Apakah Passkey Berfungsi dalam Mode Incognito?

Semakin banyak perusahaan yang menerapkan passkey ke dalam situs web dan aplikasi mereka. Saat melakukannya, banyak pengembang perangkat lunak dan manajer produk bertanya-tanya apakah passkey berfungsi dalam mode incognito atau penjelajahan pribadi, karena ini memiliki pengaruh besar pada pengalaman pengguna secara keseluruhan.

Melalui postingan blog ini, kita akan mencoba menjawab pertanyaan berikut:

1. Apakah passkey berfungsi dalam mode incognito / penjelajahan pribadi?
2. Bagaimana perilaku autentikasi passkey dalam mode incognito / pribadi di Chrome, Safari, Edge, dan Firefox?

Pengetahuan ini memastikan pengalaman pengguna yang lancar di berbagai browser dan sistem operasi, menempatkan aplikasi Anda di garis depan keamanan dan kenyamanan.

Passkey pada dasarnya adalah kunci kriptografis yang digunakan untuk mengautentikasi pengguna tanpa memerlukan kata sandi tradisional. Passkey menawarkan keamanan yang lebih baik dengan menghilangkan risiko yang terkait dengan pencurian kata sandi dan serangan phishing.

Biasanya, passkey disimpan dengan aman di dalam perangkat, dan fungsionalitasnya tetap konsisten bahkan dalam mode incognito atau pribadi untuk sebagian besar sistem operasi selain Windows 10 (lihat di bawah), asalkan perangkat tersebut siap untuk passkey.

Mode incognito atau pribadi biasanya digunakan untuk menjelajahi internet tanpa meninggalkan jejak. Fitur ini berharga bagi pengguna yang memprioritaskan privasi, dan penting agar metode autentikasi, seperti passkey, berfungsi dengan lancar dalam mode ini.

Namun, dalam sejarah pengembangan WebAuthn, telah ada diskusi dan perbaikan yang berkelanjutan karena perilakunya dulu cukup membingungkan dan tidak konsisten di antara sistem operasi dan browser (lihat diskusi lama dan laporan bug ini sebagai referensi di sini, di sini dan di sini).

Memahami perilaku passkey di berbagai browser dan sistem operasi membantu memastikan kompatibilitas dan pengalaman pengguna yang lancar.

Apakah passkey berfungsi dalam mode incognito / penjelajahan pribadi?

Di Windows 10 (22H2), kami menemukan satu-satunya pengecualian di mana passkey tidak berfungsi dengan andal dan mendapatkan dua tangkapan layar berikut saat mencoba menggunakan platform authenticator (Windows Hello):

Pesan error passkey mode incognito Chrome di Windows 10

Pesan error passkey mode inPrivate Edge di Windows 10

Saat kami beralih ke mode penjelajahan biasa, semuanya berfungsi seperti yang diharapkan, jadi pesan error di pop-up tersebut menyesatkan.

Selain itu, jika kami mencoba menggunakan cross-platform authenticator (misalnya, security key perangkat keras, seperti YubiKey, atau Cross-Device Authentication via QR code / Bluetooth), ini berhasil.

Saat menelusuri masalah ini lebih dalam dan menjalankan dua perintah berikut di konsol browser untuk menentukan apakah platform authenticator (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()) dan Conditional UI (PublicKeyCredential.isConditionalMediationAvailable()) tersedia, kami membuat penemuan menarik: promise pertama mengembalikan false, sedangkan yang kedua mengembalikan true, yang tidak masuk akal, karena authenticator platform diperlukan agar Conditional UI berfungsi.

Mulai dari Chrome 129 (dan serupa di Edge, yang berbasis Chromium), PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() mengembalikan true bahkan dalam mode Incognito / InPrivate di Windows 10. Sebelumnya, ini false dalam mode incognito. Meskipun sekarang mengembalikan true, platform authenticator tetap tidak tersedia untuk membuat passkey baru, yang menyebabkan alur pengguna menjadi rusak.

Di bawah ini adalah tabel yang menunjukkan nilai kembalian dari PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable() di Windows 10 dalam berbagai versi dan mode Chrome/Edge:

Perilaku yang Diamati:

• Di Chrome/Edge Incognito pada Windows 10, meskipun promise mengembalikan true, platform authenticator tidak muncul untuk pembuatan passkey.
• Pengguna malah diminta untuk menambahkan security key (misalnya, YubiKey)
• Meskipun hardware security keys masih berfungsi untuk pembuatan passkey, ini bukanlah alur yang diharapkan saat menggunakan authenticator platform seperti Windows Hello.

Dampak Perubahan: Ini secara efektif merusak alur untuk menambahkan passkey ke platform authenticator dalam mode Incognito/InPrivate. Penyesuaian di Chrome 129+ terutama dibuat untuk mengaktifkan fungsionalitas login dengan passkey dalam mode Incognito. Alur login menggunakan mekanisme deteksi yang sama untuk memeriksa dukungan passkey (PublicKeyCredential.isUserVerifyingPlatformAuthenticatorAvailable()), dan perubahan ini memastikan bahwa login dapat berjalan dengan lancar. Namun, konsekuensi yang tidak diinginkan adalah pengalaman yang rusak untuk membuat passkey dengan platform authenticator dalam mode penjelajahan pribadi.

Detail lebih lanjut tentang perubahan ini dapat ditemukan di Chromium Source Code Review dan diskusi pelacak isu terkait. Untuk situs web yang bertujuan memberikan dukungan optimal untuk passkey, mendeteksi mode incognito saat ini adalah satu-satunya cara untuk mengatasi masalah ini. Dengan mengidentifikasi kapan pengguna berada dalam mode Incognito/InPrivate di Windows 10 dengan Chrome/Edge, situs web dapat secara preemptif menghindari penawaran opsi authenticator platform untuk pembuatan passkey.

Saat menggunakan Windows Hello sebagai platform authenticator, sebuah pop-up keamanan muncul selama pembuatan passkey dalam mode incognito (di Chrome) / mode inPrivate (di Edge), yang memberi tahu pengguna bahwa passkey akan disimpan dan dapat digunakan nanti dalam mode non-incognito (perilaku ini diuji pada Windows 11 22H2). Mengingat salah satu kasus penggunaan mode incognito, di mana pengguna ingin membuat akun tanpa jejak informasi apa pun, peringatan ini masuk akal.

Di Android dan menggunakan mode incognito (di Chrome) / mode inPrivate (di Edge), perilakunya mirip dengan Windows 11, karena ada pop-up informasi yang ditampilkan yang memberitahu pengguna bahwa passkey akan disimpan di password manager dan siapa pun yang memiliki akses ke password manager juga akan memiliki akses ke passkey tersebut.

Singkatnya, passkey berfungsi dengan andal dalam mode incognito dan pribadi di sebagian besar browser dan sistem operasi, dengan beberapa pengecualian spesifik pada Windows 10 untuk pembuatan passkey. Dengan memanfaatkan solusi Corbado, pengembang dapat menerapkan passkey secara efisien, dan manajer produk dapat meningkatkan pengalaman pengguna tanpa mengorbankan keamanan.