Penyedia Passkey: Jenis, AAGUID & Adopsi

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

Saat menggunakan passkey atau bekerja di bidang implementasi passkey, ada satu komponen yang menjadi sangat penting: penyedia passkey (passkey provider). Namun, meskipun ini adalah bagian krusial dalam ekosistem passkey, banyak orang hanya memiliki pemahaman yang samar tentang penyedia passkey atau tidak tahu perbedaan antara penyedia passkey pihak pertama (first-party), penyedia passkey pihak ketiga (third-party), dan penyedia autentikasi passkey.

Get a free passkey assessment in 15 minutes.

Book free consultation

Artikel blog ini bertujuan untuk mengupas tuntas hal tersebut. Baik Anda seorang software developer, product manager, atau sekadar penasaran dengan perkembangan terbaru dalam keamanan web, memahami peran dan jenis penyedia passkey sangatlah penting. Dengan menguraikan topik ini, kami ingin membekali Anda dengan pengetahuan untuk memahami passkey dengan lebih percaya diri.

Penyedia passkey memainkan peran mendasar dalam ekosistem autentikasi berbasis passkey, bertindak sebagai jembatan antara perangkat pengguna dan akses yang aman serta mulus ke relying party (layanan online). Namun, apa sebenarnya penyedia passkey itu, terutama karena tidak ada definisi resmi dan Anda mungkin menemukan interpretasi yang berbeda-beda di internet?

Definisi berikut mencerminkan pemahaman kami dan tidak diklaim sebagai satu-satunya definisi yang akurat.

Penyedia passkey pada dasarnya adalah entitas apa pun yang memungkinkan pembuatan, pengelolaan, dan penggunaan passkey. Melalui riset kami, kami mengidentifikasi dua kategori utama di mana penyedia passkey dapat diklasifikasikan: penyedia passkey pihak pertama & ketiga, serta penyedia autentikasi passkey.

Become part of our Passkeys Community for updates & support.

Join

Kategori ini mencakup entitas yang mampu membuat passkey di sisi klien (pada perangkat pengguna). Ketika passkey dibuat melalui platform ini, passkey tersebut dikelola dan disimpan dengan aman, sering kali di cloud milik produsen sistem operasi (misalnya, iCloud Keychain, Google Password Manager) atau di password manager pihak ketiga (misalnya KeePassXC, 1Password, Dashlane — lihat selengkapnya di bawah).

Sistem operasi yang memungkinkan pembuatan passkey dan pengelolaannya secara bawaan (native) dianggap sebagai penyedia passkey pihak pertama (first-party). Sebaliknya, password manager pihak ketiga yang terintegrasi dengan platform melalui API disebut sebagai penyedia passkey pihak ketiga (third-party).

Sebuah penyedia passkey, baik pihak pertama maupun ketiga, memiliki Authenticator Attestation Globally Unique Identifiers (AAGUIDs) yang sama. Ini membantu meningkatkan pengalaman pengguna (misalnya dalam pengaturan akun untuk membedakan passkey dengan lebih mudah). Terkadang mereka mungkin memiliki beberapa AAGUID, yang semuanya milik penyedia passkey yang sama.

Penyedia passkey pada perangkat iOS 17.4

Penyedia passkey pada perangkat Android 14

API Credential Manager Android

Kategori kedua mencakup penyedia autentikasi yang dapat diintegrasikan oleh developer ke dalam aplikasi mereka untuk menangani semua aspek manajemen passkey. Jadi, ini adalah penyedia yang bekerja lebih banyak di sisi server (server-side) dibandingkan sisi klien (client-side) seperti yang disebutkan di atas. Definisi ini juga mencakup solusi seperti Corbado, yang menawarkan solusi autentikasi yang berpusat pada passkey untuk situs web dan aplikasi. Oleh karena itu, penyedia passkey ini lebih tepat digambarkan sebagai penyedia autentikasi passkey, membedakannya dari penyedia passkey pihak pertama dan pihak ketiga yang disebutkan sebelumnya.

Pada bagian selanjutnya dari artikel blog ini, kami akan menggunakan istilah "penyedia passkey" untuk merujuk pada penyedia passkey pihak pertama dan ketiga, sesuai dengan definisi kami.

Saat pengguna mulai mengadopsi passkey untuk berbagai relying party, mengelolanya secara efektif menjadi tantangan yang signifikan. Ini juga berlaku bagi pengguna yang menggunakan beberapa passkey untuk satu akun, karena membedakan passkey ini untuk keperluan pengeditan atau penghapusan bisa menjadi rumit bagi relying party. Meskipun passkey menawarkan kenyamanan dan keamanan, ada potensi masalah jika pengguna kehilangan salah satu passkey mereka. Untungnya, mereka masih dapat mengakses akun mereka di relying party menggunakan passkey alternatif. Untuk membantu pengguna mengidentifikasi passkey tertentu, beberapa sumber menyarankan untuk menambahkan metadata, seperti tanggal pembuatan dan penggunaan terakhir ke passkey di pengaturan akun. Selain itu, disarankan untuk menggunakan user agent atau client hints untuk menamai dan mengategorikan passkey secara otomatis saat pembuatan. Namun, aplikasi native Android atau iOS serta penyedia passkey pihak ketiga mungkin tidak menggunakan user agent, atau mereka tidak menambahkan informasi yang menunjukkan bahwa passkey telah dibuat oleh penyedia passkey pihak ketiga. Keterbatasan ini menyoroti perlunya metode yang lebih baik untuk membantu pengguna mengelola passkey mereka secara efisien, terlepas dari platform atau penyedianya.

Diambil dari spesifikasi WebAuthn W3C

Untuk memfasilitasi manajemen passkey ini, developer dapat memanfaatkan Authenticator Attestation Globally Unique Identifier (AAGUID). AAGUID adalah pengenal unik yang ditetapkan untuk model autentikator, bukan instansi spesifiknya. Identifier ini tertanam di dalam data autentikator public key credential, menawarkan cara bagi relying party untuk mengidentifikasi penyedia passkey. Kemampuan ini sangat penting dalam membantu pengguna dan relying party menavigasi lanskap passkey, memastikan bahwa setiap passkey dapat dikaitkan secara akurat dengan sumber pembuatannya.

Sebagai contoh, jika passkey dibuat menggunakan Google Password Manager pada perangkat Android, relying party dapat menerima AAGUID yang spesifik untuk Google Password Manager. Dengan merujuk pada AAGUID ini, relying party kemudian dapat menandai passkey tersebut, menyederhanakan pengelolaan dan identifikasi bagi pengguna. Selain itu, relying party dapat mencegah pembuatan beberapa passkey untuk penyedia passkey yang sama dengan menggunakan opsi server WebAuthn excludeCredentials. Ini semakin meningkatkan UX passkey karena setiap penyedia passkey hanya akan memiliki satu passkey, sehingga menghindari kebingungan pengguna.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Untuk menentukan penyedia passkey menggunakan AAGUID, relying party dapat merujuk ke repositori AAGUID yang bersumber dari komunitas. Repositori ini menyediakan pemetaan yang diperlukan untuk mengidentifikasi penyedia passkey berdasarkan nama dan, berpotensi, berdasarkan ikon, membantu menyediakan antarmuka pengguna yang lebih intuitif untuk manajemen passkey. Namun, penting untuk dicatat bahwa beberapa penyedia passkey mungkin menggunakan AAGUID generik ("00000000-0000-0000-0000-0000000000000") secara sengaja, yang mewakili penyedia yang tidak diketahui atau umum.

Mengambil AAGUID cukup mudah dengan sebagian besar library WebAuthn. Misalnya, saat menggunakan SimpleWebAuthn di sisi server, developer dapat mengekstrak AAGUID dari informasi pendaftaran untuk mencocokkannya dengan penyedia yang diketahui, meningkatkan kemampuan pengguna untuk mengelola passkey mereka dengan lebih mudah (diambil dari panduan Google "Determine the passkey provider with AAGUID").

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

Meskipun AAGUID menawarkan alat yang ampuh untuk manajemen passkey, penggunaannya harus dilakukan dengan hati-hati. Integritas AAGUID bergantung pada proses attestation, yang memvalidasi keaslian penyedia passkey. Tanpa tanda tangan attestation yang valid, AAGUID berpotensi dimanipulasi. Perlu dicatat bahwa per Maret 2024, passkey pada beberapa platform tidak mendukung attestation, yang menyoroti perlunya pertimbangan matang dalam penggunaannya.

Berikut ini adalah daftar tidak lengkap dari penyedia passkey pihak pertama dan ketiga untuk aplikasi Android, aplikasi iOS, dan aplikasi web yang menggunakan versi sistem operasi dan browser passkey yang sangat umum:

Di bawah ini, Anda akan menemukan beberapa tampilan popup penyedia passkey pihak ketiga untuk membuat/menyimpan passkey:

Lihat analisis lengkap 1Password di sini.

Lihat analisis lengkap Dashlane di sini.

Lihat analisis lengkap KeePassXC di sini.

Inti dari penyebaran dan pengelolaan passkey adalah peran penyedia passkey, entitas yang tidak hanya memfasilitasi pembuatan dan pengelolaan passkey tetapi juga memastikan integrasi yang mulus di berbagai platform dan perangkat.

Memahami apa itu penyedia passkey, termasuk perbedaan antara penyedia pihak pertama dan pihak ketiga, serta peran penting Authenticator Attestation Globally Unique Identifier (AAGUID) adalah tujuan dari artikel blog ini. Penggunaan AAGUID, seperti yang telah dibahas, menawarkan solusi yang menjanjikan, memungkinkan identifikasi dan pengelolaan passkey yang lebih lugas.

Selain itu, kami telah menganalisis penyedia passkey pihak pertama dan ketiga mana yang saat ini tersedia untuk Android, iOS, dan Windows, yang membantu pengguna untuk menemukan penyedia passkey pihak ketiga yang cocok atau perangkat pilihan mereka.

Bagi developer dan product manager, wawasan tentang penyedia passkey dan pengelolaannya tidak hanya memandu implementasi teknis autentikasi passkey, tetapi juga selaras dengan tujuan yang lebih luas untuk meningkatkan pengalaman pengguna dan keamanan.