Kunci sandi Google tidak perlu dipikirkan lagi. Anda telah mengaktifkannya, bukan?

Saat ini, Anda mungkin pernah mendengar bahwa akun Google tanpa kata sandi akhirnya tiba. Pengganti kata sandi dikenal sebagai “kunci sandi”.

Ada banyak kesalahpahaman tentang kunci sandi, baik dari segi kegunaannya maupun manfaat keamanan dan privasi yang mereka tawarkan dibandingkan dengan metode autentikasi saat ini. Itu tidak mengherankan, mengingat kata sandi telah digunakan selama 60 tahun terakhir, dan kunci sandi masih sangat baru. Panjang dan pendeknya adalah bahwa dengan beberapa menit pelatihan, kunci sandi lebih mudah digunakan daripada kata sandi, dan dalam hitungan bulan — setelah selusin mitra industri selesai meluncurkan bagian yang tersisa — menggunakan kunci sandi akan lebih mudah lagi . Kunci pas juga jauh lebih aman dan menjaga privasi daripada kata sandi, untuk alasan yang akan saya jelaskan nanti.

Apa itu kunci sandi?

Artikel ini memberikan panduan utama agar orang-orang dapat memulai penerapan kunci sandi Google dan menjelaskan dasar-dasar teknis yang menjadikannya cara yang jauh lebih mudah dan efektif untuk melindungi dari pengambilalihan akun. Beberapa situs yang lebih kecil — khususnya, PayPal, Instacart, Finest Purchase, Kayak, Robinhood, Store Pay, dan Cardpointers — telah meluncurkan berbagai opsi untuk masuk dengan kunci sandi, tetapi pilihan itu lebih merupakan bukti konsep daripada solusi yang berfungsi. Google adalah layanan daring besar pertama yang menyediakan kunci sandi, dan penawarannya disempurnakan dan cukup komprehensif sehingga saya menyarankan orang untuk mengaktifkannya hari ini.

Pertama, ada baiknya untuk mengetahui dengan tepat apa itu kunci sandi dan bagaimana cara kerjanya. Apple memberikan deskripsi yang bermanfaat di sini tentang dasar-dasar teknis kunci sandi:

Kunci sandi dibuat berdasarkan standar WebAuthentication (atau “WebAuthn”), yang menggunakan kriptografi kunci publik. Selama pendaftaran akun, sistem operasi membuat pasangan kunci kriptografi unik untuk dikaitkan dengan akun untuk aplikasi atau situs net. Kunci ini dihasilkan oleh perangkat, secara aman dan unik, untuk setiap akun.

Salah satu kunci ini bersifat publik, dan disimpan di server. Kunci publik ini bukan rahasia. Kunci lainnya bersifat pribadi, dan yang diperlukan untuk benar-benar masuk. Server tidak pernah mempelajari apa itu kunci pribadi. Pada perangkat Apple dengan Contact ID atau Face ID tersedia, mereka dapat digunakan untuk mengesahkan penggunaan kunci sandi, yang kemudian mengautentikasi pengguna ke aplikasi atau situs net. Tidak ada rahasia bersama yang dikirimkan, dan server tidak perlu melindungi kunci publik. Hal ini membuat kunci sandi menjadi sangat kuat, kredensial yang mudah digunakan dan sangat tahan terhadap phishing. Dan vendor platform telah bekerja sama dalam FIDO Alliance untuk memastikan implementasi kunci sandi kompatibel lintas platform dan dapat bekerja pada perangkat sebanyak mungkin.

Spesifikasi FIDO mensyaratkan bahwa mekanisme sinkronisasi apa pun yang dipilih pengguna (baik dari Apple, Microsoft, Google, atau pihak ketiga) menyediakan enkripsi ujung ke ujung seperti yang dilakukan Keychain iCloud dan sinkronisasi kata sandi dengan browser saat ini (di Chrome, ini E2EE harus dihidupkan). Ini berarti bahwa kunci privat tidak diketahui oleh penyedia cloud. Kunci pribadi berada di perangkat dan hanya dapat diakses dengan membuka kunci perangkat menggunakan PIN buka kunci, sidik jari, atau pemindaian wajah.

Kunci sandi akun Google mendukung cukup banyak platform sehingga tidak ada cara tunggal untuk menggunakannya. Cara login orang yang utamanya menggunakan Android dan Linux akan terlihat berbeda dan menggunakan alur yang berbeda dari orang yang menggunakan semua platform Apple atau orang yang menggunakan iOS atau Android dengan Home windows. Tidak ada cara untuk mencantumkan petunjuk langkah demi langkah untuk semua platform dalam satu artikel. Sebagai gantinya, primer ini menggunakan campuran perangkat dan OS—khususnya Pixel 7, iPhone 13, iPad generasi kesembilan, ThinkPad yang menjalankan Home windows 10, dan MacBook Air—dengan tujuan setidaknya menyentuh cara kerja dasar semua dari mereka.

Apa yang dilakukan kunci sandi ini pada Pixel saya?

Pada saat saya bangun pada hari Rabu — hari Google meluncurkan akun Google tanpa kata sandi — Pixel 7 saya sudah memiliki kunci sandi yang dibuat secara otomatis. Saya tidak menyadarinya sampai saya mengakses g.co/passkeys, yang merupakan jalan pintas ke myaccount.google.com/signinoptions/passkeys, halaman yang dipasang Google untuk mengelola kunci sandi akun. Yang mengejutkan saya, kuncinya sudah ada di sana. Karena akun saya terdaftar di Program Perlindungan Lanjutan (APP) Google, kunci baru ini muncul tepat di atas kunci autentikasi dua faktor (2FA) yang diperlukan APP untuk bootstrap browser baru yang masuk.

Seperti yang ditunjukkan gambar, saya menggunakan Chrome di MacBook Air untuk mengakses halaman meskipun browser pilihan saya saat ini adalah Firefox. Alasannya: Firefox belum mendukung kata sandi di macOS, meskipun itu akan berubah, kemungkinan besar lebih cepat daripada nanti. Saya akhirnya memutuskan untuk terus menggunakan Safari selama proses selanjutnya karena kunci sandi yang dibuat menggunakan browser tersebut di macOS dan iOS secara otomatis disinkronkan melalui Rantai Kunci iCloud. Untuk saat ini, kunci sandi yang dibuat dengan Chrome dan Edge di platform Apple tidak.

Mengakses halaman g.co/passkeys yang sama di Safari, saya menggulir ke bawah dan mengklik “Buat Kunci Sandi” dan menerima kotak dialog yang memberikan penjelasan singkat tentang kunci sandi. Dari sana, saya mengklik tombol “Lanjutkan”. Layar selanjutnya yang muncul menjelaskan bahwa saya sedang menyimpan kunci sandi yang akan disimpan di iCloud. Setelah saya mengklik “selesai”, bagian kunci sandi dari myaccounts.google.com diperbarui untuk menunjukkan bahwa kunci sandi baru telah dibuat.