMS serta mewajibkan passkey atau kunci keamanan fisik, yang menargetkan jurnalis, pejabat terpilih, pembangkang, dan pengguna ChatGPT berisiko tinggi lainnya. Masih terlalu dini untuk mengetahui berapa banyak pengguna yang akan membayar 68 USD untuk lapisan tambahan tersebut, namun ini adalah ujian paling jelas mengenai apakah akun konsumen bernilai tinggi dapat mendorong adopsi perangkat keras secara sukarela di luar ranah kripto dan perbankan.

[Cybersecurity Readiness Index 2024](https://newsroom.cisco.com/c/r/newsroom/en/us/a/y2024/m03/cybersecurity-readiness-index-shows-only-3-percent-of-organizations-globally-have-the-mature-level-of-readiness-needed-to-be-resilient-against-modern-cybersecurity-risks.html) dari Cisco juga menemukan bahwa hanya 3 persen organisasi yang memiliki postur keamanan matang. Laporan [keamanan siber GAO 2024](https://www.gao.gov/cybersecurity) menandai pengambilalihan akun sebagai salah satu dari lima risiko keamanan siber federal teratas, yang memperluas kelompok konsumen yang membutuhkan perlindungan ini jauh melampaui relung jurnalisme asli.

## 6. Mengapa Perangkat Keras Saja Tidak Akan Menang

Memiliki perangkat keras terbaik tidak menjamin pangsa pasar konsumen. Ada lima kesenjangan antara vendor perangkat keras dan produk konsumen ujung-ke-ujung (end-to-end): distribusi, orientasi, pemulihan, perjalanan lintas perangkat, dan pengukuran. Setiap kesenjangan memerlukan keahlian yang berada di luar desain silikon.

1. **Distribusi**: perusahaan perangkat keras tidak memiliki hubungan langsung dengan konsumen yang nyata. Secara teori siapa pun dapat memesan [YubiKey](https://www.corbado.com/glossary/yubikey) dari yubico.com, namun praktiknya para pembeli tersebut adalah profesional keamanan, admin TI, dan kelompok penggemar kecil. Saluran tersebut tidak berskala ke konsumen arus utama, yang belum pernah mendengar merek tersebut dan tidak akan mencari autentikator 50 USD sendiri. Bank, telko, pengecer, dan vendor OS adalah pihak-pihak yang memiliki hubungan konsumen, sehingga vendor perangkat keras pada skala konsumen membutuhkan mitra atau kesepakatan white-label.
2. **Orientasi**: setiap langkah yang harus diambil konsumen untuk mengatur passkey akan membuat kita kehilangan pengguna. Penerapan perbankan dunia nyata melaporkan tingkat putus sekolah (drop-off) sebesar 30 hingga 60 persen di seluruh corong pendaftaran, sejalan dengan tolok ukur pengabaian pembayaran [Baymard Institute](https://baymard.com/lists/cart-abandonment-rate).
3. **Pemulihan**: produk konsumen tanpa cerita pemulihan adalah produk yang rusak. Pemulihan memerlukan sinyal tingkat akun, [verifikasi identitas](https://www.corbado.com/blog/digital-identity-guide), dan penilaian risiko, yang semuanya hidup di dalam [relying party](https://www.corbado.com/glossary/relying-party).
4. **Perjalanan lintas perangkat**: satu pengguna masuk pada ponsel, laptop, TV pintar, dan mobil. Kredensial yang terikat perangkat keras hanya hidup di satu perangkat. Jadi kita memerlukan perutean yang cerdas antara perangkat keras dan kredensial tersinkronisasi untuk menghindari jalan buntu.
5. **Pengukuran**: vendor perangkat keras biasanya sekadar mengirim dan melupakan. Mereka menghitung unit yang terjual dan lisensi yang diaktifkan. Mereka tidak melihat upacara WebAuthn yang gagal atau pengguna mengabaikan ketukan tersebut. Tanpa pengukuran, tak satu pun dari empat kesenjangan lainnya dapat ditutup.

Vendor yang menyelesaikan lima kesenjangan ini di dalam produk mereka sendiri akan menjadi platform autentikasi ujung-ke-ujung. Vendor yang tidak, akan tetap berada dalam bisnis komponen dan menjual produk ke dalam platform milik pihak lain.

## 7. Apa Tuas Sebenarnya? Adopsi Engineering

Adopsi engineering berarti memadukan passkey berbasis perangkat keras dengan perangkat lunak yang mendorong pendaftaran, mengukur setiap upacara, dan merutekan di sekitar jalur yang rusak. Tak satu pun dari aktivitas ini adalah tentang perangkat keras. Keempatnya diperlukan untuk menang di pasar konsumen, dan mereka hanya bekerja sebagai loop tertutup. Diagram di bawah ini menunjukkan bagaimana keempat aktivitas tersebut saling memberi makan satu sama lain.

[FIDO Alliance Authentication Barometer 2024](https://fidoalliance.org/content/research/) melaporkan bahwa 53 persen konsumen telah mengaktifkan passkey di setidaknya satu akun, namun aktivasi berbasis perangkat keras dalam perjalanan yang diatur masih berada di bawah 5 persen. Itu adalah kesenjangan 10x lipat, dan adopsi engineering adalah hal yang menutupnya. Kelompok kerja [W3C WebAuthn](https://www.w3.org/Webauthn/) memperlakukan kesenjangan ini sebagai masalah penyebaran (deployment), bukan masalah spesifikasi.

### 7.1 Telemetri Tingkat Corong

Pada tingkat corong, [observabilitas passkey](https://www.corbado.com/blog/authentication-observability) mengukur setiap langkah tunggal, mulai dari "pengguna mengklik masuk" hingga "token sesi dikeluarkan." Tanpa instrumentasi itu, sebuah tim tidak bisa membedakan antara "pengguna tidak melihat opsi perangkat keras", "pengguna melihatnya, mengetuk, dan NFC gagal" dan "pengguna menyelesaikan upacara tetapi relying party menolak hasilnya."

Telemetri corong memberi kita metrik yang benar-benar penting: tingkat aktivasi passkey perangkat keras, tingkat keberhasilan passkey perangkat keras berdasarkan perangkat, waktu penyelesaian, dan pengabaian di setiap langkah. [Spesifikasi W3C WebAuthn Level 3](https://www.w3.org/TR/webauthn-3/) mendefinisikan 14 kode kesalahan berbeda yang dapat dikembalikan oleh upacara, tetapi sebagian besar penyebaran produksi menginstrumentasi kurang dari lima di antaranya, menurut [pembicaraan penyebaran FIDO Alliance Authenticate 2024](https://fidoalliance.org/content/event/2024-authenticate-conference/).

### 7.2 Diagnostik Tingkat Sesi

Saat satu autentikasi gagal, tim dukungan perlu melihat persis apa yang terjadi. Diagnostik tingkat sesi menangkap transport (NFC, USB, atau BLE), kode kesalahan CTAP, browser, versi OS, produsen perangkat, dan pengaturan waktu setiap langkah dalam upacara. [Spesifikasi FIDO CTAP 2.1](https://fidoalliance.org/specs/fido-v2.1-ps-20210615/fido-client-to-authenticator-protocol-v2.1-ps-20210615.html) mendefinisikan lebih dari 20 kode kesalahan yang dapat dikembalikan [autentikator](https://www.corbado.com/glossary/authenticator), dan ini dipetakan ke tindakan pemulihan pengguna tertentu dalam [spesifikasi W3C WebAuthn Level 3](https://www.w3.org/TR/webauthn-3/).

Tanpa telemetri ini, agen dukungan hanya melihat "login gagal" dan mungkin langsung memulai pemulihan akun.

### 7.3 Perutean Cerdas Perangkat

Beberapa kombinasi perangkat dan OS secara konsisten rusak. Data dunia nyata dari penyebaran besar menunjukkan tingkat kegagalan (abort) 40 hingga 90 persen pada pasangan rusak individu, dengan pola umum yang didokumentasikan di [Android Issue Tracker](https://issuetracker.google.com/) dan dalam [FIDO Alliance Authenticate 2024 talks](https://fidoalliance.org/content/event/2024-authenticate-conference/).

Logika perutean yang menyembunyikan opsi perangkat keras pada kombinasi yang diketahui rusak dan jatuh kembali ke jalur terbaik berikutnya menjaga pengguna dari kasus kegagalan. Namun kita hanya dapat membuat keputusan perutean tersebut setelah data observabilitas mengidentifikasi pasangan yang rusak di sekitar 24.000 model perangkat Android berbeda yang dilacak oleh [database perangkat OpenSignal](https://www.opensignal.com/).

### 7.4 Iterasi Berkelanjutan dengan Penerbit

Bank dan perusahaan fintech umumnya menjalankan pilot dan penyebaran penuh dalam siklus 6 hingga 12 bulan, menurut [penelitian Gartner tentang program identitas](https://www.gartner.com/en/information-technology/insights/identity-and-access-management). Platform yang menang akan mengubah data observabilitas menjadi catatan rilis mingguan, perbaikan bug, dan tingkat keberhasilan yang terus meningkat. Penyebaran statis dengan ulasan triwulanan akan kalah dengan iterasi berkelanjutan.

## 8. Jadi Siapa yang Sebenarnya Memenangkan Perlombaan Konsumen?

Tidak ada vendor perangkat keras khusus (pure-play) yang memenangkan perlombaan konsumen secara langsung. Tiga arketipe bersaing untuk menjadi platform autentikasi konsumen: bank dan [penerbit](https://www.corbado.com/glossary/issuer), vendor perangkat keras yang membangun lapisan perangkat lunak, dan platform OS. Bank memimpin hari ini karena mereka memiliki distribusi fisik dan perlindungan regulasi dari [PSD2](https://www.corbado.com/blog/psd2-passkeys) serta [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity). Platform OS sudah memiliki silikon yang disematkan di dalam setiap ponsel dan laptop, namun selama [Apple](https://www.apple.com/) dan [Google](https://www.google.com/) menjadikan passkey tersinkronisasi sebagai default, mereka adalah pesaing dalam passkey tersinkronisasi, bukan dalam yang berbasis perangkat keras.

### 8.1 Mengapa Bank Memimpin Saat Ini

Bank memimpin pasar passkey berbasis perangkat keras konsumen hari ini. Empat keunggulan menguntungkan mereka. Mereka sudah menerbitkan kartu fisik. Mereka memiliki perlindungan regulasi dari [PSD2](https://www.corbado.com/blog/psd2-passkeys), PSD3, [NYDFS Part 500](https://www.dfs.ny.gov/industry_guidance/cybersecurity), RBI, dan [APRA CPS 234](https://www.apra.gov.au/information-security). Mereka memiliki kepercayaan konsumen. Dan mereka mampu menyerap premium biaya unit 2 hingga 5 USD di seluruh portofolio mereka, menurut pengungkapan vendor kartu pintar publik.

Bank yang memadukan keempat keunggulan ini dengan adopsi engineering akan mengunci retensi bertahun-tahun dari nasabah yang mengaktifkan passkey. Bank yang membeli produk perangkat keras dan menganggap pekerjaannya berakhir di sana, akan berakhir dengan tingkat aktivasi satu digit yang sama seperti yang telah dilaporkan industri selama dua tahun terakhir.

### 8.2 Bagaimana dengan Vendor Perangkat Keras yang Membangun Perangkat Lunak?

Arketipe kedua adalah vendor perangkat keras yang juga membangun lapisan perangkat lunak. Beberapa produsen kunci keamanan dan kartu pintar telah memulai transisi ini, namun penting untuk merincikan secara tepat jenis perangkat lunak apa yang mereka rilis. Sebagian besar produk ini adalah IAM, manajemen armada, atau platform [autentikasi adaptif](https://www.corbado.com/blog/continuous-passive-authentication), bukan platform tingkat corong seperti [observabilitas passkey](https://www.corbado.com/blog/authentication-observability) yang diperlukan untuk menutup kesenjangan adopsi konsumen.

- [Yubico](https://www.yubico.com/) telah membangun platform paling lengkap dari semua vendor kunci keamanan. Langganan [YubiKey as a Service](https://www.yubico.com/products/yubienterprise-subscription/) mereka menggabungkan lisensi per pengguna, Portal Pelanggan untuk armada dan manajemen pengiriman, Pra-pendaftaran FIDO, aplikasi Pendaftaran dan SDK serta pengiriman global, terintegrasi dengan Okta, Microsoft Entra ID, dan Ping Identity. Produk ini pada dasarnya adalah lapisan pengiriman dan siklus hidup perusahaan, bukan analitik adopsi konsumen.
- [Thales](https://cpl.thalesgroup.com/access-management) memadukan perangkat keras SafeNet eToken dan kartu pintar mereka dengan [SafeNet Trusted Access](https://cpl.thalesgroup.com/access-management/safenet-trusted-access), platform cloud Identity-as-a-Service dengan [SSO](https://www.corbado.com/blog/passkeys-single-sign-on-sso) dan [autentikasi adaptif](https://www.corbado.com/blog/continuous-passive-authentication).
- [OneSpan](https://www.onespan.com/) membundel perangkat keras DIGIPASS mereka dengan platform [OneSpan Cloud Authentication](https://www.onespan.com/products/cloud-authentication) dan [Autentikasi Adaptif](https://www.corbado.com/blog/continuous-passive-authentication) Cerdas, yang difokuskan pada perbankan dan fintech.
- [HID Global](https://www.hidglobal.com/) mengirimkan kartu pintar Crescendo mereka bersama dengan [HID Authentication Service](https://www.hidglobal.com/services/hid-authentication-service) dan autentikator mobile HID Approve.
- [CompoSecure](https://www.compositionusa.com/) memperluas kartu pintar [Arculus](https://www.arculus.co/) FIDO2 mereka dengan aplikasi pendamping [dompet](https://www.corbado.com/blog/digital-wallet-assurance) dan SDK pengembang untuk penerbit.

Sejauh ini, sebagian besar vendor ini masih meraup mayoritas pendapatan mereka dari perangkat keras. Vendor yang memperluas tumpukan perangkat lunaknya dari sekadar pengiriman perangkat dan IAM ke dalam level upacara nyata berupa [observabilitas passkey](https://www.corbado.com/blog/authentication-observability) berkesempatan untuk mendorong adopsi secara end-to-end. Vendor yang tidak, akan tetap terkunci di ranah perusahaan sebagai pemasok komponen.

### 8.3 Bagaimana dengan Platform OS?

Platform OS adalah kasus khusus. Perangkat kerasnya ada - [Apple Secure Enclave](https://support.apple.com/guide/security/secure-enclave-sec59b0b31ff/web), [Android StrongBox](https://source.android.com/docs/security/features/keystore), dan [chip Pluton](https://learn.microsoft.com/en-us/windows/security/hardware-security/pluton/microsoft-pluton-security-processor) di [Windows 11](https://www.corbado.com/blog/passkeys-windows-11) semuanya berada di dalam setiap perangkat yang mereka jual - tetapi default [kebijakan passkey](https://www.corbado.com/faq/multiple-passkeys-per-account) pada Apple dan Google adalah untuk menyinkronkan, sehingga konsumen tidak pernah mendapatkan kredensial yang benar-benar terikat pada perangkat keras sejak awal. iCloud Keychain dan Google Password Manager menyalin kunci di seluruh perangkat, yang membuat perilaku yang tampak pada pengguna identik dengan [passkey tersinkronisasi](https://www.corbado.com/blog/device-bound-synced-passkeys). Windows Hello yang terikat TPM dari Microsoft adalah salah satu elemen aman konsumen yang masih menyimpan kunci secara lokal, tetapi Edge juga bergerak menuju sinkronisasi, dan kami mengecualikan Windows Hello dari perlombaan konsumen berbasis perangkat keras karena tidak memerlukan pembelian perangkat keras terpisah.

Secara teori Apple, Google, atau Microsoft dapat mendefinisikan ulang kategori ini dengan mengekspos passkey yang terikat pada platform dan tanpa sinkronisasi yang dibekali UX terpoles layaknya passkey yang tersinkronisasi. Namun tidak ada tanda-tanda publik bahwa mereka berencana melakukan itu. Selama sinkronisasi tetap menjadi default, platform OS adalah pesaing di ranah passkey tersinkronisasi, bukan dalam passkey berbasis perangkat keras, dan kunci keamanan khusus plus kartu pintar FIDO2 akan tetap menjadi satu-satunya jalur perangkat keras konsumen yang nyata.

### 8.4 Seperti Apa Bentuk Perlombaan yang Sebenarnya?

Perlombaan yang sebenarnya bukanlah "kunci keamanan versus kartu pintar." Pertanyaan sebenarnya adalah siapa yang membangun platform autentikasi konsumen yang memadukan perangkat keras di mana ia penting dengan perangkat lunak, data, dan adopsi engineering di tempat lainnya. Berdasarkan [keynote FIDO Alliance Authenticate 2024](https://fidoalliance.org/content/event/2024-authenticate-conference/), kemungkinan besar pemenangnya selama tiga hingga lima tahun ke depan adalah:

- Tiga hingga lima bank besar dan jaringan pembayaran yang menjadikan kartu pintar FIDO2 sebagai pengalaman konsumen default.
- Satu atau dua vendor perangkat keras yang berhasil bertransisi menjadi platform autentikasi dengan analitik upacara nyata, tidak hanya sebatas IAM dan manajemen armada.
- Program akun bernilai tinggi seperti Advanced Protection Google dan Advanced Account Security OpenAI, jika mereka dapat membuktikan bahwa 5 hingga 10 persen pengguna benar-benar mau membayar untuk perangkat keras dengan imbalan perlindungan akun yang lebih kuat.

Perusahaan perangkat keras khusus yang tetap bertahan dengan status tersebut rasanya tidak akan memenangkan perlombaan konsumen. Mereka akan berakhir sebagai pemasok silikon di dalam platform perusahaan lain. Itu memang bisnis yang sehat dan parit pelindung nyata dalam ranah perusahaan, tetapi itu bukan sebuah dominasi konsumen.

## 9. Apa yang Harus Dilakukan Bank, Penerbit, dan Tim Produk Selanjutnya?

Tiga tindakan penting bagi setiap tim produk yang mengevaluasi passkey berbasis perangkat keras dalam 12 bulan ke depan, berdasarkan [panduan penyebaran FIDO Alliance](https://fidoalliance.org/content/research/) dan [pedoman identitas Gartner](https://www.gartner.com/en/information-technology/insights/identity-and-access-management). Pilih kasus penggunaan yang mana perangkat keras benar-benar dapat diandalkan. Padukan setiap penyebaran perangkat keras dengan adopsi engineering. Dan bangunlah putaran umpan balik data sejak hari pertama.

1. **Pilih kasus penggunaan yang tepat**: konfirmasi [transaksi](https://www.corbado.com/blog/3ds-webauthn) bernilai tinggi, [step-up authentication](https://www.corbado.com/glossary/step-up-authentication) pada perjalanan teregulasi, dan pemulihan akun untuk segmen berisiko tinggi. Jangan memaksakan perangkat keras ke dalam login konsumen secara umum.
2. **Padukan perangkat keras dengan adopsi engineering**: instrumentasi, penanganan kesalahan pada [aplikasi native](https://www.corbado.com/blog/native-app-passkeys) [error handling](https://www.corbado.com/blog/native-app-passkey-errors), perutean cerdas perangkat, dan pengukuran eksplisit terhadap garis dasar [passkey tersinkronisasi](https://www.corbado.com/blog/device-bound-synced-passkeys).
3. **Bangun putaran data sejak dini**: luncurkan telemetri corong dengan pilot pertama, bukan setelah peluncuran massal. Tim yang bisa melihat pembuat Android mana, versi [iOS](https://www.corbado.com/blog/webauthn-errors) apa, dan kombinasi browser apa yang mematikan keberhasilan ketuk, dapat melakukan iterasi dalam hitungan minggu. Tim yang tidak, akan direduksi menjadi anekdot belaka dan harus menunggu adanya tiket dukungan keluhan pengguna.

Bagi vendor perangkat keras pesannya bahkan lebih tajam. Putuskan apakah perusahaan tersebut tetap menjadi pemasok komponen atau mau membangun platform. Keduanya memungkinkan untuk diwujudkan. Mencoba melakukan keduanya tanpa komitmen penuh hanya akan membuat investasi platform kekurangan dana dan peta jalan silikon menjadi terganggu.

## 10. Kesimpulan

Passkey berbasis perangkat keras masih merupakan satu-satunya jenis kredensial konsumen yang mencapai standar [NIST AAL3](https://pages.nist.gov/800-63-3/sp800-63b.html), mampu bertahan dari kompromi akun cloud, dan secara jelas memenuhi regulasi dari [PSD2](https://www.corbado.com/blog/psd2-passkeys), [PSD3](https://www.corbado.com/blog/psd3-psr-passkeys), dan regulasi serupa lainnya yang ketat. Teknologinya kuat. Silikonnya andal. Standarnya juga sudah matang.

Apa yang tidak dapat dilakukan teknologi itu sendiri adalah memenangkan adopsi konsumen. Apple dan Google mengontrol lapisan OS dan browser. Bank dan penerbit mengontrol distribusi ke konsumen. Vendor perangkat keras mengontrol silikon. Perlombaan konsumen dimenangkan oleh pemain yang menggabungkan ketiganya melalui platform perangkat lunak yang mendorong adopsi, mengukur setiap upacara, dan merutekan celah hambatan.

Resep kemenangan adalah perangkat keras plus [observabilitas passkey](https://www.corbado.com/blog/authentication-observability) plus adopsi engineering yang berkelanjutan. Vendor atau [penerbit](https://www.corbado.com/glossary/issuer) yang mampu mewujudkan ketiganya akan menuliskan pedoman masa depan perlombaan konsumen untuk dekade berikutnya. Sisanya, mereka hanya akan menjual komponen ke platform milik pihak lain.

## Pertanyaan yang Sering Diajukan

### Apa perbedaan antara passkey berbasis perangkat keras dan passkey tersinkronisasi untuk konsumen?

Passkey berbasis perangkat keras menyimpan private key di dalam elemen aman fisik seperti kunci keamanan, kartu pintar FIDO2, atau chip TPM bawaan. Kunci tersebut tidak pernah meninggalkan perangkat keras itu. Passkey tersinkronisasi hidup di dalam iCloud Keychain, Google Password Manager, atau pengelola pihak ketiga, dan mereka disalin di seluruh perangkat Anda melalui cloud. Passkey berbasis perangkat keras mencapai NIST AAL3 karena private key tidak dapat diekspor. Passkey tersinkronisasi dibatasi pada AAL2 karena jalur sinkronisasi cloud membuat kunci dapat dipulihkan. Kesenjangan satu langkah dalam hal jaminan itu sangat berarti bagi regulator di perbankan, pemerintah, dan perawatan kesehatan.

### Mengapa kunci keamanan perangkat keras belum menjadi arus utama bagi konsumen meskipun ada adopsi passkey?

Apple dan Google mengontrol OS dan browser yang digunakan oleh lebih dari 99 persen konsumen, menurut StatCounter. Keduanya memprioritaskan pengelola kredensial tersinkronisasi mereka sendiri dalam prompt WebAuthn. Autentikator perangkat keras berada satu hingga tiga klik lebih dalam di setiap alur default, menurut dokumentasi Apple AuthenticationServices dan Android Credential Manager. Perilaku NFC pada Android terfragmentasi di berbagai produsen ponsel, dan Conditional UI secara default menggunakan kredensial tersinkronisasi. Selain itu, sebagian besar konsumen tidak akan membayar 40 hingga 80 USD untuk autentikator terpisah kecuali jika suatu layanan memaksa mereka melakukannya.

### Kasus penggunaan mana yang membenarkan passkey berbasis perangkat keras untuk konsumen?

Tiga kategori memberi konsumen motivasi yang cukup. Pertama adalah perbankan dan pembayaran, di mana PSD2, PSD3, RBI di India, dan APRA CPS 234 di Australia semuanya mewajibkan autentikasi pelanggan yang kuat. Kedua adalah kripto dan hak asuh mandiri, di mana hilangnya kunci berarti hilangnya dana, dan di mana Ledger dan Trezor telah mengirimkan lebih dari 9 juta perangkat. Ketiga adalah akun bernilai tinggi, termasuk email utama, dompet identitas pemerintah, dan akun kreator, di mana pengambilalihan tidak dapat diubah kembali. Advanced Protection Program Google dan Advanced Account Security OpenAI untuk ChatGPT, yang diluncurkan pada April 2026 dengan paket ganda YubiKey co-branded sekitar 68 USD, keduanya menargetkan kelompok ini. Di luar ketiga kategori ini, passkey tersinkronisasi biasanya lebih unggul.

### Bagaimana kartu pintar FIDO2 masuk ke dalam perlombaan passkey perangkat keras konsumen?

Produsen kartu pintar seperti CompoSecure (yang mengirimkan lebih dari 100 juta kartu pembayaran logam per tahun menurut pengajuan 10-K mereka dan menawarkan Arculus sebagai produk FIDO2 mereka) dan IDEMIA membuat kartu pintar NFC dengan elemen aman yang dapat menampung kredensial FIDO2. Konsumen sudah membawa kartu kredit, jadi menambahkan passkey berbasis perangkat keras ke kartu tersebut menghilangkan kebutuhan akan perangkat terpisah. Bank, neobank, dan kustodian kripto kemudian dapat melipat autentikasi, pembayaran, dan step-up ke dalam satu faktor bentuk. Bagian tersulitnya adalah membuat ketukan NFC dapat diandalkan di seluruh browser iOS dan Android, dan meyakinkan penerbit untuk menanggung tambahan biaya 2 hingga 5 USD per kartu.

### Apa yang diperlukan untuk benar-benar memenangkan pasar passkey berbasis perangkat keras konsumen?

Perangkat keras yang baik diperlukan, tetapi itu tidaklah cukup. Pemenang akan memasangkan faktor bentuk perangkat keras yang kredibel dengan platform intelijen yang mengukur setiap langkah pendaftaran dan autentikasi, merutekan di sekitar kombinasi perangkat dan OS yang rusak, dan membuktikan kepada penerbit bahwa biaya penipuan dan dukungan akan turun. Tanpa observabilitas passkey tingkat corong, vendor dan bank tidak dapat mengetahui bahwa 60 persen pengguna mengabaikan ketukan NFC, sebuah pola yang didokumentasikan dalam pembicaraan FIDO Alliance Authenticate 2024, atau bahwa Conditional UI diam-diam menelan prompt tersebut, menurut spesifikasi W3C WebAuthn Level 3. Perlombaan akan ditentukan oleh data dan perangkat lunak, bukan oleh kunci mana yang memiliki cangkang titanium terkuat.