--- url: 'https://www.corbado.com/id/faq/apakah-passkey-bisa-diretas' title: 'Apakah Passkey Bisa Diretas?' description: 'Cari tahu apakah passkey bisa diretas, seberapa amannya, dan apa yang menjadikannya alternatif yang lebih aman untuk autentikasi pengguna. Pahami potensi risiko dan perlindungannya.' lang: 'id' keywords: 'peretasan passkey, passkey diretas' --- # Apakah Passkey Bisa Diretas? ## Apakah Passkey Bisa Diretas? Passkey, secara desain, jauh lebih aman daripada kata sandi tradisional dan jauh lebih sulit untuk diretas karena sifat kriptografisnya. Namun, seperti teknologi lainnya, passkey tidak sepenuhnya kebal terhadap kerentanan tertentu. > - **Passkey lebih aman daripada kata sandi** karena basis kriptografisnya. > - Passkey **menghilangkan** risiko yang terkait dengan serangan **phishing**, > **man-in-the-middle**, **brute-force**, **replay**, dan **credential stuffing**. --- ### Memahami Keamanan Passkey Passkey dibangun di atas standar WebAuthn dan menggunakan [kriptografi kunci publik](https://www.corbado.com/id/blog/webauthn-pubkeycredparams-credentialpublickey) untuk mengautentikasi pengguna tanpa mengandalkan kata sandi tradisional. Hal ini membuatnya secara inheren lebih aman terhadap ancaman umum seperti [phishing](https://www.corbado.com/glossary/phishing), [credential stuffing](https://www.corbado.com/glossary/credential-stuffing), dan serangan brute force. Inilah mengapa passkey dianggap aman: - **Infrastruktur Kunci Publik:** Passkey menggunakan pasangan kunci publik-privat, di mana kunci privat tidak pernah meninggalkan perangkat pengguna, sehingga hampir mustahil bagi penyerang untuk mencegatnya. - **Penghapusan Kata Sandi:** Karena passkey tidak bergantung pada rahasia bersama (seperti kata sandi), passkey menghilangkan risiko penggunaan ulang kredensial, sebuah kerentanan umum dalam sistem berbasis kata sandi. - **Perlindungan Terhadap Phishing:** Serangan [phishing](https://www.corbado.com/glossary/phishing) tidak efektif terhadap passkey karena passkey selalu terikat pada asal (ID [relying party](https://www.corbado.com/glossary/relying-party)) tempat passkey tersebut dibuat. - **Tidak Ada Credential Stuffing:** Passkey bersifat unik untuk setiap layanan dan hanya kunci publik yang disimpan di sisi server. Artinya, jika satu [relying party](https://www.corbado.com/glossary/relying-party) diretas, hal itu tidak akan berdampak pada [relying party](https://www.corbado.com/glossary/relying-party) lainnya. - **Tidak Ada Serangan Brute-Force:** Passkey mengandalkan kriptografi asimetris dan tidak dapat ditebak, sehingga kebal terhadap serangan brute-force. - **Tidak Ada Serangan Man-in-the-Middle:** Serangan man-in-the-middle tidak dapat dilakukan pada passkey karena kunci privat yang digunakan untuk [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) tidak pernah meninggalkan perangkat pengguna, memastikan tidak ada informasi sensitif yang dikirimkan yang dapat dicegat atau diubah. - **TIDAK Ada Serangan Replay:** Serangan replay tidak mungkin terjadi pada passkey karena setiap sesi [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) menghasilkan tantangan kriptografis yang unik dan sekali pakai yang tidak dapat digunakan kembali atau direplikasi oleh penyerang Namun, meskipun passkey menawarkan [keamanan](https://www.corbado.com/id/blog/cara-mengaktifkan-passkey-android) yang unggul, passkey tidak sepenuhnya kebal terhadap peretasan: - **Serangan Rantai Pasokan:** Perangkat yang disusupi di tingkat produsen berpotensi dirusak untuk membocorkan kunci kriptografis. - **Rekayasa Sosial:** Meskipun [phishing](https://www.corbado.com/glossary/phishing) kurang efektif, penyerang mungkin masih menggunakan teknik rekayasa sosial untuk menipu pengguna agar membuat passkey untuk situs web berbahaya - **Pencurian Sesi**: Passkey membuat bagian [autentikasi](https://www.corbado.com/id/blog/cara-menjadi-sepenuhnya-tanpa-password) menjadi aman dan sederhana bagi pengguna. Namun, tergantung pada implementasi dari relying party, sesi masih bisa dicuri dan digunakan untuk tujuan jahat. ---