Get your free and exclusive +45-page Authentication Analytics Whitepaper
Kembali ke ringkasan

Kunci Sandi di Brave Browser (2026): Apa yang Berhasil dan Bermasalah

Brave sebagian besar mengikuti Chromium untuk kunci sandi, namun konflik dengan Android, Windows Hello, dan manajer kata sandi masih menciptakan hambatan yang nyata.

Vincent Delitz
Vincent Delitz

Dibuat: 5 April 2026

Diperbarui: 3 Juli 2026

Kunci Sandi di Brave Browser (2026): Apa yang Berhasil dan Bermasalah

Halaman ini diterjemahkan secara otomatis. Baca versi asli berbahasa Inggris di sini.

Fakta utama
  • Jalur kode WebAuthn adalah milik Chromium, hampir tidak disentuh. Repositori brave/brave-core hanya berisi satu penyesuaian terkait WebAuthn yang terlihat: penggantian string yang mengubah label "Incognito" Chrome menjadi "Private" di dialog penyimpanan kunci sandi. Tidak ada patch C++ yang menyentuh jalur kode WebAuthn.
  • 24 masalah terkait kunci sandi/WebAuthn yang terbuka ada di brave/brave-browser per April 2026, berdasarkan pencarian masalah GitHub untuk passkey dan WebAuthn. Masalah terbuka yang ditandai dengan kunci sandi tumbuh dari ~2/tahun pada 2022-2023 menjadi 6 yang dibuka pada 2025.
  • Penggunaan lintas browser di macOS berfungsi. Kunci sandi yang dibuat di macOS dapat disimpan di iCloud Keychain dan dapat digunakan di Safari, Chrome, dan browser platform Apple lainnya pada perangkat yang berbagi ID Apple yang sama.
  • Bentuk build Android de-Googled bermasalah. Tanpa Layanan Google Play, pendaftaran dan autentikasi kunci sandi sering gagal di Android. Dilacak dalam masalah #45415 (terbuka sejak April 2025).
  • Windows Hello tidak dapat disembunyikan sepenuhnya. Menonaktifkan brave://password-manager/settings tidak menghentikan Windows untuk menawarkan Hello sebagai autentikator platform WebAuthn. Dilacak dalam masalah #51858 (dibuka Januari 2026).
  • Intersepsi ekstensi adalah regresi paling aktif. Masalah #37762 - di mana UI kunci sandi asli menimpa prompt Bitwarden dan 1Password - dibuka pada April 2024 dan masih menerima laporan bug pada 25 Maret 2026.
  • Solusi bendera web-authentication-new-passkey-ui telah hilang di versi 146 (Chromium 146), menurut laporan pengguna pada masalah brave/brave-browser #37762 tertanggal 25 Maret 2026.

1. Pendahuluan: Dukungan Kunci Sandi di Brave Saat Ini#

Dukungan kunci sandi Brave dekat dengan Chromium pada tingkat kode, tetapi pengalaman penggunanya berbeda di beberapa tempat penting. Per April 2026, repositori brave/brave-browser yang lebih luas masih memiliki 24 masalah terbuka yang cocok dengan passkey atau WebAuthn, sementara brave/brave-core menunjukkan satu penyesuaian khusus WebAuthn yang terlihat. Titik kerusakan utama adalah intersepsi ekstensi, prompt Windows Hello, dan alur Android pada perangkat de-Googled.

Brave mengirimkan kunci sandi melalui jalur kode WebAuthn yang sama dengan Chromium hulu dan mendelegasikan penyimpanan kredensial ke sistem operasi. Arsitektur tersebut membuat Brave terlihat standar di atas kertas, tetapi perilaku dunia nyata masih bergantung pada sistem di sekitarnya seperti ekstensi manajer kata sandi, Windows Hello, dan Layanan Google Play. Bagian di bawah ini memisahkan mode kegagalan tersebut sehingga setiap perilaku spesifik platform dapat dipahami dengan sendirinya.

2. Bagaimana tumpukan WebAuthn di Brave berbeda dari Chromium?#

Implementasi WebAuthn Brave secara efektif adalah implementasi Chromium dengan satu perubahan teks UI yang terlihat. Repositori brave/brave-core berisi satu penyesuaian terkait WebAuthn - penggantian string yang mengubah nama "Incognito" menjadi "Private" dalam dialog penyimpanan - dan tidak ada patch C++ yang menyentuh logika inti WebAuthn. Itu berarti Brave mewarisi tumpukan kunci sandi Chromium yang dikirimkan Google dari Chromium 115 pada Juni 2023 dan seterusnya.

Hal ini penting karena dua alasan. Pertama, penggabungan hulu yang normal berarti perbaikan WebAuthn dan penambahan fitur umumnya tiba tanpa Brave mempertahankan implementasi kunci sandi yang di-fork secara mendalam. Anda dapat memeriksa satu-satunya penggantian string secara langsung di brave/brave-core. Dalam pemetaan AAGUID, jalur autentikator browser Chromium umumnya diidentifikasi sebagai b5397666-4885-aa6b-cebf-e52262a439a2, berlabel "Chromium Browser" dalam daftar referensi kami. Kedua, sebagian besar kegagalan yang dilaporkan - intersepsi ekstensi, konflik isi otomatis, dan ketergantungan Layanan Google Play Android - muncul di sistem yang berdekatan seperti isi otomatis, izin, Shields, atau integrasi Wallet. Mereka mengelilingi alur WebAuthn alih-alih menggantikannya.

3. Bisakah kunci sandi yang dibuat di macOS digunakan di Safari pada perangkat Apple lainnya?#

Ya, tetapi hanya jika kunci sandi disimpan ke iCloud Keychain. Pada macOS, Brave menggunakan tumpukan WebAuthn Chromium dan dapat menyimpan kunci sandi baru baik di autentikator platform Apple atau di target penyimpanan lain yang disajikan dalam prompt pembuatan. Kunci sandi yang disimpan ke iCloud Keychain disinkronkan melalui ID Apple dan menjadi tersedia di Safari, Chrome, dan browser berkemampuan WebAuthn lainnya pada perangkat Apple yang berbagi ID Apple tersebut.

Setelah macOS mengonfirmasi bahwa Brave diizinkan untuk mengakses iCloud Keychain, browser dapat menggunakan kunci sandi yang disinkronkan yang sama seperti yang dilihat Safari. Prompt izin tersebut adalah momen praktis di mana portabilitas lintas browser pada perangkat Apple menjadi nyata alih-alih teoritis.

Brave di macOS juga dapat berpartisipasi dalam alur autentikasi lintas perangkat. Jika pengguna mengizinkan akses Bluetooth, Brave dapat menemukan dan berkomunikasi dengan perangkat terdekat selama CDA, yang membuat persetujuan kunci sandi berbasis telepon terasa sebagian besar mulus dari browser desktop.

Kunci sandi yang disimpan ke penyimpanan profil browser atau penyimpanan khusus lokal tidak secara otomatis tersedia di Safari pada perangkat Apple lainnya. Perbedaan itu penting karena sinkronisasi autentikator platform tingkat OS dan sinkronisasi profil browser mengikuti aturan yang berbeda. Brave tidak menyediakan sinkronisasi kunci sandi Pengelola Kata Sandi Google milik Chrome, sehingga hanya jalur iCloud Keychain yang memberikan portabilitas lintas browser gaya Apple di perangkat Apple.

4. Mengapa kunci sandi tidak berfungsi dengan andal di Android tanpa Layanan Google Play?#

Credential Manager Android itu sendiri bukan bagian dari Layanan Google Play. Pada Android 14 dan yang lebih baru, Chromium dapat menggunakan jalur Credential Manager sistem, sementara versi Android yang lebih lama lebih bergantung pada lapisan FIDO2 yang didukung Layanan Google Play. Dalam praktiknya, Brave masih mewarisi kegagalan yang didokumentasikan dalam masalah #45415: pada GrapheneOS, CalyxOS, /e/OS, dan build Android de-Googled lainnya tanpa jalur Layanan Play yang diperlukan, pendaftaran dan autentikasi kunci sandi dapat kehabisan waktu. Per April 2026, ini tetap menjadi celah kompatibilitas terbuka untuk pengguna Android yang berfokus pada privasi.

Perilaku ini didokumentasikan dalam brave/brave-browser masalah #45415, dibuka pada April 2025 dan masih terbuka setahun kemudian. Dokumentasi Credential Manager Google membedakan API Credential Manager dari ketergantungan autentikasi Layanan Play opsional yang digunakan pada versi Android yang lebih lama, dan panduan Android yang lebih luas mencatat bahwa Android 14+ dapat bekerja dengan pengelola kata sandi yang diaktifkan. Utas tersebut juga mencatat bahwa mode kegagalan yang sama memengaruhi browser berbasis Chromium secara lebih luas, sementara browser berbasis Firefox tidak terpengaruh dengan cara yang sama. Pelapor awal menunjukkan bahwa GrapheneOS menambal ketergantungan di fork Chromium-nya sendiri, Vanadium, sehingga perbaikan hilir terlihat mungkin secara teknis - hal itu belum terjadi saja.

Beberapa pengguna secara independen mengonfirmasi perilaku tersebut di utas itu. Satu pengujian yang sangat bersih pada bulan Desember 2025 menggunakan perangkat yang sama dengan dua profil: kunci sandi bekerja di Brave hanya pada profil dengan Layanan Play diaktifkan, sementara Vanadium dan Cromite bekerja pada keduanya. Per April 2026, tidak ada pengelola Brave yang merespons di utas tersebut. Bagi audiens Android Brave yang berfokus pada privasi - yang mencakup jumlah pengguna de-Googled yang tidak proporsional - hal itu meninggalkan celah yang sangat terlihat. Firefox di Android menggunakan tumpukan WebAuthn-nya sendiri dan tidak bergantung pada Layanan Play dengan cara yang sama. Saat ini, solusi praktisnya adalah menggunakan Firefox untuk alur kunci sandi di Android tanpa Layanan Play, atau menggunakan kunci keamanan perangkat keras dengan klien yang kompatibel. Untuk lanskap kegagalan Android yang lebih luas, lihat Kesalahan Kunci Sandi Aplikasi Asli. Untuk hal-hal spesifik Layanan Google Play dan Credential Manager, lihat Kode Kesalahan Kunci Sandi Android & Layanan Google Play.

5. Mengapa prompt kunci sandi Windows Hello muncul bahkan ketika saya menonaktifkannya?#

Menonaktifkan pengaturan "tawarkan untuk menyimpan kunci sandi" Brave tidak menghentikan Windows Hello dari muncul selama alur WebAuthn. Setelah sebuah situs memanggil WebAuthn dan Windows Hello terdaftar, Windows mengiklankan Hello sebagai autentikator platform dan Brave tidak mengekspos kontrol yang menghadap pengguna yang memblokirnya. Per Januari 2026, penekanan Windows Hello tetap belum terselesaikan bagi pengguna yang menginginkan Hello untuk membuka kunci perangkat tetapi bukan untuk kunci sandi.

Masalah #51858, dibuka pada Januari 2026, dan utas komunitas 646042 yang lebih panjang mendeskripsikan hal yang sama. Pelapor awal mencoba mengedit registri, kebijakan grup, beralih bendera, dan instalasi bersih - tidak satu pun yang mengubah perilaku tersebut.

Alasan teknis yang dijelaskan di utas 646042 sederhana: pengaturan pengelola kata sandi browser mengontrol perilaku isi otomatis browser itu sendiri, bukan batas WebAuthn antara halaman dan OS. Windows mengekspos Hello secara independen, dan diskusi tersebut tidak mengidentifikasi konfigurasi yang didokumentasikan dan didukung yang mempertahankan Windows Hello untuk membuka kunci perangkat sambil memblokirnya sepenuhnya sebagai autentikator platform WebAuthn.

Saat ini, satu-satunya cara yang andal untuk menyembunyikan prompt tersebut adalah dengan menonaktifkan pendaftaran Windows Hello sepenuhnya, yang jelas bertentangan dengan bagaimana sebagian besar orang ingin membuka kunci perangkat mereka. Edge berperilaku berbeda karena lebih terintegrasi erat dengan lapisan manajemen kredensial Windows dan mengekspos kontrol yang saat ini tidak dilakukan oleh fork Chromium. Untuk pandangan yang lebih luas tentang perilaku kunci sandi Windows, lihat Kunci Sandi di Windows 11.

6. Haruskah Anda menyimpan kunci sandi secara asli atau di manajer kata sandi Anda?#

Penyimpanan kunci sandi asli adalah opsi paling sederhana di dalam satu ekosistem, sementara ekstensi manajer kata sandi tetap menjadi satu-satunya lapisan sinkronisasi lintas platform yang dapat diterapkan secara luas. iCloud Keychain bekerja dengan baik di seluruh perangkat Apple, Windows Hello bekerja di Windows, dan brankas berbasis ekstensi seperti 1Password atau Bitwarden masih menjadi satu-satunya pilihan realistis bagi pengguna yang ingin kunci sandi tersedia secara asli di Windows, macOS, Linux, dan Android. Autentikasi lintas perangkat (CDA, atau transportasi hibrida melalui kode QR dan Bluetooth) masih dapat menjembatani perangkat saat masuk, tetapi tidak menyinkronkan kredensial itu sendiri atau membuatnya tersedia secara lokal di mana-mana secara default. Pertukarannya adalah keandalan: alur asli lebih sederhana, alur ekstensi lebih portabel, dan CDA paling baik dipahami sebagai jalur cadangan alih-alih strategi penyimpanan.

Keputusan sebagian besar bermuara pada tiga hal: berapa banyak platform yang Anda gunakan, seberapa besar Anda memercayai alur ekstensi, dan di mana Anda sudah menyimpan kredensial Anda. Jika Anda sebagian besar tetap berada di dalam satu ekosistem OS - semua Apple, atau semua Windows - rute autentikator platform asli adalah opsi terbersih. Dalam penyiapan itu, Brave berperilaku seperti halnya Chrome atau Safari. Jika Anda memerlukan kunci sandi untuk mengikuti Anda di seluruh Windows, macOS, Linux, dan Android, ekstensi manajer kata sandi pihak ketiga seperti 1Password, Bitwarden, Dashlane, atau Proton Pass masih merupakan satu-satunya lapisan sinkronisasi yang dapat diterapkan secara luas.

Kerumitannya adalah bahwa, sejak April 2024, laporan terus berdatangan bahwa UI kunci sandi asli sesekali membajak alur yang digerakkan oleh ekstensi. Pengguna dalam masalah #37762 mendeskripsikan dialog autentikasi OS yang muncul meskipun Bitwarden atau 1Password harusnya memiliki kredensial tersebut. Pada Maret 2026, solusi lama - menonaktifkan brave://flags/#web-authentication-new-passkey-ui - tidak lagi tersedia karena bendera tersebut telah dihapus pada versi 146.

Lokasi penyimpananSinkronisasi lintas OSPenggunaan lintas browserPostur pemulihanRisiko yang diketahui
iCloud KeychainHanya AppleBrowser AppleID AppleTidak ada
Windows HelloTidak (terikat perangkat)Perangkat Windows yang samaBuka kunci perangkat / PINDialog Hello tidak dapat dinonaktifkan
Google Password ManagerDi mana GPM tersediaChrome + antarmuka AndroidAkun GoogleTidak diekspos di profil Brave di sini
1Password / BitwardenPenuhPenuh (ekstensi)Akun brankasIntersepsi asli intermiten
Hardware security keyTerikat perangkatBrowser apa punKepemilikan fisikTidak ada

Dalam praktiknya, pola yang pada akhirnya digunakan banyak pengguna yang berfokus pada privasi pada 2026 adalah pola hibrida: gunakan autentikator platform OS untuk masuk sehari-hari di dalam satu ekosistem, gunakan ekstensi manajer kata sandi di mana portabilitas lintas platform penting, dan simpan kunci keamanan perangkat keras untuk akun bernilai tinggi.

7. Apa saja titik masalah kunci sandi yang dilaporkan pengguna pada tahun 2026?#

Masalah kunci sandi terbuka Brave pada tahun 2026 mengelompok di sekitar tiga tema berulang: intersepsi ekstensi, kegagalan Android pada perangkat de-Googled, dan masalah kunci keamanan desktop. Per April 2026, repositori yang lebih luas masih menunjukkan 24 masalah terbuka yang cocok dengan webauthn atau passkey, yang menunjukkan bahwa gesekan tersebut terkonsentrasi, bukan acak.

Klaster tersibuk adalah intersepsi ekstensi, di mana UI kunci sandi asli dapat menimpa prompt 1Password, Bitwarden, atau Dashlane. Kompatibilitas Android tanpa Layanan Google Play adalah masalah berulang kedua, dan deteksi kunci keamanan desktop adalah yang ketiga. Utas masalah yang paling sering dirujuk di sini adalah #37762, #50561, #45415, #15650, #43043, #34441, #33237, dan #51858. Utas aktif menunjuk ke arah yang sama tanpa memerlukan banyak kutipan langsung.

Beberapa dari masalah ini menerima komentar baru dalam 90 hari terakhir, yang menjadikannya regresi aktif daripada keingintahuan historis. Untuk pengembang yang membangun alur kunci sandi, kesimpulannya jelas: uji alur yang digerakkan ekstensi di Brave secara eksplisit dan tawarkan cadangan yang masuk akal ketika panggilan WebAuthn gagal. Bagi pengguna, pelajarannya juga praktis: tetap siapkan kunci keamanan perangkat keras atau faktor pemulihan lainnya yang dikonfigurasi di akun bernilai tinggi.

8. Kesimpulan#

Kisah kunci sandi di Brave bersih di tingkat kode dan berantakan di tingkat pengalaman pengguna. Jalur WebAuthn secara efektif adalah milik Chromium, dengan hanya penggantian string tunggal yang mengonfirmasi seberapa dekat implementasi tersebut tetap berada di hulu. Pada platform Apple, portabilitas kunci sandi berfungsi persis seperti yang diharapkan pengguna karena iCloud Keychain memiliki kredensial tersebut. Gesekan nyata ada di tempat lain: intersepsi ekstensi (#37762), penekanan Windows Hello (#51858), dan ketergantungan Layanan Google Play Android (#45415). Sampai masalah tersebut diselesaikan, pengembang harus menguji Brave secara terpisah alih-alih mengasumsikan kesetaraan Chrome dan pengguna harus menyimpan cadangan yang kuat - idealnya kunci keamanan perangkat keras - untuk akun penting.

9. Tentang Corbado#

Corbado membangun infrastruktur kunci sandi untuk login konsumen dan menyediakan platform intelijen kunci sandi untuk tim yang perlu mengoperasikan kunci sandi dan sistem autentikasi dalam skala besar. Kami memublikasikan analisis teknis WebAuthn dan perilaku kunci sandi di seluruh browser dan sistem operasi berdasarkan penerapan nyata, inspeksi sumber langsung, dan pembacaan yang cermat terhadap spesifikasi yang mendasarinya. Pertanyaan atau koreksi selalu diterima.

10. Pertanyaan yang sering diajukan#

10.1 Bisakah kunci sandi yang dibuat di Brave di macOS digunakan di Safari pada perangkat Apple lainnya?#

Ya, tetapi hanya jika Brave menyimpan kunci sandi ke iCloud Keychain. Di macOS, Brave menggunakan tumpukan WebAuthn Chromium dan dapat menyimpan kunci sandi baru di iCloud Keychain atau di target penyimpanan lain yang ditampilkan pada prompt pembuatan. Kunci sandi yang disimpan ke iCloud Keychain disinkronkan melalui ID Apple dan menjadi tersedia di Safari, Chrome, dan browser lainnya pada perangkat Apple yang berbagi ID Apple tersebut. Kunci sandi yang disimpan ke penyimpanan profil browser atau penyimpanan khusus lokal tidak secara otomatis tersedia di Safari pada perangkat Apple lainnya.

10.2 Mengapa kunci sandi gagal di Brave di Android tanpa Layanan Google Play?#

Brave di Android dapat gagal tanpa Layanan Google Play, tetapi alasannya lebih spesifik daripada "Credential Manager adalah bagian dari Layanan Play." Credential Manager Android adalah API sistem dan Jetpack, sementara versi Android yang lebih lama lebih bergantung pada lapisan FIDO2 yang didukung Layanan Google Play. Dalam praktiknya, Brave masih mewarisi kegagalan yang didokumentasikan dalam masalah brave/brave-browser #45415: pada GrapheneOS, CalyxOS, atau build Android de-Googled lainnya tanpa jalur Layanan Play yang diperlukan, dialog kunci sandi tidak pernah terbuka dan pendaftaran atau autentikasi kehabisan waktu.

Untuk lanskap kegagalan Android yang lebih luas, lihat Kesalahan Kunci Sandi Aplikasi Asli. Untuk hal-hal spesifik Layanan Google Play dan Credential Manager, lihat Kode Kesalahan Kunci Sandi Android & Layanan Google Play.

10.3 Apakah Brave menyinkronkan kunci sandi di seluruh perangkat seperti halnya Chrome?#

Tidak. Brave tidak menyediakan setara dengan sinkronisasi kunci sandi profil browser Chrome melalui Google Password Manager. Kunci sandi yang dibuat di Brave disimpan dalam autentikator platform OS yang mendasarinya - iCloud Keychain pada Apple, Windows Hello pada Windows, dan Android Credential Manager pada Android - dan disinkronkan hanya melalui akun OS tersebut. Jika Anda menginginkan sinkronisasi lintas perangkat yang konsisten, Anda bergantung pada vendor OS atau pada ekstensi manajer kata sandi pihak ketiga.

10.4 Mengapa Brave meminta kunci sandi Windows Hello bahkan saat saya menonaktifkan opsi kunci sandi di pengaturan?#

Peralihan brave://password-manager/settings Brave hanya mengontrol apakah Brave menawarkan untuk menyimpan kunci sandi itu sendiri. Itu tidak menghentikan Windows untuk mengiklankan Windows Hello sebagai autentikator platform WebAuthn ke halaman tersebut. Situs meminta WebAuthn, Windows menyajikan Hello, dan Brave tidak memiliki sakelar dalam browser untuk menyembunyikan dialog OS. Perilaku tersebut dilacak dalam masalah brave/brave-browser #51858.

10.5 Haruskah saya menyimpan kunci sandi di alur asli Brave atau di manajer kata sandi saya?#

Gunakan alur OS asli Brave (iCloud Keychain atau Google Password Manager melalui platform) jika Anda tetap berada di dalam satu ekosistem dan menginginkan paling sedikit bagian yang bergerak. Gunakan ekstensi manajer kata sandi pihak ketiga seperti 1Password atau Bitwarden jika Anda memerlukan kunci sandi untuk mengikuti Anda di seluruh Windows, macOS, Linux, dan Android secara konsisten, atau jika Anda sudah menyimpan rahasia Anda di sana. Sejak 2024, UI asli Brave telah berulang kali mencegat alur kunci sandi ekstensi, jadi ada baiknya memverifikasi bahwa ekstensi tersebut masih memiliki prompt tersebut.

10.6 Berapa banyak masalah kunci sandi dan WebAuthn yang terbuka di repositori brave/brave-browser yang saat ini ada untuk perilaku kunci sandi Brave?#

Per April 2026, brave/brave-browser memiliki 24 masalah terbuka yang cocok dengan pencarian passkey atau WebAuthn. Masalah terbuka yang ditandai dengan kunci sandi tumbuh dari sekitar 2 per tahun pada 2022-2023 menjadi 6 yang dibuka pada 2025. Untuk Brave, tema dominannya adalah intersepsi ekstensi di desktop, penekanan Windows Hello, dan ketergantungan Layanan Google Play Android.

Corbado

Tentang Corbado

Corbado adalah Authentication Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey

Lihat bagaimana Corbado cocok dengan peluncuran passkeys dan stack autentikasi Anda saat ini.

Jelajahi Console

Bagikan artikel ini


LinkedInTwitterFacebook