Dalam dunia keamanan siber modern, satu fakta sudah tidak bisa lagi diperdebatkan:
password adalah titik terlemah dalam sistem keamanan digital.
Phishing, credential stuffing, reuse password, hingga kebocoran data—semuanya masih berakar pada satu masalah klasik: autentikasi berbasis password.
Namun kini, paradigma itu mulai berubah. Organisasi mulai bergerak menuju model baru: passwordless authentication dengan passkeys.
Dan bagi para CISO, ini bukan sekadar tren teknologi—ini adalah perubahan strategi keamanan yang fundamental.
Kenapa Password Tidak Lagi Cukup
Selama bertahun-tahun, industri mencoba “memperkuat password” dengan berbagai cara:
- aturan kompleksitas
- rotasi berkala
- multi-factor authentication (MFA)
- OTP dan aplikasi authenticator
Namun kenyataannya:
- pengguna tetap mengulang password
- phishing tetap berhasil
- MFA bisa di-bypass melalui social engineering
- credential tetap dicuri melalui malware atau kebocoran
Masalah utamanya sederhana:
password adalah shared secret yang bisa dicuri atau ditebak.
Passkeys: Menghapus Akar Masalah
Passkeys hadir dengan pendekatan berbeda total.
Alih-alih menggunakan password, passkeys memakai:
- kriptografi public-private key
- biometrik (fingerprint / face ID) atau PIN perangkat
- penyimpanan aman di device user
Artinya:
- tidak ada password yang bisa dicuri
- tidak ada credential yang bisa di-phishing
- tidak ada secret yang dikirim ke server
Menurut pendekatan modern authentication, passkeys bersifat phishing-resistant karena tidak bergantung pada shared secret yang bisa dieksploitasi.
Kenapa CISO Mulai Serius Mengadopsi Passkeys
Dalam konteks enterprise, passkeys bukan hanya soal kenyamanan login.
Ini tentang:
- mengurangi risiko breach
- menurunkan biaya reset password
- memperkuat posture keamanan identitas
- mengurangi beban helpdesk
- meningkatkan user experience
Banyak organisasi mulai menyadari bahwa sebagian besar insiden keamanan dimulai dari kompromi identitas.
Dan jika identitas bisa diamankan sejak awal, maka seluruh rantai serangan bisa diputus.
Keunggulan Utama Passkeys dalam Strategi Keamanan
1. Phishing-Resistant Secara Default
Berbeda dengan password atau OTP, passkeys tidak bisa digunakan di situs palsu karena:
- terikat pada domain asli
- tidak bisa diekstrak atau dikirim ulang
Ini membuat serangan phishing tradisional menjadi jauh lebih sulit.
2. Tidak Ada Credential yang Bisa Dicuri
Tidak ada database password yang bisa:
- di-hack
- di-leak
- dijual di dark web
Karena memang tidak ada password yang disimpan.
3. Lebih Cepat dan Lebih Sederhana
User hanya perlu:
- biometrik (sidik jari / face ID)
- atau PIN perangkat
Hasilnya:
- login lebih cepat
- friction lebih rendah
- produktivitas meningkat
4. Mengurangi Risiko MFA Fatigue
Serangan modern sering mengeksploitasi:
- push fatigue MFA
- social engineering
- OTP interception
Passkeys menghilangkan banyak titik lemah ini karena autentikasi terjadi secara kriptografis di perangkat.
Perspektif CISO: Bukan Hanya Teknologi, Tapi Transformasi
Dalam CISO playbook, adopsi passkeys bukan hanya proyek teknis.
Ini adalah transformasi menyeluruh yang mencakup:
1. Identity-Centric Security Model
Keamanan tidak lagi fokus pada network perimeter, tetapi:
- siapa yang mengakses
- dari perangkat apa
- dengan konteks apa
2. Zero Trust Alignment
Passkeys sangat selaras dengan prinsip Zero Trust:
- tidak ada kepercayaan default
- setiap akses harus diverifikasi
- identitas menjadi pusat kontrol
3. Pengurangan Attack Surface
Dengan menghapus password:
- phishing surface berkurang drastis
- credential reuse dihilangkan
- attack chain menjadi lebih pendek
Tantangan Implementasi di Dunia Nyata
Meski kuat, implementasi passkeys tidak tanpa tantangan:
1. Legacy System
Banyak aplikasi lama masih bergantung pada password.
2. Migrasi User
Perubahan perilaku user selalu menjadi tantangan:
- adaptasi biometrik
- manajemen device
- cross-device login
3. Integrasi Identity Provider
Organisasi perlu memastikan:
- IAM system mendukung passkeys
- federasi identity berjalan lancar
- policy enforcement tetap konsisten
Hybrid Authentication: Transisi yang Realistis
Banyak organisasi tidak langsung “passwordless total”.
Sebaliknya, mereka menggunakan pendekatan hybrid:
- passkeys untuk login utama
- MFA sebagai fallback
- password masih ada untuk legacy system sementara
Tujuannya adalah transisi bertahap tanpa mengganggu operasional bisnis.
Dampak Bisnis: Security yang Lebih Efisien
Adopsi passkeys bukan hanya soal keamanan, tetapi juga efisiensi:
- biaya reset password turun drastis
- helpdesk ticket berkurang
- user experience meningkat
- risiko breach menurun
- compliance lebih mudah dicapai
Dalam jangka panjang, ini mengubah security dari cost center menjadi enabler bisnis digital.
Kesimpulan: Masa Depan Autentikasi Sudah Berubah
Dunia keamanan sedang bergerak menuju satu arah yang jelas:
tanpa password, tanpa shared secret, tanpa kelemahan klasik.
Passkeys bukan sekadar alternatif password.
Ia adalah evolusi dari cara kita memahami identitas digital.
Bagi CISO, pertanyaannya bukan lagi:
“Apakah kita perlu passkeys?”
Tetapi:
“Seberapa cepat kita bisa mengadopsinya sebelum password menjadi liability terbesar kita?”
Karena di era serangan berbasis AI dan phishing yang semakin canggih,
menjaga password tetap hidup sama saja dengan mempertahankan titik lemah yang sudah diketahui semua penyerang.
🔒 Ingin mengetahui bagaimana Sophos dapat membantu Anda melindungi jaringan dengan teknologi keamanan terbaru yang lebih adaptif dan cerdas?
Saat ancaman siber semakin kompleks, perlindungan yang tepat menjadi kunci untuk menjaga kelangsungan bisnis. Sophos Indonesia siap membantu Anda memahami dan menerapkan solusi keamanan yang dirancang untuk memberikan perlindungan menyeluruh—dari endpoint hingga jaringan.
💬 Untuk pendampingan yang lebih personal dan sesuai kebutuhan bisnis Anda, Anda juga dapat berkonsultasi dengan PT. iLogo Infralogy Indonesia. Tim kami siap membantu merancang strategi keamanan yang tepat, mulai dari analisis kebutuhan hingga implementasi solusi di lingkungan Anda.
🤝 Kami berkomitmen membantu Anda membangun sistem yang lebih aman, tangguh, dan siap menghadapi ancaman siber yang terus berkembang—tanpa mengganggu efisiensi operasional bisnis Anda.
📲 Hubungi kami sekarang dan temukan solusi keamanan yang paling sesuai untuk melindungi aset digital Anda.
