𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Translated for your language. Read the original.

AI-assisted draft.

GyaanSetu Editorialkemarin dulu1min read

𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗱𝗶 𝟮𝟬𝟮𝟲: 𝗦𝗲𝗯𝘂𝗮𝗵 𝗣𝗮𝗻𝗱𝘂𝗮𝗻 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗣𝗿𝗮𝗸𝘁𝗶𝘀

Kata sandi sudah tidak aman lagi. Mereka bergantung pada rahasia bersama. Jika sebuah server menyimpan kata sandi, Anda melipatgandakan permukaan serangan (attack surface) Anda.

Data menunjukkan bahwa risikonya sangat besar. Pencurian kredensial menyebabkan sebagian besar pelanggaran data. Malware infostealer memanen jut ini kata sandi setiap tahun. Bahkan 2FA pun memiliki celah. Kode SMS rentan terhadap SIM swapping. Token TOTP rentan terhadap phishing waktu nyata (real-time).

Passkey mengubah hal ini. Mereka menggunakan kriptografi kunci publik melalui WebAuthn dan FIDO2.

Cara kerjanya: • Perangkat Anda membuat pasangan kunci publik-privat. • Kunci privat tetap berada di perangkat keras Anda. • Server hanya mendapatkan kunci publik. • Saat login, perangkat Anda menandatangani tantangan (challenge) acak. • Tidak ada rahasia yang dikirimkan melalui jaringan.

Ini menghentikan phishing karena passkey terikat pada domain spesifik Anda. Passkey untuk situs Anda tidak akan berfungsi di situs palsu.

Cara mengimplementasikannya: Jangan menulis kode WebAuthn mentah. Itu mudah ditembus. Gunakan SimpleWebAuthn untuk TypeScript dan Node.js. Library ini menangani perhitungan matematika yang rumit untuk Anda.

Instalasi: npm install @simplewebauthn/server @simplewebauthn/browser

Kesalahan umum yang harus dihindari: • Menggunakan kembali challenge. Challenge harus hanya dapat digunakan satu kali dan dibuat oleh server. • Mengabaikan counter. Selalu perbarui credential counter untuk mendeteksi kunci yang dikloning. • Melupakan pemulihan. Jika pengguna kehilangan perangkat mereka, mereka kehilangan akun mereka. Bangun jalur pemulihan terlebih dahulu. • UX yang buruk. Alur lintas perangkat (cross-device) sering kali memiliki tingkat penyelesaian yang lebih rendah. Sediakan metode cadangan (fallback) selama migrasi.

Strategi migrasi:

Tahap 1: Tawarkan passkey sebagai pilihan opsional (opt-in) setelah login kata sandi.
Tahap 2: Jadikan passkey sebagai metode utama setelah sebagian besar pengguna mengadopsinya.
Tahap 3: Wajibkan passkey untuk semua pendaftaran baru.

Industri telah bergerak maju. Google melaporkan tingkat kompromi akun yang jauh lebih rendah dengan passkey. Platform besar seperti Amazon dan TikTok telah menggunakannya. Jika Anda tidak mendukungnya, Anda akan tertinggal.

Source: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj

𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Continue reading

𝗪𝗵𝘆 𝗣𝗵𝗶𝗹𝗶𝗽𝗽𝗶𝗻𝗲 𝗦𝗠𝗘𝘀 𝗡𝗲𝗲𝗱 𝗖𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗶𝗻 𝟮𝟬𝟮𝟲

Praktik Terbaik Keamanan Frontend

𝗛𝗶𝗱𝗶𝗻𝗴 𝗶𝘀 𝗡𝗼𝘁 𝘁𝗵𝗲 𝗦𝗮𝗺𝗲 𝗮𝘀 𝗦𝗲𝗰𝘂𝗿𝗶𝗻𝗴

𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗣𝗵𝗼𝗻𝗲, 𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗟𝗶𝗳𝗲

Your SaaS Is Leaking Money