Passwordless Authentication

13 Jun 2025

Introduction

Di era digital saat ini, proses autentikasi menjadi komponen penting dalam menjaga keamanan data dan identitas pengguna. Selama bertahun-tahun, password digunakan sebagai metode utama untuk login, namun kelemahannya semakin terlihat, seperti mudah ditebak, digunakan ulang, dan rawan bocor. Untuk menjawab tantangan ini, muncul inovasi bernama passwordless authentication, yaitu metode autentikasi tanpa menggunakan password, melainkan dengan pendekatan berbasis perangkat, biometrik, atau kode verifikasi sekali pakai. Selain meningkatkan keamanan, metode ini juga menyederhanakan proses login dan mengurangi beban pengguna maupun penyedia layanan.

What is Passwordless Authentication?

Passwordless authentication merupakan sebuah metode autentikasi yang memungkinkan pengguna untuk sign in pada sebuah servis atau aplikasi tanpa menggunakan password atau menjawab pertanyaan keamanan dimana metode yang biasa digunakan adalah digital certificates, security tokens, one-time passwords (OTPs), ataupun biometrik. Passwordless authentication sering digunakan bersamaan dengan Multi-Factor Authentication (MFA), Single sign-on untuk meningkatkan sekuritas, meningkatkan pengalaman pengguna dan mengurangi biaya dan kompleksitas operasi IT.

Types of Passwordless Authentication

Beberapa jenis metode autentikasi tanpa password yang umum digunakan antara lain:

  1. Biometrik
    Metode biometrik menggunakan karakteristik biologis unik seseorang, seperti sidik jari, wajah, atau iris mata, sebagai bentuk autentikasi. Teknologi ini umumnya diproses dan disimpan secara lokal di perangkat pengguna, melalui modul keamanan seperti Secure Enclave pada perangkat Apple atau Trusted Platform Module (TPM) pada Windows. Keunggulan biometrik adalah kecepatan dan kenyamanan, karena pengguna cukup melakukan satu sentuhan atau melihat kamera untuk login. Ada beberapa metode biometrik yang banyak digunakan yaitu ada sidik jari, pengenalan wajah dan pengenalan suara. Data biometrik user akan disimpan secara lokal dan aman di perangkat pengguna biasanya berbentuk hash atau enkripsi.
  2. Security Key
    Security key adalah perangkat keras kecil, biasanya berupa USB atau NFC, yang digunakan untuk menyelesaikan autentikasi. Perangkat ini bekerja berdasarkan protokol FIDO2 atau WebAuthn dan menggunakan kriptografi kunci publik untuk menandatangani tantangan (challenge) dari server. Ada beberapa jenis security key yang dapat user gunakan yaitu usb a/ usb c, NFC & bluetooth.
  3. Magic Link
    Magic link adalah tautan login satu kali yang dikirim ke alamat email pengguna. Setelah pengguna memasukkan alamat emailnya di halaman login, sistem mengirimkan tautan khusus, dan pengguna hanya perlu mengkliknya untuk langsung masuk ke akun. Magic link menawarkan pengalaman pengguna yang sangat sederhana dan bebas password. Keunggulan dari magic link yaitu sangat mudah digunakan, tidak perlu mengingat password dan mengurangi resiko reuse password dan serangan brute force dan ada kelamahan dari magic link yaitu bertergantungan dengan email, beresiko delay dan hanya seaman pengamanan email user
  4. One-Time Password (OTP)
    OTP adalah kode autentikasi sementara yang dikirim melalui SMS, email, atau dihasilkan oleh aplikasi autentikator seperti Google Authenticator, Microsoft Authenticator, atau Authy. Kode ini hanya berlaku untuk satu kali login dalam waktu terbatas, biasanya 30 hingga 60 detik. Ada beberapa jenis dari otp yaitu sms otp, email otp & app generated otp.
  5. Push Notification
    Metode ini mengirimkan permintaan autentikasi ke perangkat terpercaya pengguna melalui aplikasi autentikator. Pengguna cukup membuka notifikasi dan menyetujui (approve) atau menolak (deny) permintaan login tersebut. Sistem ini biasanya juga menyertakan informasi seperti lokasi atau perangkat yang meminta akses, sehingga pengguna dapat mengidentifikasi aktivitas mencurigakan. Cara kerja dari push notification yiatu ketika user login maka server akan mengirimkan notifikasi aplikasi autentikator, pengguna cukup membuka notifikasi dan menyetujui atau menolak notifikasi login dan informasi seperti lokasi,waktu,dan perangkat biasanya akan disertakan untuk membantu user mengenali apakah aktivitas tersebut wajar atau tidak.

How It Works

Passwordless authentication menghilangkan kebutuhan pengguna untuk memasukkan password dalam proses login. Sebagai gantinya, proses autentikasi memanfaatkan metode verifikasi berbasis perangkat atau identitas yang dimiliki oleh pengguna, seperti biometrik atau token fisik. Menurut OneLogin, proses passwordless authentication biasanya berjalan melalui langkah-langkah berikut:

  1. Inisiasi Login
    Pengguna memasukkan identitas dasar seperti username atau alamat email di halaman login.
  2. Pemicu Autentikasi Alternatif
    Sistem mendeteksi bahwa pengguna telah mengonfigurasi metode passwordless, lalu mengirimkan “tantangan” (challenge) berupa:

    • Tautan login ke email (magic link),
    • Kode OTP ke ponsel atau aplikasi autentikator,
    • Permintaan verifikasi ke perangkat (push notification),
    • Permintaan verifikasi melalui biometrik atau security key.
  3. Verifikasi Identitas
    Pengguna memverifikasi identitasnya melalui perangkat atau aplikasi yang dimilikinya.

    • Jika menggunakan biometrik: pengguna menyentuh sensor sidik jari atau menggunakan pemindai wajah.
    • Jika menggunakan push notification: pengguna cukup menekan “accept”.
    • Jika menggunakan security key: pengguna menekan tombol atau menyentuh perangkat.
  4. Akses Diberikan
    Jika proses verifikasi berhasil, pengguna langsung diarahkan ke dalam sistem atau aplikasi tanpa pernah mengetikkan password.

Apa Itu “Tantangan” (Challenge)?

Dalam sistem passwordless authentication, khususnya yang berbasis kriptografi kunci publik seperti FIDO2/WebAuthn, istilah tantangan (challenge) merujuk pada data acak yang dikirimkan oleh server ke perangkat pengguna saat proses login dimulai.

Tantangan ini bukan “kesulitan” dalam arti umum, melainkan merupakan token acak (nonce) yang hanya berlaku untuk satu sesi login. Tujuan pengiriman challenge adalah untuk memastikan bahwa proses autentikasi:

  1. Terjadi secara real-time dan unik untuk setiap sesi.
  2. Tidak bisa dipalsukan atau diulang (anti-replay).
  3. Hanya bisa diselesaikan oleh perangkat yang memiliki kunci privat yang sah.

Misalnya, saat pengguna memasukkan email mereka di halaman login, sistem akan:

  1. Mengirimkan challenge ke perangkat (misalnya ke aplikasi autentikator atau security key).
  2. Perangkat pengguna menandatangani challenge tersebut dengan kunci privat.
  3. Server memverifikasi tanda tangan (signature) menggunakan kunci publik yang tersimpan saat registrasi.

Jika signature valid, maka autentikasi berhasil dan pengguna diberikan akses tanpa pernah harus memasukkan password.

Advantages of Passwordless Authentication

  1. Meningkatkan Keamanan Secara Signifikan
    Passwordless authentication menghilangkan kebutuhan pengguna untuk memasukkan atau menyimpan kata sandi, sehingga mengurangi risiko serangan umum seperti phishing, brute-force attack, dan credential stuffing. Sistem ini biasanya menggunakan kriptografi kunci publik, di mana perangkat pengguna menyimpan kunci privat secara lokal dan hanya menandatangani tantangan (challenge) dari server saat proses autentikasi berlangsung. Dengan tidak adanya password yang dikirim atau disimpan di server, sistem ini jauh lebih tahan terhadap pencurian kredensial dan eksploitasi.
  2. Pengalaman Pengguna yang Lebih Nyaman
    Pengguna tidak lagi perlu mengingat kombinasi karakter yang rumit atau mengatur ulang akun karena lupa password. Proses login menjadi lebih efisien, cukup dengan melakukan autentikasi melalui biometrik seperti sidik jari atau wajah, menekan tombol pada security key, atau menyetujui notifikasi dari aplikasi autentikator. Ini sangat membantu dalam meningkatkan kenyamanan, terutama pada perangkat mobile atau dalam situasi kerja yang membutuhkan akses cepat.
  3. Lebih Tahan terhadap Serangan Otomatis
    Passwordless authentication tahan terhadap serangan seperti brute-force attacks, credential stuffing, keylogger, dan man-in-the-middle attack (MitM) karena tidak menggunakan password yang dibuat manusia, dan mekanisme autentikasinya menggunakan faktor unik (seperti perangkat atau biometrik) yang bersifat One-Time use atau menggunakan kriptografi asimetris, sehingga tidak bisa ditebak, dicuri, atau digunakan ulang.
  4. Mendukung Standar Keamanan Modern
    Passwordless authentication umumnya dibangun di atas protokol keamanan terbuka dan terkini seperti FIDO2 dan WebAuthn. Standar ini dikembangkan oleh komunitas keamanan global dan didukung oleh perusahaan besar seperti Microsoft, Google, dan Apple. Dengan adopsi protokol ini, sistem menjadi lebih interoperabel, aman, dan sesuai dengan praktik keamanan terbaru yang direkomendasikan secara internasional.
  5. Cocok untuk Lingkungan Multi-Device
    Passwordless sangat ideal untuk pengguna yang bekerja menggunakan lebih dari satu perangkat. Dengan teknologi seperti passkey, pengguna dapat login di berbagai perangkat tanpa perlu menyinkronkan atau mengatur ulang password. Sinkronisasi melalui cloud dan autentikasi berbasis perangkat memungkinkan pengalaman yang mulus dan konsisten, baik di desktop, laptop, tablet, maupun ponsel.

Challenges and Limitations

  1. Kehilangan perangkat autentikasi
    Passwordless authentication sangat bergantung pada perangkat pengguna, seperti ponsel, laptop, atau kunci keamanan (security key). Jika perangkat tersebut hilang, dicuri, atau rusak, maka pengguna bisa kehilangan akses ke sistem. Proses pemulihan akun harus dirancang sedemikian rupa agar tetap aman, namun tidak menyulitkan pengguna secara berlebihan.
  2. Privasi data biometrik
    Metode biometrik seperti sidik jari dan wajah memang praktis, tetapi membawa risiko tersendiri. Berbeda dengan password yang bisa diganti, data biometrik bersifat tetap dan tidak bisa diubah. Jika data ini bocor akibat celah keamanan atau penyimpanan yang tidak aman, risikonya bersifat permanen.
  3. Ketergantungan pada infrastruktur modern
    Tidak semua sistem atau aplikasi mendukung protokol passwordless seperti WebAuthn atau FIDO2. Organisasi dengan sistem lama (legacy systems) harus melakukan upgrade besar-besaran agar dapat mengadopsi autentikasi modern ini, yang memerlukan waktu, tenaga ahli, dan biaya tambahan.
  4. Serangan social engineering baru
    Passwordless tidak serta-merta menghilangkan semua bentuk serangan. Teknik rekayasa sosial seperti push bombing (pengiriman notifikasi autentikasi secara berulang hingga pengguna menekan “accept” tanpa berpikir), atau phishing dengan tautan login palsu, masih dapat mengecoh pengguna.
  5. Keterbatasan pada Situasi Offline atau Low-Access
    Beberapa metode passwordless authentication memerlukan koneksi internet, perangkat yang aktif, atau sinkronisasi melalui layanan cloud. Ketergantungan ini dapat menjadi kendala apabila pengguna berada dalam kondisi darurat, seperti saat tidak tersedia jaringan, daya perangkat habis, atau perangkat autentikasi tidak berada di dekat pengguna. Dalam situasi seperti itu, akses ke sistem dapat tertunda atau bahkan tidak dapat dilakukan sama sekali.

Real Case Examples

  1. Microsoft
    Sejak tahun 2021, Microsoft secara resmi menawarkan opsi login tanpa password bagi semua penggunanya. Melalui kombinasi aplikasi Microsoft Authenticator, Windows Hello, dan FIDO2 security key, pengguna dapat mengakses akun Microsoft mereka tanpa perlu memasukkan kata sandi sama sekali. Microsoft juga mengizinkan pengguna untuk menghapus password dari akun mereka secara permanen, mendorong transisi penuh ke metode autentikasi yang lebih aman dan modern. Langkah ini menandai komitmen perusahaan dalam mendukung strategi keamanan berbasis zero trust dan mendorong ekosistem tanpa password.
  2. Google
    Google merupakan salah satu pelopor dalam pengembangan sistem autentikasi berbasis passkey, yaitu kredensial yang tersimpan secara aman di perangkat pengguna dan dapat digunakan untuk login lintas perangkat. Google telah mengintegrasikan passkey ke dalam akun Google dan mengumumkan bahwa sejak tahun 2023, passkey dijadikan sebagai metode login default untuk semua pengguna baru. Selain itu, Google mendukung login dengan autentikasi berbasis perangkat melalui protokol FIDO2 dan WebAuthn, memungkinkan login yang cepat, aman, dan tanpa password melalui ponsel Android atau iOS yang sudah diverifikasi.
  3. Apple
    Apple memperkenalkan passkeys sebagai bagian dari pembaruan ekosistemnya di iOS 16 dan macOS Ventura. Passkey adalah pengganti password yang bekerja dengan autentikasi biometrik seperti Face ID dan Touch ID. Passkey disimpan secara terenkripsi dalam iCloud Keychain, dan dapat disinkronkan ke semua perangkat Apple yang terhubung dengan akun yang sama. Dengan teknologi ini, Apple mendorong pengguna untuk berpindah dari sistem login tradisional menuju autentikasi berbasis kriptografi dan biometrik, yang lebih aman dan bebas dari risiko phishing.

Prevention and Best Practices

  1. Gunakan Multi-Factor Authentication (MFA)
    Meskipun sistem passwordless pada dasarnya merupakan bentuk dari faktor autentikasi yang kuat, menambahkan faktor lain seperti biometrik atau perangkat kedua dapat memperkuat lapisan keamanan. Contohnya: kombinasi antara security key dan konfirmasi melalui aplikasi autentikator.
  2. Aktifkan Recovery Options
    Pengguna atau organisasi perlu menyediakan metode pemulihan yang aman, seperti email cadangan, recovery codes, atau perangkat sekunder. Hal ini penting untuk mencegah kehilangan akses akibat perangkat utama yang rusak atau hilang.
  3. Jaga Keamanan Perangkat Autentikasi
    Perangkat yang digunakan untuk proses autentikasi, seperti ponsel, kunci keamanan, atau laptop, perlu diamankan melalui pengaturan PIN, kunci layar, atau sistem enkripsi. Jika perangkat tersebut hilang dalam keadaan tidak terkunci, maka hal itu dapat membuka peluang terjadinya akses yang tidak sah.
  4. Edukasi Pengguna Mengenai Serangan Rekayasa Sosial
    Serangan semacam push bombing atau fake approval request dapat mengelabui pengguna agar menyetujui permintaan login yang tidak sah. Pengguna perlu diberikan pelatihan dan sosialisasi untuk mengenali dan menghindari jenis serangan ini.
  5. Gunakan Penyedia Layanan Terpercaya
    Jika menggunakan solusi pihak ketiga (seperti Auth0, Okta, Microsoft Identity, atau Google Identity), pastikan penyedia tersebut mematuhi standar industri seperti FIDO2/WebAuthn dan memiliki rekam jejak yang baik dalam keamanan siber.

Conclusion

Passwordless authentication menawarkan pendekatan autentikasi yang lebih aman dan praktis dibandingkan metode tradisional berbasis password. Dengan memanfaatkan teknologi seperti biometrik, perangkat fisik, dan protokol modern, sistem ini mampu mengurangi risiko pencurian kredensial serta meningkatkan kenyamanan pengguna. Meskipun masih memiliki tantangan teknis dan operasional, penerapan passwordless yang tepat dapat menjadi pondasi menuju ekosistem digital yang lebih terpercaya dan tangguh terhadap ancaman siber.

Sources:

https://fidoalliance.org/fido2/

https://auth0.com/blog/what-is-passwordless-authentication/

https://developers.google.com/identity/passkeys

https://developer.apple.com/passkeys/

https://www.onelogin.com/learn/passwordless-authentication

https://www.cyberark.com/what-is/passwordless-authentication/ 

https://www.techtarget.com/searchsecurity/definition/passwordless-authentication

https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless

https://www.google.com/url?sa=i&url=https%3A%2F%2Fstatetechmagazine.com%2Farticle%2F2024%2F02%2Fhow-passwordless-authentication-supports-zero-trust-perfcon&psig=AOvVaw3nAatt6aE0LGBWiQRA3NAw&ust=1749291892049000&source=images&cd=vfe&opi=89978449&ved=0CAMQjB1qFwoTCJiUoqTK3I0DFQAAAAAdAAAAABAK

earn.microsoft.com/en-us/windows/security/hardware-security/tpm/trusted-platform-module-overview

https://www.pingidentity.com/en/resources/identity-fundamentals/authentication/passwordless-authentication.html

https://www.techtarget.com/searchsecurity/definition/passwordless-authentication

https://auth0.com/blog/what-is-passwordless-authentication