CTAP (Client-to-Authenticator-Protocol): Protokol FIDO2 & WebAuthn

CTAP (Client-to-Authenticator-Protocol) adalah mekanisme standar yang dirancang untuk menyederhanakan dan mengamankan komunikasi antara perangkat pengguna (seperti laptop atau browser) dan sebuah autentikator (misalnya, kunci keamanan perangkat keras atau smartphone). Protokol ini berfungsi sebagai jembatan yang memastikan interaksi efektif antara berbagai komponen dalam proses otentikasi pengguna, terutama dalam konteks standar FIDO2 dan WebAuthn.

---

Sistem nama pengguna dan kata sandi tradisional, yang pernah dianggap sebagai standar emas untuk keamanan online, telah menunjukkan kerentanan seiring waktu. Karena pengguna cenderung memilih kata sandi yang mudah diingat (dan mudah diretas) atau menggunakan kembali kata sandi yang sama di berbagai platform, metode yang lebih kuat dan aman menjadi sangat penting. Menyadari kebutuhan mendesak ini, Aliansi FIDO, bekerja sama dengan World Wide Web Consortium (W3C), mempelopori pengembangan sistem yang lebih tangguh: FIDO2 dan WebAuthn. Dan inti dari kemajuan ini adalah CTAP. ‍

• Melengkapi WebAuthn: Sementara WebAuthn berfokus pada hubungan antara sistem pengguna dan situs web yang memerlukan identifikasi, CTAP mengatur komunikasi antara autentikator (seperti stik USB atau perangkat seluler) dan perangkat utama pengguna.
• Meningkatkan Keamanan: Protokol CTAP memastikan data sensitif, seperti sidik jari, tidak pernah meninggalkan perangkat, sehingga memberikan lapisan keamanan tambahan. Hal ini meminimalkan risiko yang terkait dengan pelanggaran data dan serangan phishing. ‍

• CTAP1 (U2F): Pendahulu dari CTAP saat ini, yaitu U2F, utamanya menargetkan otentikasi faktor kedua. U2F memerlukan pencarian di sisi server untuk identifikasi pengguna, yang agak membatasi cakupannya.
• CTAP2: Sebagai versi yang lebih canggih, CTAP2 memperkenalkan konsep kunci residen, yang mendukung otentikasi tanpa kata sandi dan bahkan "tanpa nama pengguna". Pergeseran ini menandai langkah signifikan menuju pengalaman otentikasi yang lebih berpusat pada pengguna.
• CTAP2.1: Dibangun di atas fondasi CTAP2, CTAP2.1 memperkenalkan penyempurnaan seperti manajemen kunci residen yang lebih baik, yang memungkinkan pembaruan kunci individual tanpa harus mengatur ulang seluruh perangkat, serta atestasi enterprise untuk kontrol organisasi yang lebih besar.

Komunikasi melalui CTAP mengikuti pola yang terstruktur. Pertama, perangkat lunak klien (seperti browser) terhubung ke autentikator dan meminta informasi. Berdasarkan data yang diterima, klien kemudian mengirimkan perintah yang sesuai ke autentikator, yang selanjutnya mengirimkan kembali respons atau pesan kesalahan. Proses berulang ini memastikan keamanan dan efisiensi selama otentikasi.

---

Meskipun keduanya adalah komponen penting dari FIDO2, WebAuthn berfokus pada hubungan antara sistem pengguna dan situs web yang memerlukan identifikasi. Sebaliknya, CTAP mengatur hubungan antara perangkat utama pengguna dan autentikator, seperti kunci keamanan atau smartphone.

CTAP memastikan bahwa perangkat dan autentikator berkomunikasi secara efektif, sehingga metode tanpa kata sandi seperti Passkeys menjadi efisien. Dengan menstandarkan komunikasi ini, CTAP memastikan konsistensi dan keamanan di berbagai platform dan perangkat.

Ya, ada CTAP1, yang utamanya menargetkan otentikasi faktor kedua. CTAP2 memperkenalkan kunci residen, yang mendukung otentikasi tanpa kata sandi. Versi yang lebih baru, CTAP2.1, membawa fitur-fitur yang disempurnakan seperti manajemen kunci residen yang lebih baik dan atestasi enterprise.

CTAP memastikan bahwa data otentikasi sensitif, seperti sidik jari, tidak pernah meninggalkan perangkat pengguna. Karena pengguna tidak perlu memberikan kata sandi, serangan phishing, yang sering kali mencuri kredensial semacam itu, menjadi tidak efektif.