𝗞𝗲𝗵𝗶𝗹𝗮𝗻𝗴𝗮𝗻 𝗣𝗼𝗻𝘀𝗲𝗹 𝗔𝗻𝗱𝗮, 𝗞𝗲𝗵𝗶𝗹𝗮𝗻𝗴𝗮𝗻 𝗛𝗶𝗱𝘂𝗽 𝗔𝗻𝗱𝗮
Passkey bertujuan untuk menggantikan kata sandi. Sebagian besar perusahaan menginginkannya. Data menunjukkan bahwa 93% organisasi menguji passkey berbasis WebAuthn. Namun, hanya 13% yang menerapkannya dalam skala besar.
Insinyur berfokus pada proses login yang sempurna. Anda membangun sistem di mana pemindaian biometrik berfungsi dalam hitungan detik. Ini adalah happy path.
Industri menemui jalan buntu pada unhappy path. Ini adalah pemulihan perangkat.
Passkey memindahkan keamanan dari kata sandi yang dibagikan ke kunci privat yang terikat pada perangkat keras (hardware-bound private key). Ponsel Anda menggunakan biometrik untuk membuka kunci ini. Sensor menghitung jarak matematis antara pemindaian langsung dan templat yang terdaftar. Jika kecocokan memenuhi ambang batas, perangkat keras akan melepaskan kunci tersebut.
Hal ini menciptakan masalah besar. Jika kunci tersebut hanya tersimpan di satu perangkat, kehilangan perangkat tersebut berarti kehilangan identitas Anda.
Perusahaan seperti Apple dan Google menggunakan sinkronisasi cloud untuk membantu. Ini menambah kompleksitas bagi pengembang. Anda harus memilih antara kunci perangkat keras dengan keamanan tinggi atau kunci tersinkronisasi yang mudah digunakan.
Banyak pengembang mencoba mengatasi hal ini dengan pemulihan email yang lemah. Ini merusak keamanan. Anda membangun pintu brankas tetapi membiarkan jendela belakang terbuka. Tautan email tidak seaman passkey kriptografis.
Di CaraComp, kami berfokus pada metrik perbandingan. Kami percaya bahwa autentikasi membutuhkan jaring pengaman profesional. Algoritma yang hebat akan gagal jika arsitektur di sekitarnya lemah.
Tujuan bagi pengembang bukanlah pencocokan wajah yang lebih baik. Kita sudah memiliki pemindaian wajah yang akurat. Tujuannya adalah protokol pemulihan yang lebih baik. Kita membutuhkan cara untuk memulihkan akun tanpa kembali ke risiko phishing.
Edge cases menentukan reputasi Anda dalam keamanan.
Bagaimana Anda menangani pemulihan akun dalam sistem passwordless Anda? Apakah Anda menghindari pengaturan ulang email yang tidak aman?
Optional learning community: https://t.me/GyaanSetuAi