Pengganti Password Aman Mulai Dipakai, Tapi Ada Celah Baru

TechnonesiaID - Menemukan pengganti password aman kini menjadi fokus utama raksasa teknologi dunia untuk melindungi data pengguna dari ancaman kejahatan siber yang kian canggih. Keputusan ini diambil setelah berbagai insiden kebocoran data menunjukkan bahwa metode kata sandi konvensional sangat rentan diretas. Microsoft bahkan telah memulai langkah bertahap untuk menghapus fitur autentikasi lama yang sering menjadi sasaran empuk para pelaku penipuan digital.

Era baru tanpa kata sandi ini menjanjikan proses masuk log (login) yang lebih praktis sekaligus kokoh. Pengguna tidak perlu lagi menghafal kombinasi rumit atau menunggu kode OTP (One-Time Password) yang sering kali lambat dikirimkan. Sebagai gantinya, teknologi ini mengandalkan verifikasi identitas yang langsung terhubung dengan perangkat fisik milik pengguna.

Menganya Industri Membutuhkan Pengganti Password Aman?

Kebutuhan akan pengganti password aman semakin mendesak karena metode verifikasi berbasis teks memiliki banyak kelemahan fatal. Pengguna sering kali membuat kata sandi yang mudah ditebak atau menggunakan satu sandi untuk banyak akun berbeda. Ketika salah satu platform mengalami kebocoran data, seluruh akun milik pengguna tersebut otomatis berada dalam bahaya besar.

Selain itu, serangan rekayasa sosial seperti phishing kini semakin manipulatif dan sulit dideteksi oleh pengguna awam. Peretas dengan mudah menduplikasi halaman login palsu untuk mencuri kredensial korban. Bahkan, metode autentikasi dua faktor (2FA) berbasis SMS kini bisa dicegat menggunakan teknik SIM swap atau malware khusus yang menyusup ke dalam ponsel pintar.

Microsoft menegaskan bahwa transisi ke akun tanpa kata sandi, kunci akses (passkey), dan email terverifikasi akan membuat pengguna selangkah lebih maju dari ancaman siber. Langkah ini juga dirancang untuk menciptakan pengalaman akses akun yang lebih sederhana, lancar, dan tanpa hambatan di berbagai perangkat.

Mengenal Mekanisme Kerja Teknologi Passkey

Teknologi passkey bekerja dengan cara yang sepenuhnya berbeda dari metode konvensional. Alih-alih mengetik teks, sistem ini menggunakan sepasang kunci kriptografi unik yang disimpan di perangkat pribadi dan server layanan. Kunci privat tetap tersimpan dengan aman di dalam cip enkripsi perangkat dan tidak pernah dikirim ke internet.

Saat pengguna ingin masuk ke akun mereka, perangkat akan membuktikan kepemilikan kunci tersebut melalui verifikasi biometrik. Pengguna hanya perlu melakukan pemindaian sidik jari, pemindaian wajah, atau memasukkan PIN perangkat lokal. Proses ini membuat transaksi data menjadi sangat aman karena tidak ada informasi sensitif yang bisa diintip di jaringan luar.

Sistem baru ini dirancang sebagai pengganti password aman yang mampu meminimalkan interaksi manusia dengan teks manual. Karena kunci rahasia tidak pernah meninggalkan perangkat, potensi ancaman phishing tradisional dan kebocoran basis data di sisi server dapat ditekan hingga ke titik terendah.

Celah Keamanan Baru yang Diungkap Peneliti

Meskipun digadang-gadang sebagai pengganti password aman, sistem biometrik ini ternyata tidak sepenuhnya kebal dari serangan siber. Sebuah penelitian terbaru dari SquareX pada tahun 2025 berhasil mengidentifikasi celah kritis dalam alur kerja sistem tersebut. Peneliti menemukan bahwa peretas masih bisa memanipulasi proses pendaftaran passkey.

Peneliti SquareX, Shourya Pratap Singh, menjelaskan bahwa penyerang dapat dengan mudah memalsukan pendaftaran dan autentikasi passkey. Hal ini dilakukan dengan cara mencegat alur kerja (workflow) komunikasi passkey yang terjadi di dalam peramban (browser). Ketika sistem menganggap permintaan biometrik sebagai sinyal aman, peretas justru menyusup di latar belakang.

Risiko ini tidak bisa dianggap remeh karena berdampak langsung pada kredibilitas sistem keamanan modern. Hampir semua aplikasi konsumen dan perusahaan kini menghadapi ancaman eksploitasi serupa. Beberapa sektor yang paling rentan terhadap celah ini meliputi:

• Aplikasi perbankan dan layanan finansial.
• Platform penyimpanan data awan (cloud storage) penting.
• Sistem manajemen internal perusahaan berskala besar.
• Layanan email utama yang menyimpan data kredensial pihak ketiga.

Strategi Mitigasi Menghadapi Ancaman Siber Modern

Untuk mengantisipasi celah ini, para ahli menyarankan agar implementasi pengganti password aman ini tetap didukung oleh lapisan enkripsi tambahan di sisi server. Perusahaan pengembang aplikasi harus memastikan bahwa peramban yang digunakan pengguna memiliki sistem proteksi yang ketat terhadap ekstensi berbahaya yang berpotensi mencegat jalurnya data.

Pengguna juga diimbau untuk selalu memperbarui sistem operasi dan aplikasi peramban mereka ke versi terbaru. Pembaruan berkala biasanya membawa tambalan keamanan (security patch) untuk menutup celah-celah baru yang ditemukan oleh para peneliti siber di seluruh dunia.

Keamanan digital adalah proses yang terus berkembang dan tidak akan pernah mencapai titik final yang sepenuhnya sempurna. Kesadaran akan risiko ini penting agar transisi menuju pengganti password aman tidak justru membuka pintu baru bagi para peretas untuk menguasai data pribadi kita.