Apple menganggap 249 kata sandi saya perlu diperhatikan. Beberapa di antaranya telah digunakan kembali. Beberapa di antaranya terjebak dalam pelanggaran data. Beberapa hanya kata sandi yang buruk.
Itu sebabnya, selama 11 tahun terakhir, sebuah kelompok bernama FIDO Alliance telah berupaya untuk mematikan kata sandi — atau setidaknya membuat kita tidak terlalu bergantung pada kata sandi. FIDO, kependekan dari Fast IDentity Online, ingin membuat login ke akun Anda tidak hanya lebih aman tetapi juga, sesuai dengan namanya, lebih cepat dan mudah. Karena anggotanya meliputi Amazon, Apple, Google, Meta, dan arsitek pengalaman online kami lainnya, Aliansi FIDO juga mampu mencapai hal ini.
Disadari atau tidak, upaya FIDO telah mengubah cara Anda masuk ke segala hal secara online. Anda mungkin telah memperhatikan beberapa tahun yang lalu, misalnya, bahwa semakin banyak situs yang mulai memerlukan sesuatu yang disebut autentikasi multifaktor, yang menambahkan langkah ekstra pada proses login, seperti mengirimkan kode melalui SMS ke ponsel Anda sehingga situs tersebut dapat memverifikasi bahwa Anda adalah Anda. Itu yang dilakukan FIDO.
Namun setelah bertahun-tahun membuat login menjadi lebih sulit namun lebih aman, aliansi tersebut baru-baru ini memulai dorongan besar untuk membuat platform dan orang-orang mengadopsi teknologi yang mungkin hanya mematikan kata sandi: kunci sandi.
Kunci sandi adalah jenis kredensial baru yang dapat Anda gunakan untuk masuk ke akun web tanpa menggunakan kata sandi. Standar autentikasi baru ini membuat kata sandi menjadi tidak relevan dengan memperkenalkan alur kerja baru yang lebih sederhana namun lebih aman. Ada logo dan segalanya.
Anda dapat menganggap kunci sandi sebagai dua file terenkripsi, satu di pihak Anda dan satu lagi di pihak situs web, yang membuka akses ke akun Anda ketika salah satu file cocok dengan yang lain, seperti kunci dan gembok. Kunci sandi tidak dapat disalin atau dipalsukan, dan tidak dapat diphishing.
Setelah Anda menyiapkan kunci sandi untuk sebuah situs web, Anda dapat masuk dengan cara yang sama seperti Anda membuka kunci ponsel: dengan wajah, sidik jari, atau PIN. Prosesnya sangat cepat dan familiar, Anda mungkin sudah menggunakan kunci sandi di situs seperti Google dan Amazon. Tak lama lagi, hanya kunci sandi yang bisa Anda gunakan. Semoga kata sandi Anda tenang.
Masalah password, dijelaskan secara singkat
Tidak selalu seperti ini. Pada masa-masa awal komputasi, ketika komputer memenuhi seluruh ruangan dan memerlukan beberapa orang untuk mengoperasikannya, kata sandi tidak diperlukan. Namun begitu orang-orang mulai berbagi sistem tersebut, kata sandi menjadi kunci dalam komputasi secara pribadi.
Pada awal tahun 1960-an, para peneliti di MIT membangun komputer raksasa yang disebut Sistem Berbagi Waktu yang Kompatibel, sebuah mesin perintis yang mengarah pada pengembangan hal-hal seperti email dan berbagi file. Hal ini memungkinkan banyak orang untuk mengerjakan proyek mereka sendiri sekaligus, sehingga Fernando Corbató, kepala proyek, menemukan cara agar orang-orang dapat menyimpan file pribadi di sistem. Dia memungkinkan para peneliti untuk membuat akun dan mengaksesnya dengan rangkaian karakter yang unik — dan dengan demikian lahirlah kata sandi.
“Sayangnya ini menjadi mimpi buruk,” kata Corbató kepada Wall Street Journal pada tahun 2014.
Ternyata kata sandi sama sekali tidak bersifat pribadi. Para peneliti MIT dengan cepat menemukan cara untuk mencuri kata sandi rekan mereka dan mengerjai mereka. Beberapa dekade kemudian, orang-orang menggunakan ratusan kata sandi untuk melindungi ratusan akun online mereka — atau terkadang kata sandinya sama untuk semuanya. Ini benar-benar mimpi buruk. Kata sandi mudah dilupakan dan sulit diatur ulang. Jika seorang peretas mencuri satu kata sandi yang Anda gunakan karena sulit untuk melacaknya, mereka dapat masuk ke semua akun Anda, mencuri uang Anda, dan biasanya membuat kekacauan.
Peretas juga bisa mencuri kata sandi, terkadang jutaan kata sandi sekaligus, untuk mencuri identitas orang. Serangan phishing, ketika pelaku kejahatan menipu seseorang agar memberikan kredensial loginnya, adalah cara yang sangat berbahaya untuk mendapatkan akses ke data sensitif dalam jumlah besar. Pelanggaran data inilah yang menyebabkan terciptanya FIDO pada tahun 2013, ketika sebuah konsorsium perusahaan teknologi, bank, dan pemerintah bersatu untuk menemukan cara yang lebih baik untuk mengamankan akun.
Upaya ini dimulai dengan menambahkan lapisan keamanan di atas kata sandi dasar. Otentikasi multifaktor menjadi arus utama sekitar satu dekade lalu. Hal ini meningkatkan keamanan, namun juga sangat menyusahkan.
Anda telah melihat rutinitas login yang lebih rumit. Persyaratan untuk kata sandi menjadi lebih kompleks (pikirkan selusin karakter, huruf besar dan kecil, karakter khusus, berfungsi). Bahkan setelah Anda memasukkan kata sandi yang sangat panjang dan rumit, Anda mungkin mendapatkan pemberitahuan push di perangkat lain untuk memverifikasi bahwa Anda adalah Anda di laptop Anda. Anda mungkin mendapatkan tautan ajaib yang dikirim ke email Anda. Bahkan mungkin ada kode QR yang terlibat. Semua metode ini juga rentan terhadap upaya phishing.
“Untuk mengatasi masalah ini, Anda harus benar-benar mengetahui akar masalahnya,” kata CEO FIDO Andrew Shikiar kepada saya. “Dengan mengatasi masalah kata sandi, Anda benar-benar mengatasi masalah pelanggaran data.”
Kunci sandi berjanji untuk memperbaiki banyak masalah kata sandi yang dibuat. Berkat FIDO dan W3C, konsorsium yang mengelola standar World Wide Web, kini terdapat alur kerja yang disepakati untuk kunci sandi guna menggantikan kata sandi sepenuhnya.
Dari sudut pandang pengguna, proses pembuatan kunci sandi cukup mudah. Anda cukup masuk dengan cara lama, dengan kata sandi atau kode atau apa pun, dan kemudian situs web atau platform akan menanyakan apakah Anda ingin mengatur kunci sandi. Jika Anda melakukannya, ini akan menghasilkan dua file — gembok dan kunci, jika Anda mau — yang membentuk kunci sandi. Ini juga akan meminta Anda untuk membuka kunci ponsel Anda dengan wajah, sidik jari, PIN, atau pola gesek, tergantung pada preferensi Anda. Kunci sandi kemudian akan dikaitkan dengan perangkat itu dan disimpan di cloud atau di pengelola kata sandi Anda. Lain kali Anda masuk, situs itu akan melihat apakah Anda memiliki kunci yang sesuai dengan gemboknya. Jika demikian, buka kunci perangkat Anda, dan Anda akan segera kembali masuk. Mungkin diperlukan waktu dua detik.
Membuat kunci sandi tidak serta merta menghilangkan kata sandi Anda selamanya. Banyak situs yang menyimpan kata sandi sebagai cadangan, jika Anda kehilangan jejak kunci sandi Anda. Ditambah lagi, kita sudah lama menggunakan kata sandi, akan aneh jika kata sandi itu tiba-tiba menghilang.
“Orang-orang tidak ingin merasa kami kehilangan kata sandinya,” kata Shikiar. “Itu pemikiran yang menakutkan.”
Bukan untukku. Saya pribadi tidak sabar untuk beralih dari kata sandi ke kunci sandi, setelah mengetahui tentang peluncuran yang lebih luas. Jadi selama seminggu terakhir, saya telah menyiapkan kunci sandi sebanyak yang saya bisa. Tapi saya tidak menyiapkan 249 kunci sandi baru untuk menangani semua kata sandi yang bermasalah itu. Jumlah kunci sandi saya mendekati 12.
Proses penyiapannya sedikit berbeda untuk setiap situs, namun begitu kunci sandi sudah terpasang, proses masuk pada dasarnya hanya dilakukan dengan satu sentuhan atau proses sekilas. Seringkali, saya bahkan tidak melihat tempat untuk memasukkan kata sandi. Situs ini hanya memindai sidik jari atau wajah saya, dan saya ikut serta.
Tantangan utamanya saat ini adalah tidak banyak perusahaan yang menggunakan kunci sandi, hal ini menjelaskan dorongan FIDO baru-baru ini untuk membuat lebih banyak perusahaan mendaftar. Anda dapat mengatur kunci sandi untuk akun Google dan Amazon Anda, misalnya, tetapi tidak untuk Facebook dan Instagram. Namun WhatsApp memang menggunakan kunci sandi. Semuanya agak membingungkan untuk saat ini. (Berikut daftar lengkap situs web utama yang mendukung kunci sandi.)
Masalah lainnya di sini adalah, meskipun orang dapat mengingat kata sandi di kepala mereka, kunci sandi sangat memerlukan pengelola kunci sandi. Karena sebagian besar perangkat baru dilengkapi dengan pengelola kata sandi bawaan, hal ini sebenarnya bukan masalah besar: Pengelola kata sandi juga merupakan pengelola kunci sandi.
Google dan Apple mulai melakukan transisi ke kunci sandi beberapa tahun lalu. Jika Anda menggunakan Android atau iPhone, Anda dapat menggunakan pengelola kata sandi bawaan pada perangkat tersebut untuk menyimpan semua kunci sandi Anda. Google Chrome juga memiliki pengelola kunci sandi, seperti halnya Microsoft Windows. Pengelola kata sandi, seperti 1Password dan Bitwarden, sekarang juga dapat menangani kunci sandi. Jika Anda ingin beralih dari iPhone ke perangkat Android atau mengganti pengelola kata sandi, Anda akan kesulitan memigrasikan semua kunci sandi tersebut, namun FIDO sedang mencari solusinya.
Kunci sandi dirancang untuk mematikan kata sandi, namun kematiannya akan lambat. Meskipun kata sandi masih bertahan untuk saat ini, kata sandi tersebut secara bertahap akan menjadi tidak berguna karena semakin banyak situs dan platform yang mengandalkan kata sandi. Dalam arti tertentu, kata sandi akan menjadi zombie internet, mengintai dan mungkin terkadang menimbulkan masalah.
“Kata sandi tidak akan pernah mati sepenuhnya,” kata Jacob Hoffman-Andrews, staf ahli teknologi senior di Electronic Frontier Foundation. “Akan selalu ada perangkat dan sudut internet yang menyimpan kata sandi.”
Versi cerita ini juga diterbitkan di buletin Vox Technology. Daftar di sini jadi jangan lewatkan yang berikutnya!
