Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
Poin-poin penting dari ZDNET
- Kunci sandi memungkinkan Anda masuk tanpa mengetik atau mengingat kata sandi.
- Tidak seperti kata sandi, kata sandi ini tahan terhadap phishing.
- Kunci sandi yang dapat disinkronkan memudahkan proses masuk yang aman di seluruh perangkat.
Selama setahun terakhir ini, kunci sandi telah menjadi hal yang umum. Tingkat adopsi teknologi ini luar biasa dan tidak menunjukkan tanda-tanda melambat. Jika pengalaman Anda seperti pengalaman saya, Anda mungkin diminta untuk menyimpan kunci sandi baru setidaknya sekali atau dua kali seminggu.
Secara keseluruhan, saya sekarang memiliki setidaknya 40 kunci sandi yang disimpan. Saya dapat menggunakan kunci sandi tersebut untuk melewati perintah kata sandi sepenuhnya dan masuk dengan biometrik (wajah atau sidik jari) di banyak situs web, termasuk tujuan belanja utama seperti Costco, Target, Amazon, dan Walmart, serta situs yang lebih teknis seperti Dell, Adobe, dan Dropbox. Perusahaan yang mengelola pendaftaran nama domain saya menggunakan kunci sandi, begitu pula perusahaan listrik, credit union, dan kantor dokter saya.
Juga: Saya membuang kata sandi untuk kunci sandi karena satu alasan – dan itu bukan seperti yang Anda pikirkan
Namun saya masih mendengar dari pembaca yang belum begitu memahami apa itu kunci sandi, cara kerjanya, atau mengapa lebih baik daripada kata sandi.
Setelah pertukaran online yang panjang mengenai subjek tersebut dengan seorang teman yang akhirnya mendapatkan jawaban “Aha!” Saat ini, saya rasa saya sudah tahu mengapa topik ini sangat membingungkan: Kunci sandi bukanlah hal yang nyata — ini adalah abstraksi. Akibatnya, sebagian besar upaya untuk menjelaskan teknologi terhenti pada detail teknis.
Bahkan orang paling tidak teknis yang Anda kenal pun dapat memberi tahu Anda apa itu kata sandi — kombinasi huruf dan angka, mungkin juga dengan simbol. Anda dapat membuat kata sandi sendiri menggunakan kata umum atau nama atau tanggal, dan Anda bahkan dapat menuliskannya di catatan tempel. Jika Anda seperti kebanyakan orang, Anda secara rutin menggunakan kembali kata sandi yang sama, atau beberapa variasi kata sandi, meskipun Anda tahu itu mungkin ide yang buruk.
Juga: Jika kita menginginkan masa depan tanpa kata sandi, mari kita luruskan kisah kunci sandi kita
Sebaliknya, kunci sandi sulit dijelaskan. Jika saya memberi tahu Anda bahwa ini adalah kredensial digital aman yang dihasilkan dari kunci publik dan kunci pribadi, dapatkah Anda membentuk gambaran mental yang sesuai dengan kata-kata itu? Mungkin tidak. Mengubur definisi secara lebih rinci tidak akan membantu.
Tapi saya pikir kita bisa mencapainya, bersama-sama, dalam bahasa non-teknis yang sederhana (kebanyakan) tanpa banyak jargon, hanya dengan membaca pertanyaan-pertanyaan yang terus saya dengar dari pembaca.
Apa itu kunci sandi?
Kunci sandi adalah kredensial yang aman dan tersimpan yang memungkinkan Anda masuk ke situs web atau layanan web tertentu dengan membuktikan identitas Anda menggunakan biometrik atau PIN. Kunci sandi ditentukan menggunakan Standar Otentikasi Web (WebAuthn)..
Apa yang terjadi saat Anda membuat kunci sandi?
Saat Anda membuat kunci sandi, Anda sebenarnya membuat dan menyimpan dua informasi digital terenkripsi yang cocok — satu di situs web atau layanan yang Anda masuki (dalam standar ini disebut sebagai pihak yang mengandalkan), dan yang kedua di perangkat Anda. Kunci-kunci tersebut hanya dapat bekerja bersama; yang satu tidak ada gunanya tanpa yang lain.
Juga: Cara kerja kunci sandi: Panduan lengkap untuk masa depan tanpa kata sandi yang tak terelakkan
Begini cara kerjanya:
Anda pergi ke situs web dan masuk seperti biasa dengan kata sandi Anda. Setelah Anda masuk, Anda melihat pesan: Apakah Anda ingin membuat kunci sandi? Dan Anda berkata, “Ya, saya akan melakukannya.” Atau, jika situs web tidak menawarkan bantuan untuk membuat kunci sandi, temukan opsi di halaman pengaturan keamanan untuk akun Anda. Tangkapan layar berikut menunjukkan apa yang Anda lihat di Dell.com, misalnya.
Anda mungkin perlu mempelajari pengaturan untuk membuat kunci sandi untuk situs web atau layanan
Tangkapan layar oleh Ed Bott/ZDNET
Anda harus memilih autentikator mana yang akan digunakan untuk membuat kunci sandi (lebih lanjut tentang itu sebentar lagi), namun selain itu, Anda tidak perlu melakukan hal lain. Anda telah masuk menggunakan kata sandi Anda, sehingga situs web mengetahui bahwa Anda berwenang untuk menggunakan akun tersebut.
Situs web atau layanan yang Anda sambungkan menyimpan kunci enkripsi unik di servernya, dan pengautentikasi Anda (pengelola perangkat atau kata sandi Anda) membuat kunci enkripsi pribadi unik kedua dan menyimpannya di lokasi aman di perangkat Anda.
Itulah kunci sandinya — dua rahasia, satu di setiap ujungnya, yang bekerja sama untuk menetapkan hak Anda menggunakan akun tersebut. Nama pengguna dan kata sandi Anda tidak lagi terlibat, dan tidak ada seorang pun yang dapat melihat kunci enkripsi pribadi di komputer Anda, bahkan Anda pun tidak.
Pengautentikasi mana yang harus saya gunakan?
Saat Anda membuat kunci sandi, Anda memilih autentikator mana yang akan digunakan. Lokasi defaultnya adalah perangkat itu sendiri, seperti PC yang mendukung otentikasi biometrik Windows Hello. Anda juga dapat memilih pengelola kata sandi yang mendukung kunci sandi atau bahkan menggunakan kunci keamanan perangkat keras.
Mengapa itu penting? Jika Anda menggunakan PC atau perangkat seluler atau kunci keamanan perangkat keras sebagai pengautentikasi, Anda membuat a kunci sandi yang terikat perangkat. Ini hanya akan berfungsi jika digabungkan dengan perangkat keras tersebut. Jika Anda mencoba masuk di perangkat lain, atau jika kunci keamanan perangkat keras tidak berguna, Anda tidak akan memiliki akses ke kunci sandi tersebut.
Sebaliknya, pengelola kata sandi dapat menyimpan kunci sandi yang dapat disinkronkan dan dapat Anda gunakan di beberapa perangkat. Pengelola Kata Sandi Google dan Rantai Kunci iCloud dapat menyinkronkan kunci sandi Anda di seluruh perangkat. Begitu juga dengan pengelola kata sandi pihak ketiga seperti 1Password atau Bitwarden. (Untuk daftar pengautentikasi kunci sandi terkini, lihat ini halaman GitHub.)
Lihat juga: Pengguna Windows 11 mendapatkan cara yang lebih nyaman untuk menyimpan kunci sandi – begini cara kerjanya
Jika Anda sudah terbiasa menggunakan pengelola kata sandi yang mendukung kunci sandi, itu adalah pilihan terbaik Anda. Anda akan dapat membuat, mengelola, dan menggunakan kunci sandi menggunakan antarmuka yang sama dengan yang sudah Anda gunakan.
Dan inilah tip praktisnya: Anda dapat menggunakan beberapa pengautentikasi kunci sandi dan membuat beberapa kunci sandi untuk situs yang sama. Untuk beberapa situs bernilai tinggi, saya telah membuat kunci sandi pada dua atau lebih kunci perangkat keras dan di 1Password, sehingga memberi saya pilihan cara untuk masuk dengan aman ke situs tersebut, bahkan pada perangkat keras yang tidak saya kenal.
Bagaimana cara menggunakan kunci sandi?
Saat Anda mengunjungi situs web tempat Anda sebelumnya membuat kunci sandi, Anda memasukkan alamat email atau nama pengguna seperti biasa, namun alih-alih melihat kotak tempat Anda memasukkan kata sandi, Anda melihat pesan: Apakah Anda ingin masuk dengan kunci sandi Anda? Anda menjawab ya dan klik tombol untuk kunci sandi yang Anda simpan.
Anda perlu membuktikan identitas Anda sebelum dapat menyimpan kunci sandi
Tangkapan layar oleh Ed Bott/ZDNET
Situs web mengirimkan kuncinya ke PC atau pengelola kata sandi Anda untuk diautentikasi dan mengatakan, “Orang yang terkait dengan kunci ini ingin mengakses akunnya. Anda setuju?”
Pengautentikasi Anda (Windows Hello di PC, Rantai Kunci iCloud di perangkat Apple, atau kunci perangkat keras) mengonfirmasi bahwa permintaan tersebut berasal dari sumber yang valid dan bukan situs web phishing; kemudian ia memeriksa kunci tersebut dengan informasi yang tersimpan di kunci sandi Anda, mengonfirmasi bahwa kunci tersebut cocok, dan meminta Anda mengidentifikasi diri Anda dengan biometrik atau PIN.
Selain itu: Anda sudah menggunakan pendekatan perangkat lunak saja untuk autentikasi kunci sandi – mengapa hal itu penting
Saat Anda melakukannya, pengautentikasi akan memberi tahu situs web bahwa Anda telah membuktikan identitas Anda dan bahwa Anda memiliki kunci sandi yang cocok. Anda sekarang masuk, sama seperti jika Anda menggunakan kata sandi.
PC atau pengelola kata sandi Anda tidak pernah mengirimkan kunci sandi ke situs web, sehingga tidak dapat disadap atau disalin. Yang dilakukannya hanyalah menegaskan bahwa Anda adalah Anda dan kunci sandinya cocok.
Di mana kunci sandi disimpan?
Kunci sandi Anda disimpan di lokasi yang aman di ponsel atau komputer Anda, dilindungi oleh perangkat keras kriptografi — TPM di PC Windows, Secure Enclave di perangkat Mac atau iOS, atau Lingkungan Eksekusi Tepercaya di perangkat Android.
Hanya pengautentikasi yang dapat mengakses kunci sandi, dan ini hanya dapat dilakukan setelah Anda membuktikan identitas Anda. Kunci sandi tidak dapat diakses oleh sistem file, yang berarti Anda tidak dapat menggunakan File Explorer atau Finder untuk menelusuri koleksi kunci sandi Anda.
Juga: Apple, Microsoft, atau Google: Pengautentikasi platform siapa yang mengatur masa depan kunci sandi kita?
Anda tidak dapat membuka kunci sandi dan memeriksa isinya. Anda tidak dapat membuat salinan kunci sandi yang disimpan di ponsel atau komputer Anda, dan Anda tidak dapat menggunakan kunci sandi secara tidak sengaja jika orang jahat membodohi Anda dengan situs web palsu yang dirancang agar terlihat seperti situs web sah.
Apa yang terjadi pada kata sandi saya setelah saya membuat kunci sandi?
Suatu hari nanti, bertahun-tahun dari sekarang, kita mungkin hidup di dunia tanpa kata sandi. Hari itu bukan hari ini.
Juga: Bagaimana saya dengan mudah mengatur kunci sandi melalui pengelola kata sandi saya – dan mengapa Anda juga harus melakukannya
Untuk saat ini, kunci sandi merupakan alternatif dari kata sandi, dan kata sandi Anda biasanya tetap tersedia sebagai cara untuk masuk ke situs tempat Anda membuat kunci sandi. Beberapa layanan memungkinkan Anda menghapus kata sandi setelah membuat beberapa kunci sandi — Anda dapat melakukannya dengan akun Microsoft Anda, misalnya — tetapi opsi tersebut masih jarang.
Mengapa kunci sandi lebih aman daripada kata sandi?
Saat Anda menggunakan kata sandi, inilah yang terjadi: Anda membuka situs web, memasukkan nama pengguna dan kata sandi, lalu mengklik tombol. Jika semuanya berjalan baik, Anda sudah masuk. Namun ada banyak hal yang bisa salah.
Sebagai permulaan, kata sandi bisa saja di-phishing. Jika orang jahat dapat membuat situs web yang terlihat seperti halaman masuk bank Anda, Anda mungkin akan tertipu dengan memasukkan kata sandi di sana, sehingga orang jahat tersebut dapat masuk sebagai Anda dan mencuri dana di rekening bank Anda.
Kata sandi dapat ditebak, baik dengan serangan brute force yang mencoba setiap kemungkinan kombinasi huruf, angka, dan simbol, atau oleh penyerang yang mengetahui kata sandi Anda yang mudah ditebak. Tanyakan saja pada Donald Trump, siapa password akun Twitter-nya tidak sulit ditebak — kamu dipecat pada tahun 2014 dan maga2020! enam tahun kemudian.
Juga: Saya mengganti kata sandi akun Microsoft saya dengan kunci sandi – dan Anda juga harus melakukannya
Kata sandi juga bisa dicuri. Keylogger atau Trojan akses jarak jauh dapat mengirimkan kata sandi Anda ke penyerang, atau mereka dapat menggunakan opsi “selancar bahu” yang sangat berteknologi rendah — mengamati saat Anda mengetikkan nama pengguna dan kata sandi, mungkin dengan bantuan kamera video.
Bahkan jika opsec Anda sempurna, kata sandi Anda masih bisa dibajak jika situs web melakukan pekerjaan yang buruk dalam menyimpan dan mengamankannya.
Terakhir, Anda dapat (secara tidak bijaksana) menggunakan kembali kombinasi nama pengguna dan kata sandi tersebut di situs lain, dan Anda akan rentan jika kata sandi untuk satu situs bocor atau terkena phishing.
Kunci sandi kebal terhadap serangan tersebut. Phisher yang terampil mungkin membodohi Anda dengan berpikir bahwa situs web palsu itu nyata, namun ia tidak akan pernah memiliki akses ke kunci sandi, karena domain dan kunci enkripsi terkait tidak cocok. Dan data tersebut tidak dapat dicuri, karena data tersebut tidak pernah meninggalkan penyimpanan amannya di perangkat Anda.
Satu-satunya cara untuk membuka kuncinya adalah jika Anda mengidentifikasi diri Anda dengan biometrik atau PIN setelah pengautentikasi Anda mendapat permintaan sah dari server jarak jauh.
Apakah saya perlu khawatir tentang membuat kunci sandi menjadi unik?
Selama bertahun-tahun, Anda telah membaca kolom saran yang memberi tahu Anda betapa pentingnya memiliki kata sandi unik untuk setiap situs. Jadi, apakah Anda perlu menerapkan tingkat kehati-hatian yang sama dan membuat kunci sandi unik untuk setiap situs yang mengizinkannya?
Juga: Saya mengganti kata sandi akun Microsoft saya dengan kunci sandi – dan Anda juga harus melakukannya
Ha! Itu hampir merupakan pertanyaan jebakan. Kunci sandi itu unik menurut definisinya. Setiap kunci sandi terdiri dari dua kunci enkripsi terpisah yang dibuat untuk digunakan hanya dengan situs atau layanan tempat kunci tersebut dibuat.
Namun, Anda dapat memiliki beberapa kunci sandi untuk satu situs. Jika keduanya terikat pada perangkat, Anda mungkin memiliki satu untuk laptop dan satu lagi untuk ponsel Anda. Atau Anda mungkin memiliki satu atau lebih kunci perangkat keras seperti YubiKey. Seperti yang saya sebutkan sebelumnya, membuat kunci sandi yang dapat disinkronkan di pengelola kata sandi Anda adalah pilihan yang paling nyaman.
