![\"\"](\"http:\/\/student-activity.binus.ac.id\/csc\/wp-content\/uploads\/sites\/37\/2025\/06\/s-blob-v1-IMAGE-5-I-G98Zg0.png\")
<\/p>\n<\/p>\n
Introduction<\/b><\/p>\n
Di era digital saat ini, proses autentikasi menjadi komponen penting dalam menjaga keamanan data dan identitas pengguna. Selama bertahun-tahun, password digunakan sebagai metode utama untuk login, namun kelemahannya semakin terlihat, seperti mudah ditebak, digunakan ulang, dan rawan bocor. Untuk menjawab tantangan ini, muncul inovasi bernama passwordless authentication, yaitu metode autentikasi tanpa menggunakan password, melainkan dengan pendekatan berbasis perangkat, biometrik, atau kode verifikasi sekali pakai. Selain meningkatkan keamanan, metode ini juga menyederhanakan proses login dan mengurangi beban pengguna maupun penyedia layanan.<\/span><\/p>\n What is Passwordless Authentication?<\/b><\/p>\n Passwordless authentication merupakan sebuah metode autentikasi yang memungkinkan pengguna untuk <\/span>sign in<\/span><\/i> pada sebuah servis atau aplikasi tanpa menggunakan password atau menjawab pertanyaan keamanan dimana metode yang biasa digunakan adalah <\/span>digital certificates, security tokens, one-time passwords <\/span><\/i>(OTPs), ataupun biometrik. Passwordless authentication sering digunakan bersamaan dengan <\/span>Multi-Factor Authentication<\/span><\/i> (MFA), <\/span>Single sign-on <\/span><\/i>untuk meningkatkan sekuritas, meningkatkan pengalaman pengguna dan mengurangi biaya dan kompleksitas operasi IT.<\/span><\/p>\n Types of Passwordless Authentication<\/b><\/p>\n Beberapa jenis metode autentikasi tanpa password yang umum digunakan antara lain:<\/span><\/p>\n How It Works<\/b><\/p>\n Passwordless authentication menghilangkan kebutuhan pengguna untuk memasukkan password dalam proses login. Sebagai gantinya, proses autentikasi memanfaatkan metode verifikasi berbasis perangkat atau identitas yang dimiliki oleh pengguna, seperti biometrik atau token fisik. <\/span>Menurut OneLogin, proses passwordless authentication biasanya berjalan melalui langkah-langkah berikut:<\/span><\/p>\n Apa Itu \u201cTantangan\u201d (Challenge)?<\/b><\/p>\n Dalam sistem passwordless authentication, khususnya yang berbasis kriptografi kunci publik seperti <\/span>FIDO2\/WebAuthn<\/span><\/i>, istilah tantangan (challenge) merujuk pada data acak yang dikirimkan oleh server ke perangkat pengguna saat proses login dimulai.<\/span><\/p>\n Tantangan ini bukan “kesulitan” dalam arti umum, melainkan merupakan token acak (nonce) yang hanya berlaku untuk satu sesi login. Tujuan pengiriman challenge adalah untuk memastikan bahwa proses autentikasi:<\/span><\/p>\n Misalnya, saat pengguna memasukkan email mereka di halaman login, sistem akan:<\/span><\/p>\n Jika signature valid, maka autentikasi berhasil dan pengguna diberikan akses tanpa pernah harus memasukkan password.<\/span><\/p>\n Advantages of Passwordless Authentication<\/b><\/p>\n Challenges and Limitations<\/b><\/p>\n Real Case Examples<\/b><\/p>\n Prevention and Best Practices<\/b><\/p>\n Conclusion<\/b><\/p>\n Passwordless authentication menawarkan pendekatan autentikasi yang lebih aman dan praktis dibandingkan metode tradisional berbasis password. Dengan memanfaatkan teknologi seperti biometrik, perangkat fisik, dan protokol modern, sistem ini mampu mengurangi risiko pencurian kredensial serta meningkatkan kenyamanan pengguna. Meskipun masih memiliki tantangan teknis dan operasional, penerapan passwordless yang tepat dapat menjadi pondasi menuju ekosistem digital yang lebih terpercaya dan tangguh terhadap ancaman siber.<\/span><\/p>\n Sources:<\/span><\/p>\n –<\/span>https:\/\/fidoalliance.org\/fido2\/<\/span><\/a><\/p>\n –<\/span>https:\/\/auth0.com\/blog\/what-is-passwordless-authentication\/<\/span><\/a><\/p>\n –<\/span>https:\/\/developers.google.com\/identity\/passkeys<\/span><\/a><\/p>\n –<\/span>https:\/\/developer.apple.com\/passkeys\/<\/span><\/a><\/p>\n –<\/span>https:\/\/www.onelogin.com\/learn\/passwordless-authentication<\/span><\/a><\/p>\n –<\/span>https:\/\/www.cyberark.com\/what-is\/passwordless-authentication\/<\/span><\/a>\u00a0<\/span><\/p>\n –<\/span>https:\/\/www.techtarget.com\/searchsecurity\/definition\/passwordless-authentication<\/span><\/a><\/p>\n –<\/span>https:\/\/learn.microsoft.com\/en-us\/entra\/identity\/authentication\/concept-authentication-passwordless<\/span><\/a><\/p>\n –<\/span>https:\/\/www.google.com\/url?sa=i&url=https%3A%2F%2Fstatetechmagazine.com%2Farticle%2F2024%2F02%2Fhow-passwordless-authentication-supports-zero-trust-perfcon&psig=AOvVaw3nAatt6aE0LGBWiQRA3NAw&ust=1749291892049000&source=images&cd=vfe&opi=89978449&ved=0CAMQjB1qFwoTCJiUoqTK3I0DFQAAAAAdAAAAABAK<\/span><\/a><\/p>\n earn.microsoft.com\/en-us\/windows\/security\/hardware-security\/tpm\/trusted-platform-module-overview<\/span><\/a><\/p>\n https:\/\/www.pingidentity.com\/en\/resources\/identity-fundamentals\/authentication\/passwordless-authentication.html<\/span><\/a><\/p>\n\n
\n<\/span>Metode biometrik menggunakan karakteristik biologis unik seseorang, seperti sidik jari, wajah, atau iris mata, sebagai bentuk autentikasi. Teknologi ini umumnya diproses dan disimpan secara lokal di perangkat pengguna, melalui modul keamanan seperti Secure Enclave pada perangkat Apple atau Trusted Platform Module (TPM) pada Windows. Keunggulan biometrik adalah kecepatan dan kenyamanan, karena pengguna cukup melakukan satu sentuhan atau melihat kamera untuk login. Ada beberapa metode biometrik yang banyak digunakan yaitu ada sidik jari, pengenalan wajah dan pengenalan suara. Data biometrik user akan disimpan secara lokal dan aman di perangkat pengguna biasanya berbentuk hash atau enkripsi.<\/li>\n
\n<\/span>Security key adalah perangkat keras kecil, biasanya berupa USB atau NFC, yang digunakan untuk menyelesaikan autentikasi. Perangkat ini bekerja berdasarkan protokol FIDO2 atau WebAuthn dan menggunakan kriptografi kunci publik untuk menandatangani tantangan (challenge) dari server. Ada beberapa jenis security key yang dapat user gunakan yaitu usb a\/ usb c, NFC & bluetooth.<\/li>\n
\n<\/span>Magic link adalah tautan login satu kali yang dikirim ke alamat email pengguna. Setelah pengguna memasukkan alamat emailnya di halaman login, sistem mengirimkan tautan khusus, dan pengguna hanya perlu mengkliknya untuk langsung masuk ke akun. Magic link menawarkan pengalaman pengguna yang sangat sederhana dan bebas password. Keunggulan dari magic link yaitu sangat mudah digunakan, tidak perlu mengingat password dan mengurangi resiko reuse password dan serangan brute force dan ada kelamahan dari magic link yaitu bertergantungan dengan email, beresiko delay dan hanya seaman pengamanan email user<\/li>\n
\nOTP adalah kode autentikasi sementara yang dikirim melalui SMS, email, atau dihasilkan oleh aplikasi autentikator seperti Google Authenticator, Microsoft Authenticator, atau Authy. Kode ini hanya berlaku untuk satu kali login dalam waktu terbatas, biasanya 30 hingga 60 detik. Ada beberapa jenis dari otp yaitu sms otp, email otp & app generated otp.<\/li>\n
\n<\/span>Metode ini mengirimkan permintaan autentikasi ke perangkat terpercaya pengguna melalui aplikasi autentikator. Pengguna cukup membuka notifikasi dan menyetujui (approve) atau menolak (deny) permintaan login tersebut. Sistem ini biasanya juga menyertakan informasi seperti lokasi atau perangkat yang meminta akses, sehingga pengguna dapat mengidentifikasi aktivitas mencurigakan. Cara kerja dari push notification yiatu ketika user login maka server akan mengirimkan notifikasi aplikasi autentikator, pengguna cukup membuka notifikasi dan menyetujui atau menolak notifikasi login dan informasi seperti lokasi,waktu,dan perangkat biasanya akan disertakan untuk membantu user mengenali apakah aktivitas tersebut wajar atau tidak.<\/li>\n<\/ol>\n\n
\n<\/span>Pengguna memasukkan identitas dasar seperti username atau alamat email di halaman login.<\/span><\/li>\n
\n<\/span>Sistem mendeteksi bahwa pengguna telah mengonfigurasi metode passwordless, lalu mengirimkan <\/span>\u201ctantangan\u201d (challenge)<\/b> berupa:<\/span><\/p>\n\n
\n<\/span>Pengguna memverifikasi identitasnya melalui perangkat atau aplikasi yang dimilikinya.<\/span><\/p>\n\n
\n<\/span>Jika proses verifikasi berhasil, pengguna langsung diarahkan ke dalam sistem atau aplikasi tanpa pernah mengetikkan password.<\/span><\/li>\n<\/ol>\n\n
\n
\n
\n<\/span>Passwordless authentication menghilangkan kebutuhan pengguna untuk memasukkan atau menyimpan kata sandi, sehingga mengurangi risiko serangan umum seperti phishing, brute-force attack, dan credential stuffing. Sistem ini biasanya menggunakan kriptografi kunci publik, di mana perangkat pengguna menyimpan kunci privat secara lokal dan hanya menandatangani tantangan (challenge) dari server saat proses autentikasi berlangsung. Dengan tidak adanya password yang dikirim atau disimpan di server, sistem ini jauh lebih tahan terhadap pencurian kredensial dan eksploitasi.<\/li>\n
\n<\/span>Pengguna tidak lagi perlu mengingat kombinasi karakter yang rumit atau mengatur ulang akun karena lupa password. Proses login menjadi lebih efisien, cukup dengan melakukan autentikasi melalui biometrik seperti sidik jari atau wajah, menekan tombol pada security key, atau menyetujui notifikasi dari aplikasi autentikator. Ini sangat membantu dalam meningkatkan kenyamanan, terutama pada perangkat mobile atau dalam situasi kerja yang membutuhkan akses cepat.<\/li>\n
\n<\/span>Passwordless authentication tahan terhadap serangan seperti brute-force attacks, credential stuffing, keylogger, dan man-in-the-middle attack (MitM) karena tidak menggunakan password yang dibuat manusia, dan mekanisme autentikasinya menggunakan faktor unik (seperti perangkat atau biometrik) yang bersifat One-Time use atau menggunakan kriptografi asimetris, sehingga tidak bisa ditebak, dicuri, atau digunakan ulang.<\/li>\n
\n<\/span>Passwordless authentication umumnya dibangun di atas protokol keamanan terbuka dan terkini seperti FIDO2 dan WebAuthn. Standar ini dikembangkan oleh komunitas keamanan global dan didukung oleh perusahaan besar seperti Microsoft, Google, dan Apple. Dengan adopsi protokol ini, sistem menjadi lebih interoperabel, aman, dan sesuai dengan praktik keamanan terbaru yang direkomendasikan secara internasional.<\/li>\n
\n<\/span>Passwordless sangat ideal untuk pengguna yang bekerja menggunakan lebih dari satu perangkat. Dengan teknologi seperti passkey, pengguna dapat login di berbagai perangkat tanpa perlu menyinkronkan atau mengatur ulang password. Sinkronisasi melalui cloud dan autentikasi berbasis perangkat memungkinkan pengalaman yang mulus dan konsisten, baik di desktop, laptop, tablet, maupun ponsel.<\/li>\n<\/ol>\n\n
\n<\/span>Passwordless authentication sangat bergantung pada perangkat pengguna, seperti ponsel, laptop, atau kunci keamanan (security key). Jika perangkat tersebut hilang, dicuri, atau rusak, maka pengguna bisa kehilangan akses ke sistem. Proses pemulihan akun harus dirancang sedemikian rupa agar tetap aman, namun tidak menyulitkan pengguna secara berlebihan.<\/li>\n
\n<\/span>Metode biometrik seperti sidik jari dan wajah memang praktis, tetapi membawa risiko tersendiri. Berbeda dengan password yang bisa diganti, data biometrik bersifat tetap dan tidak bisa diubah. Jika data ini bocor akibat celah keamanan atau penyimpanan yang tidak aman, risikonya bersifat permanen.<\/li>\n
\n<\/span>Tidak semua sistem atau aplikasi mendukung protokol passwordless seperti WebAuthn atau FIDO2. Organisasi dengan sistem lama (legacy systems) harus melakukan upgrade besar-besaran agar dapat mengadopsi autentikasi modern ini, yang memerlukan waktu, tenaga ahli, dan biaya tambahan.<\/li>\n
\n<\/span>Passwordless tidak serta-merta menghilangkan semua bentuk serangan. Teknik rekayasa sosial seperti push bombing (pengiriman notifikasi autentikasi secara berulang hingga pengguna menekan \u201caccept\u201d tanpa berpikir), atau phishing dengan tautan login palsu, masih dapat mengecoh pengguna.<\/li>\n
\n<\/span>Beberapa metode passwordless authentication memerlukan koneksi internet, perangkat yang aktif, atau sinkronisasi melalui layanan cloud. Ketergantungan ini dapat menjadi kendala apabila pengguna berada dalam kondisi darurat, seperti saat tidak tersedia jaringan, daya perangkat habis, atau perangkat autentikasi tidak berada di dekat pengguna. Dalam situasi seperti itu, akses ke sistem dapat tertunda atau bahkan tidak dapat dilakukan sama sekali.<\/li>\n<\/ol>\n\n
\n<\/span>Sejak tahun 2021, Microsoft secara resmi menawarkan opsi login tanpa password bagi semua penggunanya. Melalui kombinasi aplikasi Microsoft Authenticator, Windows Hello, dan FIDO2 security key, pengguna dapat mengakses akun Microsoft mereka tanpa perlu memasukkan kata sandi sama sekali. Microsoft juga mengizinkan pengguna untuk menghapus password dari akun mereka secara permanen, mendorong transisi penuh ke metode autentikasi yang lebih aman dan modern. Langkah ini menandai komitmen perusahaan dalam mendukung strategi keamanan berbasis zero trust dan mendorong ekosistem tanpa password.<\/span><\/li>\n
\n<\/span>Google merupakan salah satu pelopor dalam pengembangan sistem autentikasi berbasis passkey, yaitu kredensial yang tersimpan secara aman di perangkat pengguna dan dapat digunakan untuk login lintas perangkat. Google telah mengintegrasikan passkey ke dalam akun Google dan mengumumkan bahwa sejak tahun 2023, passkey dijadikan sebagai metode login default untuk semua pengguna baru. Selain itu, Google mendukung login dengan autentikasi berbasis perangkat melalui protokol <\/span>FIDO2<\/b> dan <\/span>WebAuthn<\/b>, memungkinkan login yang cepat, aman, dan tanpa password melalui ponsel Android atau iOS yang sudah diverifikasi.<\/span><\/li>\n
\n<\/span>Apple<\/span><\/i> memperkenalkan <\/span>passkeys<\/span><\/i> sebagai bagian dari pembaruan ekosistemnya di <\/span>iOS 16<\/span><\/i> dan <\/span>macOS Ventura<\/span><\/i>. <\/span>Passkey<\/span><\/i> adalah pengganti password yang bekerja dengan autentikasi biometrik seperti <\/span>Face ID<\/span><\/i> dan <\/span>Touch ID<\/span><\/i>. <\/span>Passkey<\/span><\/i> disimpan secara terenkripsi dalam <\/span>iCloud Keychain<\/span><\/i>, dan dapat disinkronkan ke semua perangkat <\/span>Apple<\/span><\/i> yang terhubung dengan akun yang sama. Dengan teknologi ini, <\/span>Apple<\/span><\/i> mendorong pengguna untuk berpindah dari sistem login tradisional menuju autentikasi berbasis kriptografi dan biometrik, yang lebih aman dan bebas dari risiko <\/span>phishing<\/span><\/i>.<\/span><\/li>\n<\/ol>\n\n
\n<\/span>Meskipun sistem passwordless pada dasarnya merupakan bentuk dari faktor autentikasi yang kuat, menambahkan faktor lain seperti biometrik atau perangkat kedua dapat memperkuat lapisan keamanan. Contohnya: kombinasi antara security key dan konfirmasi melalui aplikasi autentikator.<\/li>\n
\n<\/span>Pengguna atau organisasi perlu menyediakan metode pemulihan yang aman, seperti email cadangan, recovery codes, atau perangkat sekunder. Hal ini penting untuk mencegah kehilangan akses akibat perangkat utama yang rusak atau hilang.<\/li>\n
\n<\/span>Perangkat yang digunakan untuk proses autentikasi, seperti ponsel, kunci keamanan, atau laptop, perlu diamankan melalui pengaturan PIN, kunci layar, atau sistem enkripsi. Jika perangkat tersebut hilang dalam keadaan tidak terkunci, maka hal itu dapat membuka peluang terjadinya akses yang tidak sah.<\/li>\n
\n<\/span>Serangan semacam push bombing atau fake approval request dapat mengelabui pengguna agar menyetujui permintaan login yang tidak sah. Pengguna perlu diberikan pelatihan dan sosialisasi untuk mengenali dan menghindari jenis serangan ini.<\/li>\n
\n<\/span>Jika menggunakan solusi pihak ketiga (seperti Auth0, Okta, Microsoft Identity, atau Google Identity), pastikan penyedia tersebut mematuhi standar industri seperti FIDO2\/WebAuthn dan memiliki rekam jejak yang baik dalam keamanan siber.<\/li>\n<\/ol>\n