Saat ini, ada satu cara utama kami mengamankan akses online: nama pengguna dan kata sandi. Namun, meskipun kita membuat kata sandi yang panjang, rumit, dan rumit, masih ada satu kelemahan utama dalam pengaturan keamanan ini—pengguna.
Jutaan orang telah menjadi korban situs phishing, rekayasa sosial, dan bentuk serangan lain yang membahayakan kata sandi. Itu sebabnya Apple ingin menghapus kata sandi dan menggantinya dengan kunci sandi.
Jadi, bagaimana kunci sandi Apple menyelesaikan masalah kata sandi?
Apa itu Standar Otentikasi Web (WebAuthn)?
Standar ini diterbitkan oleh World Wide Web Consortium (W3C), sebuah organisasi yang didedikasikan untuk membangun protokol dan pedoman untuk pengembangan web jangka panjang. Dengan mengembangkan teknologi otentikasi baru ini, grup ini berharap dapat mengurangi ketergantungan kami pada kata sandi sebagai cara utama atau satu-satunya untuk melindungi data kami.
Apple juga merupakan anggota W3C, dan mereka menggabungkan standar WebAuthn di kunci sandi Apple. Fitur ini juga berfungsi dengan Rantai Kunci iCloud, sehingga orang yang sudah menggunakan layanan ini tidak perlu memigrasikan sistem mereka.
Dengan menerapkan WebAuthn API, pengembang web dan produsen perangkat memastikan autentikasi yang akan berfungsi di berbagai sistem. Jadi, apakah Anda menggunakan Android, iOS, Mac, atau Windows, sistem tanpa kata sandi ini akan berfungsi.
Bagaimana Kunci Sandi Apple Menjaga Anda Tetap Aman?
Sebagian besar dari kita mengandalkan nama pengguna dan kata sandi di beberapa titik. Anda mungkin masih melakukannya sekarang. Tetapi kata sandi dapat dengan mudah diretas, terutama jika pengguna tidak memiliki kata sandi yang aman atau jika mereka adalah korban rekayasa sosial.
Kombinasi nama pengguna dan kata sandi tradisional juga berarti informasi ini disimpan secara online. Jadi, jika layanan yang Anda gunakan, seperti Twitch misalnya, diretas, serangan itu membahayakan data dan banyak lagi. Jika Anda menggunakan kembali nama pengguna dan kata sandi Anda, yang banyak dilakukan tetapi kami sarankan untuk tidak melakukannya, akun Anda yang lain juga berisiko.
Otentikasi Dua Faktor (2FA) dikembangkan untuk mengatasi masalah ini. Dengan menambahkan lapisan keamanan lain, pengguna membantu mencegah akses tidak sah ke akun mereka.
Meskipun teknologi ini telah meningkatkan keamanan secara dramatis, terutama terhadap serangan brute force, banyak pengguna masih menjadi korban oleh serangan rekayasa sosial. Dan sementara pengguna yang paham teknologi dapat dengan mudah melihat serangan, mereka yang tidak terbiasa mungkin tidak dapat temukan tanda-tanda serangan seperti penipuan phishing.
Kunci sandi Apple bertujuan untuk menyelesaikan masalah ini dengan menghapus kata sandi sama sekali. Saat masuk ke layanan online, Anda tidak perlu lagi mengetikkan nama pengguna dan kata sandi Anda. Sebagai gantinya, Anda hanya perlu menggunakan fitur keamanan biometrik perangkat Anda, seperti FaceID atau TouchID.
Layanan ini juga tidak hanya terbatas pada perangkat Apple Anda. Anda dapat menggunakan kunci sandi di PC Windows atau tablet Android Anda. Selama Anda mengakses situs web yang menerapkan WebAuthn API, Anda dapat menggunakan fitur biometrik perangkat Apple untuk masuk ke akun Anda, bahkan jika Anda mengaksesnya di gadget non-Apple. Ini seperti menggunakan perangkat Apple Anda sebagai kunci universal yang dapat membuka pintu digital apa pun.
Bagaimana Cara Kerja Apple Passkeys?
Alih-alih menyimpan nama pengguna dan kata sandi secara online, kunci sandi Apple gunakan enkripsi asimetris. Berdasarkan Halaman dukungan keamanan kunci sandi Apple:
Selama pendaftaran akun, sistem operasi membuat pasangan kunci kriptografi unik untuk dikaitkan dengan akun untuk aplikasi atau situs web. Kunci ini dibuat oleh perangkat, dengan aman dan unik, untuk setiap akun.
Salah satu kunci ini bersifat publik, dan disimpan di server. Kunci publik ini bukan rahasia. Kunci lainnya bersifat pribadi, dan itulah yang diperlukan untuk benar-benar masuk. Server tidak pernah mengetahui apa itu kunci pribadi. Pada perangkat Apple dengan Touch ID atau Face ID yang tersedia, perangkat tersebut dapat digunakan untuk mengotorisasi penggunaan kunci sandi, yang kemudian mengautentikasi pengguna ke aplikasi atau situs web. Tidak ada rahasia bersama yang ditransmisikan, dan server tidak perlu melindungi kunci publik.
Saat Anda menggunakan nama pengguna dan kata sandi, server memegang kunci (nama pengguna Anda) dan kunci (kata sandi Anda). Untuk membuka kunci, Anda menunjukkan server bahwa Anda memiliki kunci yang sama, dan itu membuka pintu untuk Anda.
Tetapi dengan kunci sandi Apple, server tidak akan pernah memegang kuncinya. Sebaliknya, itu memberi Anda kunci, dan Anda membukanya sendiri. Dan karena server hanya akan memberi Anda kunci jika secara fisik memilikinya (yaitu data Anda sebenarnya disimpan di servernya), peretasan phishing akan menjadi tidak efektif karena mereka tidak memiliki kunci (yaitu mereka tidak dapat meminta kunci, karena kunci sandi Apple hanya akan melepaskannya jika mereka memberikan yang valid kunci).
Dengan sistem ini, hanya entitas yang valid yang dapat meminta kunci sandi, memastikan bahwa pengguna cenderung tidak menjadi korban penipuan phishing dan serangan rekayasa sosial lainnya. Ini juga jauh lebih nyaman karena pengguna tidak lagi harus mengingat segudang kredensial login. Yang mereka butuhkan hanyalah masuk ke ID Apple yang dilindungi 2FA.
Contoh Lain dari Sistem Tanpa Kata Sandi
Sementara Apple mungkin menjadi yang pertama secara efektif dimasukkan ke dalam OS smartphone, itu bukan perusahaan pertama yang menerapkan sistem tanpa kata sandi. Jika Anda memiliki akun Microsoft, Anda mungkin pernah menemukan teknologi ini.
Jika Anda sudah mengatur login tanpa kata sandi dengan akun Microsoft Anda, Anda dapat masuk ke dalamnya menggunakan aplikasi Microsoft Authenticator—tidak perlu nama pengguna dan kata sandi. Meskipun ini terutama tersedia di browser Microsoft Edge, Anda juga dapat menggunakan Windows Hello atau keamanan kunci untuk menggunakan aplikasi Microsoft Authenticator untuk masuk ke akun Microsoft Anda di browser lain seperti Google Chrome.
Mengucapkan Selamat Tinggal pada Kata Sandi?
Meskipun nama pengguna dan kata sandi telah melindungi pengguna selama lebih dari 60 tahun, mereka mungkin mendekati akhir hidup mereka berkat sistem keamanan yang lebih baik di tempat lain, yang lebih mudah digunakan juga. Saat kami mendaftar untuk semakin banyak layanan, gagasan untuk menghafal puluhan, jika bukan ratusan, kombinasi nama pengguna-kata sandi dapat menjadi hal yang menakutkan.
Peretas juga semakin canggih, memungkinkan mereka untuk mengkompromikan data bahkan dengan keamanan yang ditingkatkan. Dan meskipun otentikasi multi-faktor agak meningkatkan keamanan kredensial login tradisional, itu masih meninggalkan pengguna sebagai kerentanan yang signifikan.
Dengan kunci sandi, kita dapat beralih dari nama pengguna dan sandi ke masa depan yang lebih aman. Dan ketika teknologi baru seperti komputasi kuantum dikembangkan dan dirilis ke pasar, kombinasi nama pengguna dan kata sandi tradisional berisiko menjadi usang dalam semalam.
