Sesuatu yang seharusnya dirahasiakan, namun masih sering tanpa sadar dibocorkan oleh korban kepada penipu, jelas bukanlah metode autentikasi yang aman. Password dan OTP termasuk dalam kategori ini. Oleh karena itu, sudah saatnya kita meninggalkan penggunaan password dan OTP.
Lho, kenapa begitu?
Penipu bisa mendapatkan password korban melalui rekayasa sosial, contohnya dengan membuat situs palsu yang menyerupai situs asli. Setelah itu, korban dibujuk untuk login ke situs tersebut. Karena situs itu milik penipu, semua yang diketik korban akan langsung diketahui oleh mereka.
Bukankah OTP lebih aman karena berubah setiap 30 detik?
Memang OTP berubah-ubah (biasanya tiap 30 detik), tetapi jika korban sudah berhasil ditipu (misalnya melalui telepon dengan teknik social engineering atau “hipnosis”), mereka bisa saja menyebutkan kode OTP kepada si penipu tanpa menyadarinya.
Kalau tidak pakai password dan OTP, lalu pakai apa?
Password adalah teknologi lama dari era 1960-an, ketika komputer baru mulai digunakan dan belum ada metode autentikasi yang lebih canggih. Kini, kita punya teknologi yang jauh lebih aman: passkey (kunci sandi).
Passkey (kunci sandi) tidak sama dengan password (kata sandi).
Dengan passkey, bukti identitas tidak disimpan di otak pengguna, melainkan di perangkat milik pengguna—seperti ponsel. Di server tersimpan public key, sementara di ponsel tersimpan private key. Private key ini sangat kompleks dan tidak bisa diucapkan atau dibagikan dengan mudah, sehingga lebih aman.
Yang lebih hebat, private key tidak pernah keluar dari perangkat. Yang dikirim ke server hanyalah tanda tangan digital, hasil perhitungan matematis antara private key dan public key. Berbeda dengan password yang langsung dikirim ke server, private key tetap aman di perangkat pengguna dan tidak dapat dicuri lewat teknik seperti “man-in-the-middle attack”.
Bayangkan penipu menelepon korban dan meminta passkey—apa yang bisa diucapkan korban? Tanda tangan digital sangat panjang, rumit, dan selalu berubah. Mustahil untuk dihafal, apalagi disampaikan secara langsung.
Maka, mari kita tinggalkan password dan beralih ke passkey.
Bagaimana jika ponsel rusak atau hilang?
Solusinya: jangan hanya punya satu passkey. Kita bisa membuat beberapa salinan passkey di berbagai perangkat yang mendukung teknologi ini, seperti:
-
Ponsel dengan sidik jari atau pengenalan wajah (misalnya Apple Face ID).
-
Laptop dengan sensor sidik jari (misalnya Windows Hello).
-
Kunci keamanan fisik seperti flash drive (contohnya YubiKey 5 Series) atau kartu chip NFC.
-
Software passkey emulator (misalnya di browser modern).
Untuk setiap akun penting seperti Google atau Cloudflare, saya menyimpan beberapa passkey di perangkat berbeda. Jadi, jika satu perangkat hilang, saya masih bisa masuk menggunakan yang lain.
Software passkey emulator misalkan Google Password Manager, iCloud Keychain, atau 1Password.
Lalu bagaimana kalau semua perangkat hilang?
Saya menyarankan kepada para pengembang aplikasi untuk menyediakan mekanisme pemulihan akun. Misalnya, dengan mengirim kode pemulihan ke email atau SMS. Namun, sebaiknya pengiriman kode ini tidak langsung, untuk mengantisipasi jika korban masih berada di bawah pengaruh penipu. Idealnya, kode dikirim setelah 1×24 jam, agar korban punya waktu menyadari situasinya dan bertindak lebih aman.