Pahami manfaat menggunakan passkey bersama biometrik lokal untuk keamanan aplikasi yang optimal dan akses pengguna yang lancar.
Vincent
Created: June 17, 2025
Updated: July 8, 2025
See the original blog version in English here.
Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.
Setelah biometrik di ponsel menjadi hal yang umum, banyak aplikasi native mulai menggunakan fitur seperti Face ID atau Touch ID (atau yang setara di Android) untuk melindungi akses aplikasi. Perlindungan biometrik lokal ini secara signifikan meningkatkan kenyamanan pengguna dengan memungkinkan akses yang cepat dan lancar. Sekilas, passkey dan biometrik lokal mungkin tampak berlebihan karena keduanya melibatkan verifikasi pengguna. Namun, keduanya memiliki tujuan yang pada dasarnya berbeda. Artikel ini akan membahas:
Pada akhirnya, kita akan memiliki pemahaman yang lebih baik tentang kapan dan bagaimana memanfaatkan kedua solusi ini secara bersamaan untuk menciptakan pengalaman aplikasi yang lebih aman, ramah pengguna, dan mulus. Kami juga akan menguraikan skenario praktis di mana penggabungan passkey dan biometrik lokal dapat meningkatkan keamanan dan kenyamanan, memastikan bahwa pengembang dapat membuat keputusan yang tepat untuk memenuhi kebutuhan pengguna secara efektif.
Metode autentikasi biometrik lokal, seperti Face ID, Touch ID dari Apple, atau kemampuan biometrik Android, memanfaatkan ciri fisik unik (misalnya, fitur wajah atau sidik jari) untuk memverifikasi identitas pengguna. Tidak seperti PIN atau kata sandi tradisional, yang mengandalkan sesuatu yang diketahui pengguna, biometrik mengandalkan sesuatu yang melekat pada pengguna. Pergeseran ini menghilangkan kebutuhan untuk mengetik kode berulang kali, secara signifikan mengurangi hambatan dan membuat akses aplikasi sehari-hari menjadi cepat dan aman.
Sebelum biometrik mendapatkan daya tarik utama di ponsel, aplikasi yang bertujuan untuk melindungi konten sensitif sering kali meminta pengguna untuk memasukkan PIN atau kata sandi tambahan setiap kali diluncurkan. Meskipun pendekatan ini meningkatkan keamanan, pendekatan ini juga menimbulkan ketidaknyamanan tambahan, terutama ketika pengguna sudah diautentikasi di awal sesi mereka. Kemunculan teknologi pengenalan wajah dan pemindaian sidik jari berbasis perangkat menyederhanakan proses ini. Alih-alih mengetik kode berulang kali, pengguna sekarang dapat membuka kunci aplikasi dengan pemindaian wajah cepat atau sentuhan singkat. Jika, karena alasan apa pun, pemeriksaan biometrik gagal atau pengguna lebih memilih untuk tidak mengaktifkannya, PIN, kode sandi, atau kata sandi cadangan tetap tersedia. Desain ini memastikan kenyamanan dan aksesibilitas tanpa mengorbankan keamanan.
Penting untuk membedakan pemeriksaan biometrik lokal dari peristiwa autentikasi jarak jauh penuh. Autentikasi jarak jauh terjadi di awal sesi baru yang memverifikasi identitas pengguna terhadap sistem backend layanan menggunakan kredensial seperti kata sandi atau passkey. Langkah ini membangun kepercayaan antara pengguna dan layanan.
Sebaliknya, biometrik lokal berfokus pada verifikasi ulang identitas selama sesi yang sedang berlangsung dan sudah terautentikasi. Daripada meminta pengguna untuk memasukkan kembali kata sandi atau kredensial lain saat mereka meninggalkan aplikasi sebentar atau mengunci ponsel mereka, biometrik lokal mengonfirmasi bahwa pengguna resmi yang sama masih mengendalikan perangkat. Verifikasi yang berpusat pada perangkat ini tidak memerlukan koneksi internet atau interaksi dengan server jarak jauh, membuatnya cepat, andal, dan mulus dalam penggunaan sehari-hari.
Data biometrik disimpan dan diproses secara aman di dalam modul keamanan perangkat keras khusus - seperti Secure Enclave di iOS atau Trusted Execution Environment (TEE) di Android. Modul tepercaya ini dirancang untuk menjaga keamanan data biometrik sensitif dari perusakan, ekstraksi, atau transfer.
Karena penjangkaran tingkat perangkat keras ini, verifikasi biometrik tidak dapat dengan mudah dibagikan di seluruh perangkat atau layanan. Setiap templat biometrik perangkat tetap unik untuk unit tertentu, memastikan bahwa jika pengguna beralih ke ponsel baru, mereka harus mendaftarkan ulang biometrik mereka dari awal. Meskipun ini menambahkan langkah orientasi kecil saat beralih perangkat, ini melindungi dari akses tidak sah dan mencegah serangan jarak jauh yang dapat mengeksploitasi data biometrik yang disimpan secara terpusat. Selain itu, biometrik lokal berfungsi tanpa memerlukan koneksi internet, membuatnya andal bahkan saat perangkat sedang offline.
Biometrik lokal menyederhanakan keamanan dengan memverifikasi bahwa orang yang saat ini memegang perangkat memang pengguna yang sah dan sudah diautentikasi tanpa memerlukan entri PIN atau kata sandi kustom berulang kali jika aplikasi memiliki fungsionalitas penting seperti perbankan, asuransi, atau detail pribadi lainnya.
Mereka menjaga kenyamanan dengan bekerja secara mulus dan instan di perangkat, beroperasi secara offline, dan mengandalkan enklave perangkat keras yang aman untuk melindungi data biometrik sensitif. Meskipun mereka tidak dapat menggantikan kebutuhan autentikasi jarak jauh awal (seperti passkey atau kata sandi) untuk menetapkan identitas pengguna pada awalnya, mereka sangat baik dalam mengelola dan melindungi sesi berikutnya yang sedang berlangsung.
Keterbatasan mereka seperti kurangnya portabilitas dan kebutuhan untuk pendaftaran ulang pada perangkat baru adalah pertukaran yang dibuat demi peningkatan kenyamanan dan keamanan tingkat perangkat yang ketat. Pada akhirnya, biometrik lokal berfungsi sebagai metode yang kuat dan ramah pengguna untuk memastikan kepercayaan berkelanjutan dalam sesi aplikasi setelah kepercayaan itu awalnya ditetapkan.
Passkey mengubah sifat autentikasi dengan mengganti rahasia bersama seperti kata sandi dengan kredensial kriptografi asimetris. Tidak seperti biometrik lokal, yang hanya memverifikasi pengguna yang sudah diautentikasi secara lokal, passkey berfungsi sebagai metode utama untuk mengidentifikasi pengguna ke layanan jarak jauh. Ini memastikan pengalaman login yang aman dan tahan phishing bahkan dalam skenario di mana pengguna dan perangkat pada awalnya tidak diketahui oleh backend aplikasi.
Sebelum passkey, pendekatan umum untuk membangun kepercayaan dengan layanan jarak jauh melibatkan kata sandi—rahasia bersama yang diketahui oleh pengguna dan server. Meskipun kata sandi mudah diimplementasikan, mereka rentan terhadap ancaman seperti phishing, credential stuffing, dan penggunaan kembali kata sandi.
Passkey mengatasi tantangan ini dengan menggunakan sepasang kunci kriptografi: kunci pribadi yang disimpan dengan aman di perangkat pengguna dan kunci publik yang sesuai yang terdaftar di layanan. Ketika upaya login terjadi, layanan mengirimkan tantangan yang hanya dapat diselesaikan oleh kunci pribadi pengguna. Ini memastikan bahwa bahkan jika penyerang mencegat data atau mencoba menipu pengguna untuk mengungkapkan kredensial, mereka tidak dapat memperoleh akses tidak sah.
Passkey menggunakan kriptografi asimetris:
Ini sangat penting untuk sistem di mana selain aplikasi native juga digunakan situs web di mana phishing adalah masalah besar. Passkey yang dibuat di perangkat seluler dapat digunakan melalui Autentikasi Lintas Perangkat juga di situs web pada mesin desktop.
Salah satu keunggulan inti passkey adalah portabilitasnya yang mulus di seluruh perangkat pengguna. Sistem operasi modern dapat menyinkronkan passkey melalui penyimpanan cloud yang aman (misalnya, iCloud Keychain, Google Password Manager), memungkinkan pengguna untuk masuk dari beberapa perangkat tanpa pendaftaran ulang atau mengingat kata sandi untuk instalasi pertama aplikasi. Selain itu, passkey juga dapat digunakan dalam skenario di mana faktor kedua akan diperlukan untuk memberikan perlindungan seperti dua faktor tanpa menimbulkan hambatan. Sinergi ini memungkinkan login yang cepat dan aman tidak peduli perangkat mana yang dipilih pengguna, memperkuat ekosistem di mana autentikasi aman dapat diakses secara universal dan mudah dipelihara.
Passkey merupakan metode yang kuat dan tahan phishing untuk mengautentikasi pengguna yang tidak dikenal ke layanan jarak jauh. Dengan memanfaatkan kriptografi asimetris dan beralih dari rahasia bersama ke kunci pribadi yang berada di perangkat, mereka menghilangkan banyak kelemahan yang melanda sistem berbasis kata sandi. Passkey menggabungkan keamanan yang kuat, portabilitas global, dan integrasi langsung dengan komponen keamanan perangkat keras. Akibatnya, mereka berfungsi sebagai fondasi yang kuat untuk menetapkan identitas pengguna—sesuatu yang tidak dapat diberikan oleh biometrik lokal saja. Dalam konteks aplikasi native, passkey adalah langkah pertama yang penting dalam menciptakan sesi yang aman, setelah itu biometrik lokal dapat digunakan untuk menjaga akses pengguna yang cepat dan nyaman.
Ketika berbicara tentang autentikasi di aplikasi native, passkey dan biometrik lokal memainkan peran penting namun berbeda. Meskipun keduanya meningkatkan pengalaman dan keamanan pengguna, mereka mengatasi masalah yang pada dasarnya berbeda:
Memahami perbedaan ini sangat penting bagi pengembang yang bertujuan untuk menciptakan alur autentikasi yang kuat yang aman dan ramah pengguna.
Untuk lebih memahami perbedaan dan peran komplementer dari passkey dan biometrik lokal, tabel di bawah ini membandingkan karakteristik utama mereka di berbagai dimensi, termasuk tujuan, kasus penggunaan, keamanan, dan portabilitas. Perbandingan ini menyoroti bagaimana teknologi ini mengatasi masalah yang pada dasarnya berbeda sambil bekerja sama untuk meningkatkan keamanan dan kenyamanan pengguna.
Aspek | Passkey | Biometrik Lokal |
---|---|---|
Fase | Setelah Instalasi Aplikasi, Login Ulang, Waktu Sesi Habis | Aplikasi terinstal & sudah login |
Tujuan Inti | Mengautentikasi pengguna yang tidak dikenal (login awal) | Memverifikasi bahwa pengguna yang sedang aktif (yang sudah diautentikasi) adalah pemilik sah dari perangkat/aplikasi |
Melindungi | Akses ke akun pengguna | Akses ke aplikasi yang sudah login |
Kasus Penggunaan | Ideal untuk login pertama kali atau setelah instalasi ulang, membangun kepercayaan dengan layanan, dan memungkinkan login lintas platform dan lintas perangkat | Ideal untuk memverifikasi ulang apakah pemegang perangkat adalah pemilik perangkat, membuka kunci aplikasi dengan cepat tanpa memasukkan kembali kata sandi/passkey |
Model Autentikasi | Autentikasi jarak jauh: memverifikasi identitas terhadap sistem backend | Verifikasi lokal: memeriksa data biometrik yang disimpan dengan aman di perangkat, tidak menghubungi server jarak jauh |
MFA | Ya + tahan phishing | Tidak |
Biometrik native | Ya (misalnya Face ID, Touch ID, Biometrik Android) | Ya (misalnya Face ID, Touch ID, Biometrik Android) |
Cakupan & Portabilitas | Lintas perangkat, lintas platform, kegunaan lintas aplikasi (aplikasi native + web) berkat sinkronisasi kunci cloud yang aman | Spesifik perangkat, tidak dapat dipindahtangankan: templat biometrik harus didaftarkan ulang di perangkat baru Tidak dapat dengan mudah dipindahkan antar platform |
Penyimpanan & Keamanan Data | Kunci pribadi disimpan di secure enclave Kunci publik disimpan di sisi server Tidak ada rahasia bersama yang ditransmisikan Tahan terhadap phishing | Templat biometrik disimpan di enklave perangkat keras yang aman di perangkat Tidak pernah meninggalkan perangkat Dilindungi oleh perangkat keras perangkat |
Kebutuhan Internet | Memerlukan koneksi internet untuk mengautentikasi dengan layanan jarak jauh dan mendaftarkan kunci. | Tidak memerlukan koneksi internet; verifikasi sepenuhnya lokal, membuatnya berguna bahkan saat offline dan aplikasi memiliki kasus penggunaan offline |
Pencadangan & Pemulihan | Kunci dapat dicadangkan dan dipulihkan melalui sinkronisasi cloud (misalnya, iCloud Keychain, Google Password Manager), memastikan pemulihan yang mudah jika perangkat hilang atau diganti | Tidak ada mekanisme pencadangan bawaan untuk biometrik; jika perangkat gagal, pengguna harus mendaftarkan ulang data biometrik mereka di perangkat baru |
Integrasi dengan Situs Web & Aplikasi | Dapat digunakan untuk aplikasi native dan situs web. Passkey menyederhanakan alur login dengan mengautentikasi pengguna tanpa mengungkapkan kredensial, meningkatkan keamanan secara keseluruhan | Terbatas pada perangkat dan aplikasi yang diinstal secara lokal. |
Implementasi Pengembang | Integrasikan menggunakan standar web (WebAuthn, FIDO2) dan API platform native Backend harus menangani kunci publik dan tantangan. | Manfaatkan SDK platform (iOS, Android) untuk permintaan biometrik Tidak diperlukan penanganan backend khusus. |
Pengalaman Pengguna | Setelah pengaturan awal, pengguna dapat masuk dengan cepat tanpa mengingat email atau kata sandi, bahkan di perangkat baru Orientasi yang disederhanakan dengan pengurangan hambatan | Menyediakan akses ulang instan tanpa kata sandi ke aplikasi setelah pengguna sudah diautentikasi. |
Meskipun tabel menyoroti perbedaan inti, penting untuk menyadari bahwa passkey dan biometrik lokal bukanlah teknologi yang bersaing—mereka saling melengkapi. Bersama-sama, mereka menyediakan pengalaman autentikasi berlapis:
Dengan menggabungkan passkey dan biometrik lokal, pengembang dapat memberikan alur autentikasi yang aman, mulus, dan ramah pengguna.
Dengan menggabungkan passkey dan biometrik lokal, pengembang dapat menciptakan alur autentikasi yang kuat yang:
Sinergi ini memastikan bahwa aplikasi dapat memberikan autentikasi yang kuat dan kenyamanan yang mulus—kombinasi unggul untuk ekspektasi pengguna modern.
Untuk mendapatkan pemahaman yang lebih baik tentang bagaimana contoh dan kombinasi dunia nyata bekerja, kita akan memeriksa dua implementasi yang berbeda: satu yang hanya memanfaatkan passkey dan satu lagi yang menggunakan pendekatan gabungan.
Aplikasi Kayak menunjukkan implementasi passkey untuk autentikasi pengguna. Passkey diintegrasikan secara mulus ke dalam proses login, menawarkan pengguna opsi untuk mengautentikasi tanpa perlu mengingat alamat email atau kata sandi mereka. Seperti yang ditunjukkan di layar autentikasi, pengguna dapat langsung memilih passkey untuk login. Pendekatan ini secara signifikan menyederhanakan pengalaman pengguna dengan mengurangi beban kognitif dan menghilangkan hambatan terkait kata sandi.
Setelah diautentikasi melalui passkey, pengguna mendapatkan akses tak terbatas ke aplikasi tanpa memerlukan autentikasi ulang. Desain ini sangat cocok untuk Kayak, sebuah aplikasi perjalanan yang terutama mengelola riwayat pemesanan dan rencana perjalanan, yang tidak dianggap sebagai data yang sangat sensitif atau kritis.
Sorotan Utama dari Pendekatan Kayak:
Implementasi ini menunjukkan bagaimana passkey dapat menyederhanakan proses autentikasi sambil menghilangkan kebutuhan akan kata sandi, memberikan pengalaman yang lancar bagi pengguna. Namun, dalam skenario di mana tindakan yang lebih sensitif atau kritis dilakukan di dalam aplikasi, lapisan keamanan tambahan, seperti biometrik lokal, mungkin diperlukan. Mari kita jelajahi bagaimana GitHub memanfaatkan passkey dan biometrik untuk memastikan keamanan tanpa mengorbankan kegunaan.
GitHub menyeimbangkan integrasi passkey untuk login yang aman dengan biometrik lokal untuk melindungi konten aplikasi dalam status login. Passkey ditawarkan sebagai opsi login yang cepat dan tahan phishing, yang sangat penting mengingat persyaratan autentikasi multi-faktor (MFA) GitHub. Ini menghilangkan kebutuhan pengguna untuk mengelola kata sandi atau kode sandi sekali pakai, memberikan pengalaman login yang mulus dan aman. Namun demi artikel ini, kita tidak akan melihat implementasi passkey mereka.
Lapisan Keamanan Tambahan GitHub dengan Biometrik Lokal:
Karena GitHub juga menawarkan operasi sensitif seperti menggabungkan pull request, GitHub
memungkinkan pengguna untuk mengaktifkan perlindungan biometrik lokal jika mereka merasa
perlu. Dalam contoh ini, Face ID digunakan untuk mengunci aplikasi di
iOS, memastikan hanya pemilik perangkat yang dapat
mengakses atau menjalankan Aplikasi GitHub. Aplikasi secara eksplisit meminta hak istimewa
yang diperlukan dari sistem operasi untuk mengaktifkan biometrik dan menawarkan interval
yang dapat dikonfigurasi (misalnya, segera atau setelah waktu habis yang ditentukan).
Sorotan Utama dari Pendekatan GitHub:
Bersama-sama, contoh-contoh ini menggambarkan bagaimana passkey dan biometrik lokal dapat disesuaikan dengan kebutuhan aplikasi yang berbeda, menyeimbangkan kenyamanan pengguna dengan langkah-langkah keamanan yang sesuai.
Di bawah ini adalah empat rekomendasi yang disesuaikan dengan skenario umum di mana biometrik lokal dan passkey mungkin diimplementasikan. Rekomendasi ini disusun agar pengembang, manajer produk, dan pengambil keputusan dapat dengan cepat mengidentifikasi pendekatan mana yang paling sesuai dengan situasi mereka. Tabel ringkasan berikut memudahkan untuk memetakan setiap rekomendasi ke skenario yang diberikan:
Meskipun rekomendasi di atas mencakup berbagai skenario umum, ada banyak situasi lain di mana pilihan untuk mengimplementasikan biometrik lokal, passkey, atau keduanya dapat bervariasi. Setiap aplikasi memiliki kebutuhan keamanan, kegunaan, dan kepatuhan yang unik, dan penting bagi pengembang, manajer produk, dan pemimpin bisnis untuk menilai faktor-faktor ini secara menyeluruh sebelum memutuskan suatu pendekatan. Dengan menimbang dengan cermat kasus penggunaan spesifik Anda, persyaratan peraturan, dan harapan pengguna, Anda dapat menyusun strategi autentikasi yang tidak hanya melindungi pengguna dan data mereka tetapi juga memberikan pengalaman yang mulus dan ramah pengguna yang diharapkan oleh pelanggan saat ini.
Seperti yang telah kita lihat, biometrik lokal dan passkey melayani peran yang pada dasarnya berbeda namun saling melengkapi dalam strategi autentikasi modern. Biometrik lokal menyederhanakan verifikasi sesi yang sedang berlangsung dengan memanfaatkan ciri-ciri bawaan pengguna untuk pemeriksaan cepat di perangkat, sementara passkey membangun hubungan kepercayaan yang aman dan tahan phishing dengan layanan jarak jauh. Dengan menggabungkan metode-metode ini secara bijaksana, pengembang dapat menciptakan pengalaman pengguna yang lancar dan sangat aman, secara efektif memenuhi kebutuhan lanskap digital yang beragam dan menuntut. Kembali ke pertanyaan dari Pendahuluan:
Dengan mengenali peran yang berbeda namun saling menguntungkan dari passkey dan biometrik lokal, pengembang dan pengambil keputusan dapat menerapkan pendekatan autentikasi komprehensif yang menyeimbangkan keamanan, kenyamanan, dan kepuasan pengguna. Dengan demikian, aplikasi menjadi lebih tangguh terhadap ancaman, lebih mudah dinavigasi, dan lebih mudah beradaptasi dengan kebutuhan pengguna dan peraturan yang berkembang—pada akhirnya memberikan lingkungan digital yang mulus dan dapat dipercaya.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents