Apakah Passkey Bisa Diretas?

Passkey, secara desain, jauh lebih aman daripada kata sandi tradisional dan jauh lebih sulit untuk diretas karena sifat kriptografisnya. Namun, seperti teknologi lainnya, passkey tidak sepenuhnya kebal terhadap kerentanan tertentu.

---

Passkey dibangun di atas standar WebAuthn dan menggunakan kriptografi kunci publik untuk mengautentikasi pengguna tanpa mengandalkan kata sandi tradisional. Hal ini membuatnya secara inheren lebih aman terhadap ancaman umum seperti phishing, credential stuffing, dan serangan brute force. Inilah mengapa passkey dianggap aman:

• Infrastruktur Kunci Publik: Passkey menggunakan pasangan kunci publik-privat, di mana kunci privat tidak pernah meninggalkan perangkat pengguna, sehingga hampir mustahil bagi penyerang untuk mencegatnya.

• Penghapusan Kata Sandi: Karena passkey tidak bergantung pada rahasia bersama (seperti kata sandi), passkey menghilangkan risiko penggunaan ulang kredensial, sebuah kerentanan umum dalam sistem berbasis kata sandi.

• Perlindungan Terhadap Phishing: Serangan phishing tidak efektif terhadap passkey karena passkey selalu terikat pada asal (ID relying party) tempat passkey tersebut dibuat.

• Tidak Ada Credential Stuffing: Passkey bersifat unik untuk setiap layanan dan hanya kunci publik yang disimpan di sisi server. Artinya, jika satu relying party diretas, hal itu tidak akan berdampak pada relying party lainnya.

• Tidak Ada Serangan Brute-Force: Passkey mengandalkan kriptografi asimetris dan tidak dapat ditebak, sehingga kebal terhadap serangan brute-force.

• Tidak Ada Serangan Man-in-the-Middle: Serangan man-in-the-middle tidak dapat dilakukan pada passkey karena kunci privat yang digunakan untuk autentikasi tidak pernah meninggalkan perangkat pengguna, memastikan tidak ada informasi sensitif yang dikirimkan yang dapat dicegat atau diubah.

• TIDAK Ada Serangan Replay: Serangan replay tidak mungkin terjadi pada passkey karena setiap sesi autentikasi menghasilkan tantangan kriptografis yang unik dan sekali pakai yang tidak dapat digunakan kembali atau direplikasi oleh penyerang

Namun, meskipun passkey menawarkan keamanan yang unggul, passkey tidak sepenuhnya kebal terhadap peretasan:

• Serangan Rantai Pasokan: Perangkat yang disusupi di tingkat produsen berpotensi dirusak untuk membocorkan kunci kriptografis.

• Rekayasa Sosial: Meskipun phishing kurang efektif, penyerang mungkin masih menggunakan teknik rekayasa sosial untuk menipu pengguna agar membuat passkey untuk situs web berbahaya

• Pencurian Sesi: Passkey membuat bagian autentikasi menjadi aman dan sederhana bagi pengguna. Namun, tergantung pada implementasi dari relying party, sesi masih bisa dicuri dan digunakan untuk tujuan jahat.

---