--- url: 'https://www.corbado.com/id/blog/passkey-vs-biometrik-lokal' title: 'Aplikasi Native: Passkey vs. Biometrik Lokal' description: 'Pahami manfaat menggunakan passkey bersama biometrik lokal untuk keamanan aplikasi yang optimal dan akses pengguna yang lancar.' lang: 'id' author: 'Vincent Delitz' date: '2025-06-17T14:38:12.463Z' lastModified: '2026-03-25T10:06:31.507Z' keywords: 'biometrik lokal, biometrik perangkat' category: 'Passkeys Strategy' --- # Aplikasi Native: Passkey vs. Biometrik Lokal ## 1. Pendahuluan Setelah biometrik di ponsel menjadi hal yang umum, banyak [aplikasi native](https://www.corbado.com/id/blog/passkey-aplikasi-native) mulai menggunakan fitur seperti [Face ID](https://www.corbado.com/faq/is-face-id-passkey) atau Touch ID (atau yang setara di [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android)) untuk melindungi akses aplikasi. Perlindungan biometrik lokal ini secara signifikan meningkatkan kenyamanan pengguna dengan memungkinkan akses yang cepat dan lancar. Sekilas, passkey dan biometrik lokal mungkin tampak berlebihan karena keduanya melibatkan verifikasi pengguna. Namun, keduanya memiliki tujuan yang pada dasarnya berbeda. Artikel ini akan membahas: - **Passkey vs. Biometrik Lokal:** Bagaimana biometrik lokal dan passkey berbeda dalam peran dan fungsinya? - **Menambahkan Passkey ke Aplikasi dengan Biometrik Lokal:** Apakah masuk akal untuk menambahkan passkey ke aplikasi yang sudah menggunakan biometrik? Apa saja manfaatnya? Pada akhirnya, kita akan memiliki pemahaman yang lebih baik tentang kapan dan bagaimana memanfaatkan kedua solusi ini secara bersamaan untuk menciptakan pengalaman aplikasi yang lebih aman, ramah pengguna, dan mulus. Kami juga akan menguraikan skenario praktis di mana penggabungan passkey dan biometrik lokal dapat meningkatkan [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) dan kenyamanan, memastikan bahwa pengembang dapat membuat keputusan yang tepat untuk memenuhi kebutuhan pengguna secara efektif. ## 2. Bagaimana Biometrik Lokal Melindungi Aplikasi? Metode [autentikasi biometrik](https://www.corbado.com/id/faq/apa-itu-passkeys) lokal, seperti [Face ID](https://www.corbado.com/faq/is-face-id-passkey), Touch ID dari Apple, atau kemampuan biometrik [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android), memanfaatkan ciri fisik unik (misalnya, fitur wajah atau sidik jari) untuk memverifikasi identitas pengguna. Tidak seperti PIN atau kata sandi tradisional, yang mengandalkan sesuatu yang diketahui pengguna, biometrik mengandalkan sesuatu yang melekat pada pengguna. Pergeseran ini menghilangkan kebutuhan untuk mengetik kode berulang kali, secara signifikan mengurangi hambatan dan membuat akses aplikasi sehari-hari menjadi cepat dan aman. ### 2.1 Sejarah Keamanan Aplikasi: Dari PIN dan Kata Sandi ke Biometrik Sebelum biometrik mendapatkan daya tarik utama di ponsel, aplikasi yang bertujuan untuk melindungi konten sensitif sering kali meminta pengguna untuk memasukkan PIN atau kata sandi tambahan setiap kali diluncurkan. Meskipun pendekatan ini meningkatkan [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android), pendekatan ini juga menimbulkan ketidaknyamanan tambahan, terutama ketika pengguna sudah diautentikasi di awal sesi mereka. Kemunculan teknologi pengenalan wajah dan pemindaian sidik jari berbasis perangkat menyederhanakan proses ini. Alih-alih mengetik kode berulang kali, pengguna sekarang dapat membuka kunci aplikasi dengan pemindaian wajah cepat atau sentuhan singkat. Jika, karena alasan apa pun, pemeriksaan biometrik gagal atau pengguna lebih memilih untuk tidak mengaktifkannya, PIN, kode sandi, atau kata sandi cadangan tetap tersedia. Desain ini memastikan kenyamanan dan aksesibilitas tanpa mengorbankan [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android). ### 2.2 Verifikasi Lokal vs. Autentikasi Jarak Jauh Penting untuk membedakan pemeriksaan biometrik lokal dari peristiwa [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) jarak jauh penuh. [Autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) jarak jauh terjadi di awal sesi baru yang memverifikasi identitas pengguna terhadap sistem backend layanan menggunakan kredensial seperti kata sandi atau passkey. Langkah ini membangun kepercayaan antara pengguna dan layanan. Sebaliknya, biometrik lokal berfokus pada verifikasi ulang identitas selama sesi yang sedang berlangsung dan sudah terautentikasi. Daripada meminta pengguna untuk memasukkan kembali kata sandi atau kredensial lain saat mereka meninggalkan aplikasi sebentar atau mengunci ponsel mereka, biometrik lokal mengonfirmasi bahwa pengguna resmi yang sama masih mengendalikan perangkat. Verifikasi yang berpusat pada perangkat ini tidak memerlukan koneksi internet atau interaksi dengan server jarak jauh, membuatnya cepat, andal, dan mulus dalam penggunaan sehari-hari. ### 2.3 Modul Keamanan Perangkat Keras dan Sifat Tidak Dapat Dipindahtangankan Data biometrik disimpan dan diproses secara aman di dalam modul keamanan perangkat keras khusus - seperti [Secure Enclave](https://www.corbado.com/glossary/secure-enclave) di [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios) atau Trusted Execution Environment (TEE) di [Android](https://www.corbado.com/blog/how-to-enable-passkeys-android). Modul tepercaya ini dirancang untuk menjaga keamanan data biometrik sensitif dari perusakan, ekstraksi, atau transfer. Karena penjangkaran tingkat perangkat keras ini, verifikasi biometrik tidak dapat dengan mudah dibagikan di seluruh perangkat atau layanan. Setiap templat biometrik perangkat tetap unik untuk unit tertentu, memastikan bahwa jika pengguna beralih ke ponsel baru, mereka harus mendaftarkan ulang biometrik mereka dari awal. Meskipun ini menambahkan langkah orientasi kecil saat beralih perangkat, ini melindungi dari akses tidak sah dan mencegah serangan jarak jauh yang dapat mengeksploitasi data biometrik yang disimpan secara terpusat. Selain itu, biometrik lokal berfungsi tanpa memerlukan koneksi internet, membuatnya andal bahkan saat perangkat sedang offline. ### 2.4 Ringkasan: Biometrik Lokal Biometrik lokal menyederhanakan keamanan dengan memverifikasi bahwa orang yang saat ini memegang perangkat memang pengguna yang sah dan sudah diautentikasi tanpa memerlukan entri PIN atau kata sandi kustom berulang kali jika aplikasi memiliki fungsionalitas penting seperti perbankan, asuransi, atau detail pribadi lainnya. Mereka menjaga kenyamanan dengan bekerja secara mulus dan instan di perangkat, beroperasi secara offline, dan mengandalkan enklave perangkat keras yang aman untuk melindungi data biometrik sensitif. Meskipun mereka tidak dapat menggantikan kebutuhan [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) jarak jauh awal (seperti passkey atau kata sandi) untuk menetapkan identitas pengguna pada awalnya, mereka sangat baik dalam mengelola dan melindungi sesi berikutnya yang sedang berlangsung. Keterbatasan mereka seperti kurangnya portabilitas dan kebutuhan untuk pendaftaran ulang pada perangkat baru adalah pertukaran yang dibuat demi peningkatan kenyamanan dan keamanan tingkat perangkat yang ketat. Pada akhirnya, biometrik lokal berfungsi sebagai metode yang kuat dan ramah pengguna untuk memastikan kepercayaan berkelanjutan dalam sesi aplikasi setelah kepercayaan itu awalnya ditetapkan. ## 3. Bagaimana Passkey Melindungi Aplikasi? Passkey mengubah sifat autentikasi dengan mengganti rahasia bersama seperti kata sandi dengan kredensial kriptografi asimetris. Tidak seperti biometrik lokal, yang hanya memverifikasi pengguna yang sudah diautentikasi secara lokal, passkey berfungsi sebagai metode utama untuk mengidentifikasi pengguna ke layanan jarak jauh. Ini memastikan pengalaman login yang aman dan tahan [phishing](https://www.corbado.com/glossary/phishing) bahkan dalam skenario di mana pengguna dan perangkat pada awalnya tidak diketahui oleh backend aplikasi. ### 3.1 Dari Kata Sandi ke Passkey: Lompatan dalam Keamanan Sebelum passkey, pendekatan umum untuk membangun kepercayaan dengan layanan jarak jauh melibatkan kata sandi—rahasia bersama yang diketahui oleh pengguna dan server. Meskipun kata sandi mudah diimplementasikan, mereka rentan terhadap ancaman seperti [phishing](https://www.corbado.com/glossary/phishing), [credential stuffing](https://www.corbado.com/glossary/credential-stuffing), dan penggunaan kembali kata sandi. Passkey mengatasi tantangan ini dengan menggunakan sepasang kunci kriptografi: kunci pribadi yang disimpan dengan aman di perangkat pengguna dan kunci publik yang sesuai yang terdaftar di layanan. Ketika upaya login terjadi, layanan mengirimkan tantangan yang hanya dapat diselesaikan oleh kunci pribadi pengguna. Ini memastikan bahwa bahkan jika penyerang mencegat data atau mencoba menipu pengguna untuk mengungkapkan kredensial, mereka tidak dapat memperoleh akses tidak sah. ### 3.2 Kriptografi Kunci Publik dan Ketahanan Phishing Passkey menggunakan kriptografi asimetris: - **Kunci Pribadi (Sisi Klien):** Disimpan dengan aman di dalam [secure enclave](https://www.corbado.com/glossary/secure-enclave) perangkat, tidak dapat diakses oleh aplikasi lain atau bahkan sistem operasi itu sendiri. - **Kunci Publik (Sisi Server):** Terdaftar di backend aplikasi, tetapi tidak berguna dengan sendirinya tanpa kunci pribadi. Karena pengguna tidak pernah mengirim kunci pribadi melalui jaringan dan tidak pernah memiliki "rahasia bersama" untuk diketik, upaya [phishing](https://www.corbado.com/glossary/phishing) sebagian besar menjadi tidak efektif. Penyerang tidak dapat menipu pengguna untuk mengetik sesuatu yang tidak mereka ketahui, dan mencegat kunci publik tidak memberikan keuntungan apa pun. Arsitektur ini, yang didukung oleh standar seperti [FIDO2](https://www.corbado.com/glossary/fido2) dan WebAuthn, memastikan bahwa seluruh alur autentikasi didasarkan pada operasi kriptografi yang dapat dibuktikan daripada kredensial yang dimasukkan pengguna. Ini sangat penting untuk sistem di mana selain [aplikasi native](https://www.corbado.com/id/blog/passkey-aplikasi-native) juga digunakan situs web di mana phishing adalah masalah besar. Passkey yang dibuat di perangkat seluler dapat digunakan melalui Autentikasi Lintas Perangkat juga di situs web pada mesin desktop. ### 3.3 Portabilitas Lintas Perangkat, Sinkronisasi Cloud, dan Pengalaman yang Mulus Salah satu keunggulan inti passkey adalah portabilitasnya yang mulus di seluruh perangkat pengguna. Sistem operasi modern dapat menyinkronkan passkey melalui penyimpanan cloud yang aman (misalnya, [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain), [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)), memungkinkan pengguna untuk masuk dari beberapa perangkat tanpa pendaftaran ulang atau mengingat kata sandi untuk instalasi pertama aplikasi. Selain itu, passkey juga dapat digunakan dalam skenario di mana faktor kedua akan diperlukan untuk memberikan perlindungan seperti dua faktor tanpa menimbulkan hambatan. Sinergi ini memungkinkan login yang cepat dan aman tidak peduli perangkat mana yang dipilih pengguna, memperkuat ekosistem di mana autentikasi aman dapat diakses secara universal dan mudah dipelihara. ### 3.4 Ringkasan: Passkey Passkey merupakan metode yang kuat dan tahan phishing untuk mengautentikasi pengguna yang tidak dikenal ke layanan jarak jauh. Dengan memanfaatkan kriptografi asimetris dan beralih dari rahasia bersama ke kunci pribadi yang berada di perangkat, mereka menghilangkan banyak kelemahan yang melanda sistem berbasis kata sandi. Passkey menggabungkan keamanan yang kuat, portabilitas global, dan integrasi langsung dengan komponen keamanan perangkat keras. Akibatnya, mereka berfungsi sebagai fondasi yang kuat untuk menetapkan identitas pengguna—sesuatu yang tidak dapat diberikan oleh biometrik lokal saja. Dalam konteks [aplikasi native](https://www.corbado.com/id/blog/passkey-aplikasi-native), passkey adalah langkah pertama yang penting dalam menciptakan sesi yang aman, setelah itu biometrik lokal dapat digunakan untuk menjaga akses pengguna yang cepat dan nyaman. ## 4. Analisis Mendalam: Passkey & Biometrik Lokal Ketika berbicara tentang autentikasi di aplikasi native, **passkey** dan **biometrik lokal** memainkan peran penting namun berbeda. Meskipun keduanya meningkatkan pengalaman dan keamanan pengguna, mereka mengatasi masalah yang pada dasarnya berbeda: ![passkeys vs local biometrics](https://www.corbado.com/website-assets/passkeys_vs_local_biometrics_9c14be9d62.png) - **Passkey** mengautentikasi pengguna yang tidak dikenal ke layanan jarak jauh, sering kali selama login pertama atau saat membuat sesi baru. - **Biometrik lokal**, seperti [Face ID](https://www.corbado.com/faq/is-face-id-passkey) atau Touch ID, memverifikasi ulang pengguna yang sudah diautentikasi secara lokal, memastikan kelangsungan dan kenyamanan untuk sesi yang sedang berlangsung. Memahami perbedaan ini sangat penting bagi pengembang yang bertujuan untuk menciptakan alur autentikasi yang kuat yang aman dan ramah pengguna. ### 4.1 Passkey vs. Biometrik Lokal: Perbandingan Mendalam Untuk lebih memahami perbedaan dan peran komplementer dari passkey dan biometrik lokal, tabel di bawah ini membandingkan karakteristik utama mereka di berbagai dimensi, termasuk tujuan, kasus penggunaan, keamanan, dan portabilitas. Perbandingan ini menyoroti bagaimana teknologi ini mengatasi masalah yang pada dasarnya berbeda sambil bekerja sama untuk meningkatkan keamanan dan kenyamanan pengguna. ![comparing passkeys local biometrics](https://www.corbado.com/website-assets/comparing_passkeys_local_biometrics_87468e72a0.png) | Aspek | Passkey | Biometrik Lokal | | ------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | Fase | Setelah Instalasi Aplikasi, Login Ulang, Waktu Sesi Habis | Aplikasi terinstal & sudah login | | Tujuan Inti | Mengautentikasi pengguna yang tidak dikenal (login awal) | Memverifikasi bahwa pengguna yang sedang aktif (yang sudah diautentikasi) adalah pemilik sah dari perangkat/aplikasi | | Melindungi | Akses ke akun pengguna | Akses ke aplikasi yang sudah login | | Kasus Penggunaan | Ideal untuk login pertama kali atau setelah instalasi ulang, membangun kepercayaan dengan layanan, dan memungkinkan login lintas platform dan lintas perangkat | Ideal untuk memverifikasi ulang apakah pemegang perangkat adalah pemilik perangkat, membuka kunci aplikasi dengan cepat tanpa memasukkan kembali kata sandi/passkey | | Model Autentikasi | Autentikasi jarak jauh: memverifikasi identitas terhadap sistem backend | Verifikasi lokal: memeriksa data biometrik yang disimpan dengan aman di perangkat, tidak menghubungi server jarak jauh | | MFA | Ya + tahan phishing | Tidak | | Biometrik native | Ya (misalnya Face ID, Touch ID, Biometrik Android) | Ya (misalnya Face ID, Touch ID, Biometrik Android) | | Cakupan & Portabilitas | Lintas perangkat, lintas platform, kegunaan lintas aplikasi (aplikasi native + web) berkat sinkronisasi kunci cloud yang aman | Spesifik perangkat, tidak dapat dipindahtangankan: templat biometrik harus didaftarkan ulang di perangkat baru

Tidak dapat dengan mudah dipindahkan antar platform | | Penyimpanan & Keamanan Data | Kunci pribadi disimpan di secure enclave

Kunci publik disimpan di sisi server

Tidak ada rahasia bersama yang ditransmisikan

Tahan terhadap phishing | Templat biometrik disimpan di enklave perangkat keras yang aman di perangkat

Tidak pernah meninggalkan perangkat

Dilindungi oleh perangkat keras perangkat | | Kebutuhan Internet | Memerlukan koneksi internet untuk mengautentikasi dengan layanan jarak jauh dan mendaftarkan kunci. | Tidak memerlukan koneksi internet; verifikasi sepenuhnya lokal, membuatnya berguna bahkan saat offline dan aplikasi memiliki kasus penggunaan offline | | Pencadangan & Pemulihan | Kunci dapat dicadangkan dan dipulihkan melalui sinkronisasi cloud (misalnya, iCloud Keychain, Google Password Manager), memastikan pemulihan yang mudah jika perangkat hilang atau diganti | Tidak ada mekanisme pencadangan bawaan untuk biometrik; jika perangkat gagal, pengguna harus mendaftarkan ulang data biometrik mereka di perangkat baru | | Integrasi dengan Situs Web & Aplikasi | Dapat digunakan untuk aplikasi native dan situs web. Passkey menyederhanakan alur login dengan mengautentikasi pengguna tanpa mengungkapkan kredensial, meningkatkan keamanan secara keseluruhan | Terbatas pada perangkat dan aplikasi yang diinstal secara lokal. | | Implementasi Pengembang | Integrasikan menggunakan standar web (WebAuthn, FIDO2) dan API platform native

Backend harus menangani kunci publik dan tantangan. | Manfaatkan SDK platform (iOS, Android) untuk permintaan biometrik

Tidak diperlukan penanganan backend khusus. | | Pengalaman Pengguna | Setelah pengaturan awal, pengguna dapat masuk dengan cepat tanpa mengingat email atau kata sandi, bahkan di perangkat baru

Orientasi yang disederhanakan dengan pengurangan hambatan | Menyediakan akses ulang instan tanpa kata sandi ke aplikasi setelah pengguna sudah diautentikasi. | ### 4.2 Bagaimana Passkey dan Biometrik Lokal Saling Melengkapi Meskipun tabel menyoroti perbedaan inti, penting untuk menyadari bahwa passkey dan biometrik lokal bukanlah teknologi yang bersaing—mereka saling melengkapi. Bersama-sama, mereka menyediakan pengalaman autentikasi berlapis: ![complementary authentication passkeys local biometrics](https://www.corbado.com/website-assets/complementary_authentication_passkeys_local_biometrics_e1303e682f.png) 1. **Passkey untuk Autentikasi Awal, Login Ulang, dan MFA**\ Passkey penting dalam membangun kepercayaan antara pengguna dan layanan jarak jauh. Mereka menyediakan autentikasi tahan phishing, lintas platform, dan lintas perangkat dengan menggunakan kriptografi asimetris. Ini memastikan bahwa bahkan jika penyerang mencegat data, mereka tidak dapat mengakses akun pengguna. Dengan sinkronisasi cloud yang mulus (misalnya, [iCloud Keychain](https://www.corbado.com/glossary/icloud-keychain) atau [Google Password Manager](https://www.corbado.com/blog/how-to-use-google-password-manager)), passkey memungkinkan pengguna untuk masuk dengan mudah di seluruh perangkat, menjadikannya ideal untuk login pertama kali, instalasi ulang, atau skenario autentikasi multi-faktor (MFA). Mereka juga berfungsi sebagai jembatan antara aplikasi seluler dan situs web, menawarkan pengalaman yang konsisten dan aman di seluruh ekosistem. Untuk aplikasi yang memerlukan keamanan tinggi, passkey dapat menggantikan metode faktor kedua tradisional dengan solusi MFA mandiri. 2. **Biometrik Lokal untuk Verifikasi Berkelanjutan:**\ Setelah diautentikasi, biometrik lokal menawarkan akses cepat, aman, dan lancar ke aplikasi dengan memverifikasi bahwa pengguna resmi yang sama sedang mengoperasikan perangkat. Tidak seperti passkey, pemeriksaan biometrik lokal berpusat pada perangkat dan offline, mengandalkan enklave perangkat keras yang aman untuk menyimpan dan memproses data. Ini memastikan bahwa informasi sensitif tidak pernah meninggalkan perangkat, menambahkan lapisan keamanan tanpa memerlukan input pengguna yang konstan. Dengan mengurangi kebutuhan untuk memasukkan kembali kredensial, biometrik lokal meningkatkan pengalaman pengguna, terutama untuk aplikasi yang menangani informasi sensitif seperti perbankan atau layanan kesehatan. Mereka melindungi sesi yang sedang berlangsung dengan memverifikasi pemegang perangkat, memastikan kenyamanan tanpa mengorbankan keamanan. Dengan menggabungkan passkey dan biometrik lokal, pengembang dapat memberikan alur autentikasi yang aman, mulus, dan ramah pengguna. ### 4.3 Mengapa Menggabungkan Keduanya adalah Langkah Cerdas Dengan menggabungkan passkey dan biometrik lokal, pengembang dapat menciptakan alur autentikasi yang kuat yang: - **Meningkatkan Keamanan:** Passkey melindungi dari phishing, [credential stuffing](https://www.corbado.com/glossary/credential-stuffing), dan pencurian kata sandi, sementara biometrik lokal mencegah akses tidak sah ke sesi yang sudah diautentikasi. - **Meningkatkan Pengalaman Pengguna:** Biometrik lokal menghilangkan kebutuhan untuk memasukkan kata sandi atau passkey berulang kali, menciptakan pengalaman yang lancar setelah autentikasi awal. Jika autentikasi ulang diperlukan karena waktu habis atau keluar, autentikasi ulang semudah membuka kunci aplikasi. - **Menyederhanakan Akses Multi-Perangkat:** Passkey memungkinkan autentikasi lintas platform, sementara biometrik lokal menyediakan keamanan tingkat perangkat yang nyaman. Jika passkey digunakan di web, menambahkannya ke aplikasi native adalah langkah tambahan yang penting untuk menutup celah dan menawarkan pengalaman passkey layanan penuh bagi pengguna. Sinergi ini memastikan bahwa aplikasi dapat memberikan **autentikasi yang kuat** dan **kenyamanan yang mulus**—kombinasi unggul untuk ekspektasi pengguna modern. ## 5. Studi Kasus dan Contoh Dunia Nyata Untuk mendapatkan pemahaman yang lebih baik tentang bagaimana contoh dan kombinasi dunia nyata bekerja, kita akan memeriksa dua implementasi yang berbeda: satu yang hanya memanfaatkan passkey dan satu lagi yang menggunakan pendekatan gabungan. ### 5.1 Mengintegrasikan Passkey untuk Autentikasi: Kayak Aplikasi [Kayak](https://www.corbado.com/blog/kayak-passkeys) menunjukkan implementasi passkey untuk autentikasi pengguna. Passkey diintegrasikan secara mulus ke dalam proses login, menawarkan pengguna opsi untuk mengautentikasi tanpa perlu mengingat alamat email atau kata sandi mereka. Seperti yang ditunjukkan di layar autentikasi, pengguna dapat langsung memilih passkey untuk login. Pendekatan ini secara signifikan menyederhanakan pengalaman pengguna dengan mengurangi beban kognitif dan menghilangkan hambatan terkait kata sandi. ![kayak passkeys](https://www.corbado.com/website-assets/kayak_passkeys_e0775703ef.jpg) Setelah diautentikasi melalui passkey, pengguna mendapatkan akses tak terbatas ke aplikasi tanpa memerlukan autentikasi ulang. Desain ini sangat cocok untuk [Kayak](https://www.corbado.com/blog/kayak-passkeys), sebuah aplikasi perjalanan yang terutama mengelola riwayat pemesanan dan rencana perjalanan, yang tidak dianggap sebagai data yang sangat sensitif atau kritis. **Sorotan Utama dari Pendekatan Kayak:** - **Login Passkey di Layar Autentikasi:** Aplikasi ini segera menawarkan [login passkey](https://www.corbado.com/id/blog/passkey-login-praktik-terbaik), mengurangi langkah-langkah dan meningkatkan kenyamanan pengguna. - **Tidak Ada Perlindungan Biometrik Lokal Pasca-Login:** Mengingat bahwa aplikasi tidak menangani data pribadi yang sensitif, [Kayak](https://www.corbado.com/blog/kayak-passkeys) telah memilih untuk tidak menerapkan perlindungan biometrik lokal, seperti Face ID atau kunci sidik jari, untuk status login. Keputusan ini sejalan dengan kebutuhan keamanan data aplikasi sambil mempertahankan pengalaman yang lancar bagi pengguna. Implementasi ini menunjukkan bagaimana passkey dapat menyederhanakan proses autentikasi sambil menghilangkan kebutuhan akan kata sandi, memberikan pengalaman yang lancar bagi pengguna. Namun, dalam skenario di mana tindakan yang lebih sensitif atau kritis dilakukan di dalam aplikasi, lapisan keamanan tambahan, seperti biometrik lokal, mungkin diperlukan. Mari kita jelajahi bagaimana GitHub memanfaatkan passkey dan biometrik untuk memastikan keamanan tanpa mengorbankan kegunaan. ### 5.2 Menggunakan Biometrik untuk Melindungi Konten Aplikasi: GitHub GitHub menyeimbangkan integrasi passkey untuk login yang aman dengan biometrik lokal untuk melindungi konten aplikasi dalam status login. Passkey ditawarkan sebagai opsi login yang cepat dan tahan phishing, yang sangat penting mengingat persyaratan autentikasi multi-faktor (MFA) GitHub. Ini menghilangkan kebutuhan pengguna untuk mengelola kata sandi atau kode sandi sekali pakai, memberikan pengalaman login yang mulus dan aman. Namun demi artikel ini, kita tidak akan melihat implementasi passkey mereka. **Lapisan Keamanan Tambahan GitHub dengan Biometrik Lokal:**\ Karena GitHub juga menawarkan operasi sensitif seperti menggabungkan pull request, GitHub memungkinkan pengguna untuk mengaktifkan perlindungan biometrik lokal jika mereka merasa perlu. Dalam contoh ini, Face ID digunakan untuk mengunci aplikasi di [iOS](https://www.corbado.com/blog/how-to-enable-passkeys-ios), memastikan hanya pemilik perangkat yang dapat mengakses atau menjalankan Aplikasi GitHub. Aplikasi secara eksplisit meminta hak istimewa yang diperlukan dari sistem operasi untuk mengaktifkan biometrik dan menawarkan interval yang dapat dikonfigurasi (misalnya, segera atau setelah waktu habis yang ditentukan). ![github local biometrics](https://www.corbado.com/website-assets/github_local_biometrics_d9f8d2adc7.png) **Sorotan Utama dari Pendekatan GitHub:** - **Login Passkey untuk Kepatuhan MFA:** GitHub memanfaatkan passkey untuk menyederhanakan login yang aman tanpa mengorbankan standar autentikasi multi-faktor. - **Kunci Biometrik untuk Perlindungan Aplikasi:** Dengan menggunakan biometrik lokal seperti Face ID, GitHub memastikan bahwa sesi yang sudah login tidak dapat disalahgunakan atau diakses oleh individu yang tidak berwenang. Lapisan keamanan tambahan ini sangat penting untuk aplikasi yang menangani data atau tindakan pengguna yang sensitif. Bersama-sama, contoh-contoh ini menggambarkan bagaimana passkey dan biometrik lokal dapat disesuaikan dengan kebutuhan aplikasi yang berbeda, menyeimbangkan kenyamanan pengguna dengan langkah-langkah keamanan yang sesuai. ## 6. Rekomendasi Di bawah ini adalah empat rekomendasi yang disesuaikan dengan skenario umum di mana biometrik lokal dan passkey mungkin diimplementasikan. Rekomendasi ini disusun agar pengembang, manajer produk, dan pengambil keputusan dapat dengan cepat mengidentifikasi pendekatan mana yang paling sesuai dengan situasi mereka. Tabel ringkasan berikut memudahkan untuk memetakan setiap rekomendasi ke skenario yang diberikan: 1. **Untuk Aplikasi Data yang Diatur, Sensitif, atau Bernilai Tinggi: Passkey + Biometrik Lokal**\ Jika aplikasi Anda berurusan dengan data kritis, pribadi, diatur, atau sangat sensitif (misalnya, keuangan, layanan kesehatan, pemerintah, informasi yang dapat diidentifikasi secara pribadi), **implementasikan biometrik lokal** untuk autentikasi ulang yang aman dan lancar. Ini memastikan bahwa setelah pengguna masuk, akses berkelanjutan ke fitur sensitif dilindungi oleh faktor di perangkat (Face ID, Touch ID, pemindaian sidik jari) tanpa memasukkan kembali kredensial. Pada saat yang sama, ini juga merupakan indikasi kuat untuk mengimplementasikan passkey dan menegakkan persyaratan MFA di semua jenis perangkat. Di sinilah Corbado Enterprise Passkey Suite dapat membantu Anda terutama jika Anda berada dalam penerapan skala besar dan ingin memastikan bahwa Anda dapat mencapai [adopsi passkey](https://www.corbado.com/id/blog/kasus-bisnis-adopsi-passkey) 100%. 2. **Aplikasi Konsumen Skala Besar: Integrasi Passkey di Semua Perangkat**\ Bahkan di luar area sensitif, implementasi passkey masuk akal untuk menghindari phishing dan menghilangkan penderitaan kata sandi. Saat merencanakan peluncuran passkey, pastikan itu adalah bagian dari **strategi autentikasi holistik yang mencakup semua jenis perangkat**, termasuk aplikasi native, antarmuka web, dan titik akhir terhubung lainnya. Jangan perlakukan passkey sebagai fitur sekali pakai; sebaliknya, integrasikan secara konsisten di seluruh seluler, desktop, dan web untuk memberikan pengalaman login yang terpadu dan ramah pengguna. Ketika passkey sudah menjadi bagian dari autentikasi web Anda, **sangat penting untuk memperluas fungsionalitas ini ke aplikasi native Anda**. Ini memastikan pengalaman login yang konsisten, aman, dan ramah pengguna di semua platform, memanfaatkan keamanan dan kenyamanan kuat dari passkey di mana pun layanan Anda ditawarkan. 3. **Aplikasi Greenfield atau Mandiri:**\ Untuk aplikasi baru (greenfield) atau aplikasi mandiri tanpa beban autentikasi warisan dari web, pertimbangkan untuk **memulai dengan passkey sejak awal**. Dengan melakukannya, Anda menciptakan skema autentikasi yang tahan masa depan yang menghilangkan masalah kata sandi dan meletakkan dasar untuk perjalanan pengguna yang lancar dan aman di semua platform. Lihatlah solusi Corbado Complete kami. 4. **Hindari Implementasi Parsial untuk Ekosistem Multi-Perangkat:**\ Jika layanan Anda mencakup beberapa jenis perangkat (misalnya, seluler, web, dan desktop), jangan perkenalkan passkey hanya di satu lingkungan. **Implementasi parsial mengurangi konsistensi dan dapat membingungkan pengguna.** Sebaliknya, [adopsi passkey](https://www.corbado.com/id/blog/kasus-bisnis-adopsi-passkey) secara seragam untuk memastikan pengalaman login yang mulus dan terpadu di mana saja. Meluncurkannya secara bertahap atau pertama kali pada jenis perangkat terbesar dan kemudian di aplikasi native adalah wajar, tetapi harus dilakukan dalam jangka waktu yang singkat. Meskipun rekomendasi di atas mencakup berbagai skenario umum, ada banyak situasi lain di mana pilihan untuk mengimplementasikan biometrik lokal, passkey, atau keduanya dapat bervariasi. Setiap aplikasi memiliki kebutuhan keamanan, kegunaan, dan kepatuhan yang unik, dan penting bagi pengembang, manajer produk, dan pemimpin bisnis untuk menilai faktor-faktor ini secara menyeluruh sebelum memutuskan suatu pendekatan. Dengan menimbang dengan cermat kasus penggunaan spesifik Anda, persyaratan peraturan, dan harapan pengguna, Anda dapat menyusun strategi autentikasi yang tidak hanya melindungi pengguna dan data mereka tetapi juga memberikan pengalaman yang mulus dan ramah pengguna yang diharapkan oleh pelanggan saat ini. ## 7. Kesimpulan Seperti yang telah kita lihat, biometrik lokal dan passkey melayani peran yang pada dasarnya berbeda namun saling melengkapi dalam strategi autentikasi modern. Biometrik lokal menyederhanakan verifikasi sesi yang sedang berlangsung dengan memanfaatkan ciri-ciri bawaan pengguna untuk pemeriksaan cepat di perangkat, sementara passkey membangun hubungan kepercayaan yang aman dan tahan phishing dengan layanan jarak jauh. Dengan menggabungkan metode-metode ini secara bijaksana, pengembang dapat menciptakan pengalaman pengguna yang lancar dan sangat aman, secara efektif memenuhi kebutuhan lanskap digital yang beragam dan menuntut. Kembali ke pertanyaan dari Pendahuluan: - **Passkey vs. Biometrik Lokal: Bagaimana biometrik lokal dan passkey berbeda dalam peran dan fungsinya?**\ Biometrik lokal menyediakan verifikasi ulang yang nyaman dan berpusat pada perangkat untuk pengguna yang sudah diautentikasi, memastikan bahwa pemilik yang sah terus mengendalikan perangkat. Sebaliknya, passkey menggantikan rahasia bersama seperti kata sandi, memungkinkan autentikasi jarak jauh awal yang aman dan portabilitas lintas perangkat yang mudah, sehingga menghilangkan risiko phishing dan menawarkan pengalaman login yang terpadu di seluruh platform dan faktor bentuk. - **Menambahkan Passkey ke Aplikasi dengan Biometrik Lokal: Apakah masuk akal untuk menambahkan passkey ke aplikasi yang sudah menggunakan biometrik?**\ Ya, sering kali masuk akal. Biometrik saja tidak menetapkan identitas pengguna awal dengan layanan jarak jauh, sedangkan passkey melakukannya. Menggabungkan passkey bersama biometrik lokal yang ada dapat memperkuat keamanan secara keseluruhan sambil menjaga kenyamanan pengguna. Passkey menangani langkah pertama yang penting dari autentikasi dan portabilitas lintas perangkat, sementara biometrik menyederhanakan akses berikutnya dan verifikasi sesi yang sedang berlangsung. Dengan mengenali peran yang berbeda namun saling menguntungkan dari passkey dan biometrik lokal, pengembang dan pengambil keputusan dapat menerapkan pendekatan autentikasi komprehensif yang menyeimbangkan keamanan, kenyamanan, dan kepuasan pengguna. Dengan demikian, aplikasi menjadi lebih tangguh terhadap ancaman, lebih mudah dinavigasi, dan lebih mudah beradaptasi dengan kebutuhan pengguna dan peraturan yang berkembang—pada akhirnya memberikan lingkungan digital yang mulus dan dapat dipercaya.