Passkey vs Password, Mana yang Lebih Aman di Era Digital?
- Rita Puspita Sari
- •
- 1 hari yang lalu
Ilustrasi Passkey
Selama puluhan tahun, password menjadi "kunci utama" untuk mengakses berbagai layanan digital, mulai dari email, media sosial, aplikasi perbankan, hingga layanan pekerjaan. Namun, semakin berkembangnya teknologi, semakin canggih pula metode serangan siber yang menargetkan password. Akibatnya, berbagai kasus pencurian akun, kebocoran data, hingga penipuan phishing terus meningkat setiap tahunnya.
Memasuki tahun 2026, dunia keamanan siber mulai memasuki era baru. Teknologi passkey yang sebelumnya hanya dianggap sebagai inovasi eksperimental kini telah menjadi standar autentikasi modern. Apple, Google, dan Microsoft telah mengintegrasikan passkey ke dalam sistem operasi dan layanan mereka. Bahkan, lebih dari 15 miliar akun di seluruh dunia kini telah mendukung metode login ini.
Lalu, apakah passkey benar-benar lebih aman dibandingkan password? Jawabannya adalah ya. Bahkan, banyak pakar keamanan siber menyebut passkey sebagai pengganti password yang paling menjanjikan karena mampu mengatasi berbagai kelemahan mendasar yang selama ini dimiliki password.
Apa Itu Passkey?
Passkey adalah metode autentikasi modern yang menggantikan password dengan teknologi public-key cryptography. Berbeda dengan password yang mengandalkan kombinasi huruf, angka, dan simbol yang harus diingat pengguna, passkey menggunakan sepasang kunci digital yang dibuat secara otomatis.
Pasangan kunci tersebut terdiri dari:
- Private key (kunci privat) yang disimpan secara aman di perangkat pengguna, seperti smartphone, laptop, atau tablet. Kunci ini dilindungi oleh sidik jari (fingerprint), Face ID, Touch ID, atau PIN perangkat.
- Public key (kunci publik) yang disimpan oleh server layanan atau situs web yang digunakan.
Saat pengguna ingin masuk ke sebuah akun, server akan mengirimkan tantangan digital (challenge). Perangkat pengguna kemudian menggunakan private key untuk menandatangani tantangan tersebut sebagai bukti kepemilikan akun. Setelah server memverifikasi tanda tangan menggunakan public key, proses login selesai tanpa perlu mengirimkan password melalui internet.
Dengan kata lain, tidak ada password yang diketik, dikirim, maupun disimpan di server. Inilah yang menjadi perbedaan terbesar sekaligus alasan utama mengapa passkey jauh lebih aman.
Bagaimana Cara Kerja Passkey?
Secara teknis, passkey dibangun di atas standar FIDO2 dan WebAuthn, dua teknologi autentikasi yang dikembangkan untuk menggantikan password. Proses login menggunakan passkey berlangsung dalam beberapa langkah sederhana:
- Pengguna membuka halaman login sebuah situs atau aplikasi.
- Server mengirimkan challenge unik ke perangkat pengguna.
- Pengguna melakukan verifikasi menggunakan sidik jari, pengenalan wajah, atau PIN perangkat.
- Private key yang tersimpan di perangkat menandatangani challenge tersebut.
- Server memverifikasi tanda tangan menggunakan public key yang sebelumnya telah disimpan.
- Jika valid, pengguna langsung berhasil masuk ke akun.
Seluruh proses ini berlangsung hanya dalam hitungan detik tanpa perlu mengetik password maupun kode verifikasi tambahan.
Mengapa Password Rentan Diserang?
Untuk memahami keunggulan passkey, penting untuk mengetahui terlebih dahulu kelemahan password. Pada dasarnya, password merupakan rahasia bersama (shared secret). Artinya, baik pengguna maupun server sama-sama mengetahui password tersebut. Ketika login, pengguna mengirimkan password ke server agar dicocokkan dengan data yang tersimpan. Model seperti ini memiliki sejumlah kelemahan mendasar.
-
Rentan terhadap Phishing
Phishing merupakan salah satu metode serangan siber yang paling umum. Penjahat siber membuat situs palsu yang tampilannya sangat mirip dengan situs asli agar korban memasukkan username dan password.Begitu password dimasukkan, informasi tersebut langsung dicuri dan dapat digunakan untuk mengambil alih akun korban.
-
Mudah Ditebak
Masih banyak pengguna memilih password yang sederhana seperti:- password123
- 123456
- qwerty
- tanggal lahir
- nama sendiri
Password seperti ini dapat dipecahkan hanya dalam hitungan detik menggunakan teknik brute-force maupun dictionary attack.
-
Digunakan Berulang
Sebagian besar orang memakai password yang sama di berbagai layanan. Akibatnya, jika satu layanan mengalami kebocoran data, penjahat siber dapat mencoba password tersebut di berbagai situs lain melalui teknik credential stuffing. -
Server Menjadi Target Serangan
Karena server harus menyimpan password (dalam bentuk hash), maka server menjadi sasaran utama para peretas.
Jika database berhasil dicuri, jutaan bahkan miliaran password dapat bocor sekaligus.
Mengapa Passkey Lebih Aman?
Passkey dirancang untuk menghilangkan hampir seluruh kelemahan password.
-
Tidak Bisa Dicuri Melalui Phishing
Saat menggunakan passkey, pengguna tidak pernah mengetik password. Bahkan jika seseorang tanpa sengaja membuka situs phishing, perangkat hanya akan menggunakan passkey untuk domain yang benar. Situs palsu tidak dapat meminta ataupun menerima private key. Dengan demikian, teknik phishing yang selama bertahun-tahun menjadi ancaman utama praktis tidak lagi efektif. -
Setiap Situs Memiliki Passkey Berbeda
Passkey selalu dibuat khusus untuk satu domain. Sebagai contoh, passkey yang dibuat untuk aplikasi perbankan hanya berlaku untuk situs resmi bank tersebut. Passkey tersebut tidak dapat digunakan pada situs lain meskipun tampilannya identik.Hal ini menghilangkan risiko penggunaan ulang kredensial yang selama ini menjadi penyebab banyak pembobolan akun. -
Tidak Bisa Ditebak
Private key bukan berupa rangkaian kata atau angka yang dapat diingat manusia. Kunci tersebut merupakan nilai kriptografi acak dengan tingkat kompleksitas yang sangat tinggi.Akibatnya, serangan brute-force maupun dictionary attack menjadi tidak relevan karena tidak ada password yang dapat ditebak.
-
Tidak Bocor Saat Server Diretas
Server hanya menyimpan public key. Apabila terjadi kebocoran data, penyerang hanya memperoleh public key yang tidak dapat digunakan untuk login. Private key tetap berada di perangkat pengguna dan tidak pernah meninggalkannya.
Perbandingan Passkey dan Password
Jika dibandingkan secara langsung, passkey unggul dalam hampir seluruh aspek keamanan. Dari sisi penyimpanan, password harus diingat pengguna atau disimpan dalam password manager, sedangkan passkey menggunakan pasangan kunci kriptografi yang tersimpan secara aman di perangkat.
Dalam hal perlindungan terhadap phishing, password masih sangat rentan, sementara passkey secara alami dirancang agar tidak dapat dicuri melalui situs palsu. Password juga sering digunakan kembali di berbagai layanan sehingga meningkatkan risiko credential stuffing. Sebaliknya, setiap passkey hanya berlaku untuk satu situs sehingga tidak bisa dipakai di layanan lain.
Ketika server mengalami kebocoran data, password berpotensi ikut bocor. Pada sistem passkey, server hanya menyimpan public key sehingga dampak kebocoran jauh lebih kecil. Selain itu, passkey menawarkan pengalaman pengguna yang lebih praktis karena login cukup menggunakan biometrik atau PIN perangkat tanpa perlu mengingat kombinasi password yang rumit.
Statistik Menunjukkan Passkey Lebih Efektif
Berbagai penelitian menunjukkan bahwa passkey mampu mengurangi risiko pembobolan akun secara signifikan. Google melaporkan bahwa akun yang menggunakan passkey memiliki kemungkinan 99,9% lebih kecil untuk diretas dibandingkan akun yang hanya mengandalkan password.
Dua metode serangan yang paling sering digunakan, yaitu phishing dan credential stuffing, hampir tidak lagi efektif terhadap akun yang menggunakan passkey. Sementara itu, berbagai laporan keamanan juga menunjukkan bahwa password masih menjadi penyebab utama banyak insiden keamanan.
Laporan Verizon Data Breach Investigations Report (DBIR) 2025 menyebutkan bahwa sekitar 80% pelanggaran keamanan masih berkaitan dengan password yang lemah, mudah ditebak, atau digunakan berulang pada banyak layanan.
Analogi Sederhana untuk Memahami Passkey
Bayangkan Anda memiliki sebuah brankas di bank. Pada sistem password, bank dan Anda sama-sama mengetahui nomor kombinasi brankas tersebut. Jika nomor itu bocor, siapa pun dapat membuka brankas.
Sebaliknya, pada sistem passkey, bank hanya memiliki lubang kunci (public key), sedangkan Anda memegang kunci fisiknya (private key). Bank tidak pernah menyimpan ataupun melihat kunci Anda. Saat ingin membuka brankas, Anda cukup menunjukkan bahwa Anda memiliki kunci yang benar tanpa harus menyerahkannya kepada siapa pun.
Konsep inilah yang membuat passkey jauh lebih aman dibandingkan password.
Keunggulan Passkey bagi Pengguna
Selain meningkatkan keamanan, passkey juga menawarkan pengalaman penggunaan yang jauh lebih nyaman. Beberapa manfaat utamanya antara lain:
- Login lebih cepat tanpa mengetik password.
- Tidak perlu menghafal puluhan hingga ratusan password berbeda.
- Mendukung autentikasi menggunakan sidik jari, Face ID, Touch ID, atau PIN perangkat.
- Dapat disinkronkan secara otomatis melalui layanan seperti Apple iCloud Keychain, Google Password Manager, maupun pengelola password pihak ketiga seperti 1Password.
- Mendukung berbagai sistem operasi modern, termasuk iOS, Android, Windows, macOS, serta browser populer seperti Chrome, Safari, Firefox, dan Microsoft Edge.
Selama lebih dari enam dekade, password memang menjadi fondasi autentikasi digital. Namun, perkembangan ancaman siber membuat pendekatan tersebut semakin sulit dipertahankan. Saat ini, rata-rata pengguna internet memiliki lebih dari 100 akun digital. Mengingat seluruh password yang unik untuk setiap akun hampir mustahil dilakukan tanpa bantuan password manager.
Akibatnya, banyak orang mengambil jalan pintas, seperti menggunakan password yang sama di berbagai layanan, memilih password sederhana, atau bahkan menuliskannya di secarik kertas. Kebiasaan tersebut justru membuka peluang bagi penjahat siber untuk mengambil alih akun dengan lebih mudah.
Selain itu, berbagai kebocoran data berskala besar dalam beberapa tahun terakhir telah mengekspos miliaran kombinasi email dan password yang kini beredar di forum maupun pasar gelap di internet. Data tersebut sering dimanfaatkan dalam serangan credential stuffing terhadap berbagai layanan populer.
Passkey hadir untuk mengatasi seluruh masalah tersebut dengan menghilangkan konsep "rahasia bersama" antara pengguna dan server.
Adopsi Passkey Terus Meningkat di Seluruh Dunia
Perkembangan passkey dalam beberapa tahun terakhir berlangsung sangat cepat. Berbagai organisasi dan perusahaan teknologi berlomba mengimplementasikan standar ini sebagai metode autentikasi utama.
Menurut FIDO Alliance, pada tahun 2026 lebih dari 15 miliar akun di seluruh dunia telah mendukung login menggunakan passkey. Angka tersebut menunjukkan bahwa teknologi ini telah memasuki tahap adopsi massal dan bukan lagi sekadar fitur tambahan.
Google juga mencatat perkembangan yang sangat signifikan. Hingga akhir 2025, jumlah login menggunakan passkey telah melampaui 1 miliar kali setiap bulan. Selain itu, berdasarkan data Google Identity, akun yang menggunakan passkey memiliki risiko diretas 99,9 persen lebih rendah dibandingkan akun yang masih mengandalkan password sebagai satu-satunya metode autentikasi.
Apple pun mengambil langkah yang lebih agresif dengan menjadikan passkey sebagai metode login bawaan untuk akun iCloud baru. Pengumuman tersebut disampaikan dalam ajang WWDC 2025 dan menjadi sinyal kuat bahwa perusahaan tersebut ingin mempercepat transisi menuju dunia tanpa password.
Microsoft juga memiliki visi serupa melalui konsep "passwordless by default" untuk akun Microsoft 365 baru. Artinya, pengguna baru akan lebih diarahkan menggunakan passkey dibandingkan password tradisional.
Sementara itu, GitHub telah menyediakan dukungan passkey bagi lebih dari 100 juta penggunanya sejak awal 2024. Amazon juga mengikuti langkah yang sama dengan menghadirkan dukungan passkey untuk layanan belanjanya di Amerika Serikat, Inggris, dan Australia.
Perkembangan tersebut menunjukkan bahwa passkey kini telah menjadi bagian penting dari ekosistem digital modern.
Mengapa Pengembang Perlu Mengadopsi Passkey?
Bagi para pengembang aplikasi, meningkatnya adopsi passkey membawa pesan yang sangat jelas.
Pengguna kini mulai mengharapkan proses login yang cepat, sederhana, sekaligus aman. Dalam 12 hingga 18 bulan ke depan, aplikasi yang belum menyediakan opsi login menggunakan passkey berpotensi dianggap tertinggal dibandingkan aplikasi pesaing.
Selain meningkatkan keamanan, pengalaman pengguna (user experience) juga menjadi alasan utama. Semakin mudah seseorang masuk ke sebuah aplikasi, semakin besar kemungkinan mereka akan tetap menggunakan layanan tersebut.
Banyak perusahaan bahkan mulai melihat passkey sebagai investasi yang mampu meningkatkan tingkat konversi pengguna sekaligus menurunkan biaya dukungan pelanggan yang selama ini banyak berkaitan dengan reset password.
Apakah Passkey Memiliki Kekurangan?
Meskipun menawarkan berbagai keunggulan, passkey bukan berarti tanpa kekurangan. Seperti teknologi lainnya, terdapat sejumlah kompromi yang masih perlu diperhatikan.
-
Pemulihan Akun Masih Menjadi Tantangan
Salah satu titik lemah terbesar passkey bukan berada pada proses login, melainkan proses pemulihan akun. Apabila pengguna kehilangan seluruh perangkat yang telah terdaftar, proses pemulihan biasanya kembali mengandalkan email atau kode cadangan (backup code).Ironisnya, jalur pemulihan tersebut justru menjadi sasaran baru para penjahat siber. Banyak serangan modern kini tidak lagi mencoba mencuri password, melainkan menargetkan mekanisme reset akun melalui email atau rekayasa sosial (social engineering). Karena itu, pengembang perlu merancang proses pemulihan akun dengan sangat hati-hati agar tidak menjadi celah keamanan baru.
-
Ketergantungan pada Ekosistem
Saat ini sebagian besar passkey disinkronkan melalui layanan cloud seperti Apple iCloud Keychain maupun Google Password Manager. Pendekatan ini memang memberikan kenyamanan karena pengguna dapat menggunakan passkey di berbagai perangkat.Namun, perpindahan antar ekosistem masih belum sepenuhnya mulus. Sebagai contoh, seseorang yang berpindah dari iPhone ke Android terkadang masih harus membuat ulang sebagian passkey yang dimilikinya.
Walaupun FIDO Alliance terus mengembangkan standar pertukaran kredensial (Credential Exchange Specification) dan berbagai aplikasi seperti 1Password maupun Bitwarden mulai mendukung migrasi lintas platform, proses perpindahan tersebut belum sepenuhnya tanpa hambatan.
-
Sinkronisasi Cloud Memiliki Konsekuensi Keamanan
Tidak semua passkey memiliki tingkat keamanan yang sama. Passkey yang tersimpan pada hardware security key bersifat device-bound, artinya hanya dapat digunakan pada perangkat tersebut dan tidak bisa disalin.Sebaliknya, passkey yang disinkronkan melalui cloud memang jauh lebih praktis, tetapi tingkat keamanannya ikut bergantung pada keamanan akun cloud pengguna. Karena alasan inilah standar keamanan NIST mengategorikan passkey yang disinkronkan sebagai Authentication Assurance Level (AAL) 2, bukan AAL3 yang merupakan tingkat keamanan tertinggi.
-
Dukungan Belum Merata
Walaupun dukungan passkey semakin luas, beberapa kondisi masih menjadi tantangan. Misalnya pada:- komputer bersama (shared device),
- perangkat perusahaan yang memiliki kebijakan keamanan khusus,
- sistem operasi lama,
- kios digital,
- Smart TV,
- aplikasi lawas (legacy application).
Pada perangkat tersebut, penggunaan passkey terkadang belum tersedia atau masih kurang praktis dibandingkan password.
-
Password Cadangan Masih Menjadi Celah
Sebagian besar layanan digital saat ini masih mempertahankan login menggunakan password sebagai metode cadangan. Artinya, meskipun passkey telah tersedia, akun tetap berisiko diserang selama password masih dapat digunakan.Dengan kata lain, manfaat maksimal passkey baru benar-benar dirasakan apabila pengguna sepenuhnya beralih menggunakan metode autentikasi tersebut.
Passkey Lebih Mudah Digunakan daripada Password
Selain meningkatkan keamanan, passkey juga menawarkan pengalaman pengguna yang jauh lebih sederhana. Saat login menggunakan password, seseorang biasanya harus mengingat password, mengetiknya, memperbaiki jika salah, kemudian memasukkan kode OTP dari SMS atau aplikasi autentikator.
Keseluruhan proses tersebut rata-rata membutuhkan waktu sekitar 20 hingga 30 detik. Sebaliknya, login menggunakan passkey hanya memerlukan satu langkah sederhana. Pengguna cukup melakukan verifikasi menggunakan:
- Face ID,
- sidik jari,
- atau PIN perangkat.
Tanpa perlu mengetik password maupun memasukkan OTP, proses login biasanya selesai hanya dalam waktu sekitar 2 hingga 3 detik. Google bahkan melaporkan bahwa login menggunakan passkey dapat berlangsung sekitar empat kali lebih cepat dibandingkan login menggunakan password tradisional.
Pengalaman Pengguna Jauh Lebih Baik
Keunggulan passkey tidak hanya terasa saat login, tetapi juga ketika membuat akun baru. Pada sistem lama, pengguna harus:
- membuat password yang kuat,
- mengulang pengetikan password,
- memenuhi berbagai aturan kompleksitas password.
Dengan passkey, seluruh proses tersebut hilang. Pengguna cukup melakukan verifikasi biometrik satu kali, kemudian passkey langsung dibuat secara otomatis.
Hal ini membuat proses pendaftaran akun menjadi jauh lebih cepat dan mengurangi kemungkinan pengguna meninggalkan proses registrasi di tengah jalan.
Penjelasan Berdasarkan Standar NIST
Menurut standar keamanan NIST SP 800-63B, passkey yang menggunakan verifikasi pengguna dikategorikan sebagai Authentication Assurance Level (AAL) 2. Tingkat ini setara dengan penggunaan password yang dikombinasikan dengan aplikasi autentikator.
Sementara itu, untuk mencapai AAL3, autentikasi harus menggunakan perangkat keras khusus yang tahan terhadap upaya ekstraksi fisik, seperti hardware security key.
Artinya:
- passkey yang disinkronkan melalui cloud memenuhi AAL2,
- sedangkan passkey yang tersimpan pada perangkat keras seperti YubiKey dapat memenuhi persyaratan AAL3.
Apa Implikasinya bagi Pengembang?
Bagi sebagian besar aplikasi konsumen maupun layanan bisnis (B2B), passkey sudah cukup untuk menggantikan kombinasi password, SMS OTP, maupun aplikasi autentikator.
Pengalaman pengguna menjadi lebih sederhana karena autentikasi multifaktor sudah terintegrasi dalam satu proses login. Namun, pada sektor yang memiliki regulasi ketat seperti:
- perbankan,
- lembaga keuangan,
- instansi pemerintah,
pengembang tetap perlu memastikan apakah regulator mengharuskan penggunaan autentikator tambahan atau tingkat Authentication Assurance Level tertentu.
Begitu pula pada aplikasi perusahaan yang menggunakan penyedia identitas (Identity Provider) seperti Okta, Azure Active Directory, maupun Authgear. Administrator harus memastikan bahwa login menggunakan passkey diakui sebagai autentikasi multifaktor sesuai kebijakan keamanan organisasi.
Strategi Migrasi dari Password ke Passkey
Meskipun passkey menawarkan banyak keuntungan, proses migrasi sebaiknya dilakukan secara bertahap. Untuk aplikasi baru, pengembang sangat disarankan mengimplementasikan passkey sejak awal sehingga tidak perlu lagi membangun sistem autentikasi berbasis password.
Sementara itu, aplikasi yang telah berjalan sebaiknya menambahkan passkey sebagai opsi login tanpa langsung menghapus password. Pendekatan ini memberi kesempatan kepada pengguna untuk beradaptasi secara bertahap.
Bagi perusahaan yang masih menggunakan sistem autentikasi lama seperti Active Directory atau LDAP, passkey tetap dapat diterapkan pada aplikasi yang digunakan pelanggan tanpa harus mengganti seluruh infrastruktur internal.
Sedangkan untuk sistem lama (legacy system) yang belum mendukung passkey, setidaknya seluruh akun perlu dilindungi menggunakan Multi-Factor Authentication (MFA) agar risiko serangan berbasis password dapat dikurangi.
Kesimpulan
Adopsi passkey pada tahun 2026 menunjukkan bahwa dunia sedang bergerak menuju era autentikasi tanpa password. Dukungan dari Apple, Google, Microsoft, GitHub, Amazon, dan berbagai perusahaan teknologi lainnya membuktikan bahwa passkey bukan lagi teknologi masa depan, melainkan solusi keamanan yang sudah digunakan secara luas saat ini.
Meskipun masih memiliki sejumlah tantangan, seperti proses pemulihan akun, kompatibilitas lintas platform, dan dukungan pada sistem lama, manfaat yang ditawarkan jauh lebih besar dibandingkan kelemahannya. Passkey mampu menghadirkan keamanan yang lebih tinggi, pengalaman login yang lebih cepat, sekaligus mengurangi berbagai risiko yang selama ini melekat pada penggunaan password.
Bagi pengembang aplikasi, organisasi, maupun pengguna umum, sekarang adalah waktu yang tepat untuk mulai mengadopsi passkey. Dengan semakin luasnya dukungan industri dan meningkatnya ancaman siber terhadap password, penggunaan passkey diperkirakan akan menjadi standar baru autentikasi digital dalam beberapa tahun mendatang.
