Memasuki 2026, lanskap keamanan digital mengalami pergeseran yang sangat drastis. Kita tidak lagi melihat password sebagai benteng utama, melainkan mulai meninggalkannya sama sekali. Angka terbaru menunjukkan bahwa passkey kini mengamankan lebih dari 15 miliar akun di seluruh dunia. Tren ini bukan sekadar kenaikan biasa, tapi dipicu oleh keputusan besar para raksasa teknologi yang menjadikan passkey sebagai metode bawaan, bukan lagi sekadar fitur tambahan.

Adopsi Cepat Passwordless di Sektor Vital

Transformasi di Dunia Perbankan

Industri perbankan adalah salah satu yang paling cepat beradaptasi dengan FIDO2 dan passkey. FIDO Alliance memprediksi bahwa mayoritas bank besar akan menerapkan passkey penuh pada akhir 2025 ini. Ini adalah angin segar bagi industri yang biasanya ketat dan berhati-hati dalam mengadopsi teknologi baru demi keamanan nasabah.

Contoh nyatanya adalah Visa dengan layanan Visa Payment Passkey Service mereka. Sistem ini memanfaatkan server FIDO, memungkinkan nasabah memverifikasi pembayaran pakai biometrik. Hasilnya cukup mencengangkan, kejahatan penipuan turun hingga 50% jika dibandingkan dengan sistem OTP berbasis SMS yang lama.

Dampak pada E-Commerce

Toko online menjadi pendorong utama trafik penggunaan passkey. Sektor ritel menyumbang hampir separuh dari seluruh autentikasi passkey yang terjadi. Raksasa seperti Amazon mendominasi dengan hampir 40% autentikasi, disusul oleh eBay dan retailer besar lainnya.

Amazon kini menyediakan opsi passkey untuk 100% penggunanya dan telah mencatat pembuatan 175 juta passkey untuk login ke amazon.com secara global. Kecepatan login pengguna Amazon menggunakan metode ini terbukti enam kali lebih cepat, sementara di TikTok bahkan 17 kali lebih cepat dibandingkan mengetik password manual.

Mekanisme Kerja FIDO2: Kriptografi yang Melindungi

FIDO2 adalah standar yang membuat kita bisa login tanpa password, dan ini aman karena tidak mengirimkan data rahasia apa pun ke server. Di balik layar, teknologi ini menggunakan kriptografi asimetris. Artinya, ada sepasang kunci yang bekerja, satu kunci privat yang hanya disimpan di perangkat kita dan satu kunci publik yang ada di server layanan.

Dua Pilar Utama FIDO2

Standar ini mengandalkan dua komponen utama, yaitu WebAuthn dan Client to Authenticator Protocol 2 (CTAP2). WebAuthn adalah API browser yang memungkinkan website berkomunikasi dengan autentikator pengguna. API ini dibuat standar oleh W3C agar bisa dipakai di berbagai platform tanpa perlu password yang bisa dipakai ulang.

Sementara itu, CTAP2 mengatur jalur komunikasi antara perangkat klien, seperti laptop atau HP, dengan autentikator fisik atau hardware keamanan. Protokol ini memastikan perintah autentikasi sampai ke tujuan dengan aman melalui antarmuka CBOR.

Keamanan Kunci Privat di Enclave dan TPM

Kunci privat wajib disimpan di tempat paling aman di perangkat Anda. Dalam arsitektur passkey yang disinkronkan, kunci ini dibuat dan dikunci di perangkat lokal tepercaya seperti TPM, Secure Enclave, atau Android Keystore.

Ancaman Baru di Era Tanpa Password

Walaupun jauh lebih aman dibanding password, sistem baru ini tentu saja punya celah sendiri. Kita perlu memahami risiko ini agar tidak lengah.

Bahaya Perampasan Perangkat

Risiko paling nyata adalah ketika perangkat yang tidak terkunci jatuh ke tangan yang salah. Penelitian menemukan celah di browser mobile utama yang memungkinkan penyerang dalam jarak Bluetooth mengambil alih akun PassKeys dengan memicu intent FIDO:/.

Penyerang bisa memicu navigasi ke URI FIDO:/ dari halaman jahat di browser mobile. Ini memungkinkan mereka memulai proses autentikasi yang sah, tapi diterima di perangkat mereka. Kondisi ini memungkinkan pencurian kredensial PassKeys secara jarak dekat, sebuah fakta yang mengguncang asumsi awal bahwa Passkey kebal terhadap phishing.

Risiko Sinkronisasi Cloud

Passkey yang disinkronkan lewat cloud juga membuka permukaan serangan baru. Saat fitur sinkronisasi aktif, metadata kunci privat disimpan di cloud. Jika layanan manajemen kredential ini diretas dan datanya berhasil didekripsi, penyerang akan punya semua bahan yang dibutuhkan untuk membuat ulang kunci privat pengguna.

"Synced passkeys membawa risiko serius, penyerang berpotensi mencuri passkey pengguna jika berhasil membobol penyimpanan cloud dari layanan Passkey Management Service."

Cara Mengurangi Risiko: Konfigurasi Terbaik

Paksa Verifikasi Pengguna

User verification adalah kunci keamanan FIDO2. FIDO Alliance mewajibkan pembatasan percobaan verifikasi untuk mencegah serangan brute force. Pastikan autentikator Anda menolak percobaan berulang dengan cepat.

Standarnya, setelah kegagalan kelima dan seterusnya, autentikator harus memberi jeda minimal 30 detik sebelum menerima percobaan berikutnya. Penghitungan kegagalan ini sebaiknya dipisah per metode verifikasi, maksimal untuk tiga metode berbeda, agar tetap aman namun tetap user-friendly.

Kunci yang Terikat Hardware dan Perangkat

Hardware-bound keys adalah benteng terkuat dalam FIDO2. Standar NIST SP 800-63-4 menyatakan bahwa pada level keamanan tertinggi (AAL3), autentikator harus punya kunci privat yang tidak bisa diekspor dan tahan phishing.

Oleh karena itu, untuk keamanan level kritis seperti perbankan atau data sensitif, synced passkeys yang penyimpanannya ada di cloud tidak dianjurkan. Sebagai gantinya, gunakan kredensial per-perangkat yang hanya ada di hardware fisik, sehingga risiko peretasan cloud bisa dieliminasi.

Prediksi Tahun 2026: Masa Depan Autentikasi

Passkey Menjadi Standar Umum

Sinyal pasar menunjukkan 2026 adalah tahun di mana passwordless benar-benar masuk ke mainstream. CEO FIDO Alliance, Andrew Shikiar, memprediksi jumlah akun dengan passkey akan menembus angka 3 miliar pada tahun ini.

Perkiraan lebih spesifik menyebutkan bahwa pada 2026, lebih dari 60% perusahaan besar dan 80% perusahaan Fortune 500 akan menerapkan autentikasi passwordless canggih. Laporan FIDO 2025 juga menyebut 75% konsumen global kini tahu soal passkey, dan 69% sudah mengaktifkannya di minimal satu akun.

Tekanan Regulasi Pemerintah

Aturan pemerintah akan menjadi dorongan utama. NIST Special Publication 800-63-4 yang rilis Juli 2025 kini mengharuskan verifiers menawarkan opsi tahan phishing di level AAL2, dan wajib menggunakan autentikator tahan phishing dengan kunci privat non-exportable di level AAL3.

Dampak Nyata pada Phishing

Peralihan ke passkey terbukti efektif meredam serangan phishing. Setelah Accenture menerapkan passwordless, serangan phishing anjlok sampai 60%. Laporan dari Comcast pun menyebut 80-95% pelanggaran keamanan akibat kesalahan manusia berawal dari scam phishing.

Report dari Okta tahun 2025 menunjukkan adopsi autentikator anti-phishing naik 63% dalam setahun. Alat seperti Okta FastPass hampir dua kali lipat penggunanya. Ini bukan hanya soal keamanan yang lebih baik, tapi juga pengalaman pengguna yang jauh lebih lancar.

Penutup

Tahun 2026 menegaskan bahwa era password sudah berakhir. Kita kini bergerak menuju cara verifikasi identitas yang lebih sederhana, aman, dan mobile-first. Ekosistem teknologi sudah matang, didukung oleh perangkat, browser, dan alat enterprise yang siap, menjadikan tahun ini sebagai momen keberhasilan adopsi massal passwordless.

Dukungan besar dari perbankan, e-commerce, dan layanan publik mempercepat proses ini. Data statistik tidak berbohong, pertumbuhan penggunaan passkey melonjak tajam di berbagai platform besar. Ini bukan sekadar tren, tapi kebutuhan mutlak untuk keamanan data.

Dari sisi teknis, FIDO2 menawarkan perlindungan lapis baja lewat kriptografi asimetris. Dengan kunci privat yang terkunci rapat di TPM atau Secure Enclave, risiko pencurian data bisa diminimalisasi secara signifikan. Hasilnya, penurunan kasus phishing dan peningkatan efisiensi operasional sangat terasa bagi organisasi yang beralih.

Bagi praktisi keamanan siber dan organisasi, pesannya sudah jelas. Jangan menunggu lagi. Pertanyaannya bukan "apakah kita harus beralih?", tapi "seberapa cepat kita bisa melakukannya?". Mereka yang bergerak cepat sekarang akan mendapat keuntungan besar dalam bentuk keamanan data yang kuat dan kepuasan pengguna yang lebih baik.