Akun Google tanpa kata sandi ada di sini—sekarang Anda dapat beralih ke hanya kunci sandi
Google mengambil langkah besar menuju masa depan kita yang seharusnya tanpa kata sandi dengan mengaktifkan akun Google hanya dengan kunci sandi. Dalam posting weblog, berjudul “Awal dari akhir kata sandi,” Google mengatakan: “Kami telah mulai meluncurkan dukungan untuk kunci sandi di seluruh Akun Google di semua platform utama. Itu akan menjadi opsi tambahan yang dapat digunakan orang untuk masuk, bersama sandi, Verifikasi 2 Langkah (2SV), dll.” Sebelumnya, Anda dapat menggunakan kunci sandi dengan akun Google sebagai bagian dari autentikasi dua faktor, tetapi itu selalu sebagai tambahan kata sandi. Sekarang dimungkinkan untuk menggunakan akun Google dengan kunci sandi alih-alih kata sandi.
Kunci sandi, jika Anda belum pernah mendengar tentang metode autentikasi baru, adalah cara baru untuk masuk ke aplikasi dan situs internet dan suatu hari nanti dapat menggantikan kata sandi. Entri kata sandi dimulai sebagai kotak teks sederhana untuk manusia, dan kotak teks tersebut perlahan-lahan memiliki otomatisasi dan komplikasi yang dibautkan ke dalamnya saat keinginan untuk keamanan yang lebih tinggi tiba. Saat Anda biasa mengetik kata yang diingat ke dalam bidang kata sandi, hari ini, cara yang benar untuk menggunakan kata sandi adalah dengan meminta pengelola kata sandi menempelkan string karakter acak ke dalam kotak kata sandi. Karena hanya sedikit dari kita yang mengetik kata sandi secara fisik, kunci sandi menghapus kotak kata sandi.
Kunci sandi membuat sistem operasi Anda secara langsung menukar pasangan kunci publik-swasta—standar “WebAuthn”—dengan situs internet, dan begitulah cara Anda diautentikasi. Demo Google tentang bagaimana ini akan bekerja pada telepon tampak hebat — kotak biasa meminta nama pengguna Google Anda, lalu alih-alih kata sandi, ia meminta sidik jari, yang membuka kunci sistem kunci sandi, dan Anda masuk.
Dukungan tanpa kata sandi Google ditujukan untuk perangkat konsumen saat ini, sementara akun bisnis Google Workspace “segera” akan memiliki opsi untuk mengaktifkan kunci sandi bagi pengguna akhir.
Kunci sandi masih belum siap untuk prime time
Bahkan dengan Google menggunakan kunci sandi, itu tidak berarti mereka siap untuk diadopsi secara luas. Pertama, beberapa platform (Home windows/Linux/Chrome OS) tidak sejauh yang lain (macOS/iOS/Android). Situs passkeys.dev resmi memiliki halaman bermanfaat yang melacak kesiapan platform demi platform, dan jalan masih panjang. Akan sangat buruk jika tidak dapat mengakses akun Google kunci sandi Anda di Chrome OS, yang mungkin akan mengunci Anda sampai Anda beralih kembali ke kata sandi.
Masalah kedua sepertinya tidak akan diperbaiki dalam waktu dekat, dan itulah kunci sandi yang disinkronkan melalui Anda ekosistem sistem operasi, bukan melalui browser, yang menunjukkan kemunduran besar atas cara kerja kata sandi. Hari ini jika saya menambahkan kata sandi ke Chrome di Home windows, kata sandi itu akan langsung tersedia di mana pun saya memasang Chrome, seperti ponsel Android, MacBook, iPhone, Chromebook, dll., tetapi kunci sandi tidak berfungsi seperti itu.
Mengutip halaman Aliansi FIDO, kunci sandi “disinkronkan ke semua perangkat lain pengguna yang sedang berjalan platform OS yang sama” [emphasis ours]. Artinya, jika saya menambahkan kunci sandi ke Chrome di Home windows, kunci sandi tersebut masuk ke toko kunci sandi vendor OS—milik Microsoft—dan hanya akan disinkronkan dengan sistem operasi Microsoft lainnya. Jika Anda secara eksklusif menggunakan perangkat Apple, semuanya akan disinkronkan, dan Anda tidak akan melihat perbedaannya. Kita semua harus melalui proses switch kode QR dan berbasis Bluetooth agar kredensial kita berfungsi di Home windows dan Android atau Android dan Linux, atau kombinasi lintas-OS-vendor lainnya. Perusahaan Teknologi Besar yang bertanggung jawab atas kunci sandi tampaknya tidak tertarik untuk membuatnya semulus dan senyaman kata sandi, dan itu akan menjadi rintangan utama bagi keberadaan mereka di mana-mana.
1Password mengonfirmasi seluruh kekacauan sinkronisasi ini, “Saat ini, kunci sandi di platform lain mengharuskan Anda menggunakan perangkat dari ekosistem yang sama untuk mengautentikasi. Menyinkronkan dengan sistem operasi lain atau berbagi kunci sandi memerlukan penyelesaian yang membosankan, seperti kode QR, sehingga menjadi lebih rumit dan pengalaman yang kurang aman.” Tidak jelas apakah aplikasi seperti 1Password telah diundang ke pesta kunci sandi Massive Tech. 1Password mengatakan telah bergabung dengan Aliansi FIDO, tetapi halaman kunci sandi 1Password juga memiliki video yang mengatakan bahwa kunci sandi tidak cukup terbuka. Video tersebut mengatakan, “Solusi hari ini tidak memenuhi janji keterbukaan dan interoperabilitas. Jika Anda membuat kata sandi di iPhone atau perangkat Android hari ini, itu akan terjebak. Tidak mudah untuk berbagi, memindahkannya ke platform lain atau menyinkronkan dengan pengelola kata sandi pilihan Anda. Kami dapat melakukan yang lebih baik. Dan itulah mengapa kami bersemangat untuk menunjukkan kepada Anda seperti apa masa depan, jika teknologi tanpa kata sandi lebih terbuka.”
Halaman kunci sandi 1Password berisi banyak bahasa “bisa” dan “harus”, tetapi perusahaan sedang mengerjakan semacam solusi yang akan keluar “musim panas ini”. Bahkan jika perusahaan berhasil memecahkan masalah sinkronisasi kunci sandi untuk aplikasinya sendiri, memiliki regresi lintas platform yang begitu besar dalam pengaturan default — yang akan digunakan kebanyakan orang — akan sangat membatasi daya tarik kunci sandi.
Gambar cantuman oleh Google
