Get your free and exclusive 80-page Banking Passkey Report

Apakah Passkey Bisa Diretas?

Vincent Delitz

Vincent

Created: June 17, 2025

Updated: July 11, 2025


See the original faq version in English here.

Apakah Passkey Bisa Diretas?

Apakah Passkey Bisa Diretas?#

Passkey, secara desain, jauh lebih aman daripada kata sandi tradisional dan jauh lebih sulit untuk diretas karena sifat kriptografisnya. Namun, seperti teknologi lainnya, passkey tidak sepenuhnya kebal terhadap kerentanan tertentu.

  • Passkey lebih aman daripada kata sandi karena basis kriptografisnya.
  • Passkey menghilangkan risiko yang terkait dengan serangan phishing, man-in-the-middle, brute-force, replay, dan credential stuffing.

Memahami Keamanan Passkey#

Passkey dibangun di atas standar WebAuthn dan menggunakan kriptografi kunci publik untuk mengautentikasi pengguna tanpa mengandalkan kata sandi tradisional. Hal ini membuatnya secara inheren lebih aman terhadap ancaman umum seperti phishing, credential stuffing, dan serangan brute force. Inilah mengapa passkey dianggap aman:

  • Infrastruktur Kunci Publik: Passkey menggunakan pasangan kunci publik-privat, di mana kunci privat tidak pernah meninggalkan perangkat pengguna, sehingga hampir mustahil bagi penyerang untuk mencegatnya.

  • Penghapusan Kata Sandi: Karena passkey tidak bergantung pada rahasia bersama (seperti kata sandi), passkey menghilangkan risiko penggunaan ulang kredensial, sebuah kerentanan umum dalam sistem berbasis kata sandi.

Subreddit Icon

Discuss passkeys news and questions in r/passkey.

Join Subreddit
  • Perlindungan Terhadap Phishing: Serangan phishing tidak efektif terhadap passkey karena passkey selalu terikat pada asal (ID relying party) tempat passkey tersebut dibuat.

  • Tidak Ada Credential Stuffing: Passkey bersifat unik untuk setiap layanan dan hanya kunci publik yang disimpan di sisi server. Artinya, jika satu relying party diretas, hal itu tidak akan berdampak pada relying party lainnya.

  • Tidak Ada Serangan Brute-Force: Passkey mengandalkan kriptografi asimetris dan tidak dapat ditebak, sehingga kebal terhadap serangan brute-force.

  • Tidak Ada Serangan Man-in-the-Middle: Serangan man-in-the-middle tidak dapat dilakukan pada passkey karena kunci privat yang digunakan untuk autentikasi tidak pernah meninggalkan perangkat pengguna, memastikan tidak ada informasi sensitif yang dikirimkan yang dapat dicegat atau diubah.

  • TIDAK Ada Serangan Replay: Serangan replay tidak mungkin terjadi pada passkey karena setiap sesi autentikasi menghasilkan tantangan kriptografis yang unik dan sekali pakai yang tidak dapat digunakan kembali atau direplikasi oleh penyerang

Namun, meskipun passkey menawarkan keamanan yang unggul, passkey tidak sepenuhnya kebal terhadap peretasan:

  • Serangan Rantai Pasokan: Perangkat yang disusupi di tingkat produsen berpotensi dirusak untuk membocorkan kunci kriptografis.

  • Rekayasa Sosial: Meskipun phishing kurang efektif, penyerang mungkin masih menggunakan teknik rekayasa sosial untuk menipu pengguna agar membuat passkey untuk situs web berbahaya

  • Pencurian Sesi: Passkey membuat bagian autentikasi menjadi aman dan sederhana bagi pengguna. Namun, tergantung pada implementasi dari relying party, sesi masih bisa dicuri dan digunakan untuk tujuan jahat.

Slack Icon

Become part of our Passkeys Community for updates & support.

Join

Add passkeys to your app in <1 hour with our UI components, SDKs & guides.

Start for free

Enjoyed this read?

🤝 Join our Passkeys Community

Share passkeys implementation tips and get support to free the world from passwords.

🚀 Subscribe to Substack

Get the latest news, strategies, and insights about passkeys sent straight to your inbox.

Share this article


LinkedInTwitterFacebook

Related FAQs

Related Terms