Passwordless authentication: Masa depan keamanan identitas?
Kita mungkin sering merasa password sudah cukup aman untuk melindungi akun dan data penting. Padahal, nyatanya password cukup mudah diretas dan menyebabkan insiden keamanan siber. Sejak awal 2025 saja, lebih dari 16 juta password telah diretas secara global. Jumlah ini pun akan terus meningkat.
Bagi organisasi, kondisi ini menunjukkan bahwa mengandalkan password sebagai lapisan utama perlindungan sudah tidak lagi memadai. Dibutuhkan pendekatan yang lebih modern dan aman dalam melindungi identitas dan akses user, yaitu passwordless authentication. Metode ini menjanjikan keamanan yang lebih tinggi, pengalaman pengguna yang lebih praktis, dan biaya operasional yang lebih hemat.
Akan tetapi, benarkah passwordless authentication akan menjadi masa depan keamanan identitas? Apakah metode ini mampu menggantikan password sepenuhnya atau hanya melengkapi? Temukan jawabannya di artikel ini.
Mengapa password tidak lagi menjadi pilihan?
Di dunia kerja modern, satu karyawan bisa menggunakan banyak aplikasi untuk melakukan pekerjaannya. Bayangkan jika setiap aplikasi ini membutuhkan password untuk login, berapa banyak password yang harus dikelola?
Perasaan lelah dalam mengelola password membuat karyawan cenderung melupakan password hygiene, yaitu praktik penggunaan password yang baik. Kata sandi sering dibuat terlalu simpel agar mudah diingat, digunakan berulang di berbagai akun, bahkan disimpan di sembarang tempat dengan tujuan mudah ditemukan saat dibutuhkan.
Kebiasaan buruk dalam manajemen password ini mengundang berbagai risiko ancaman siber, seperti phishing, credential theft, credential stuffing, dan brute-force attack. Dalam banyak kasus, kredensial yang dicuri bisa menjadi pintu masuk utama bagi attacker untuk mengakses sistem dan data sensitif organisasi.
Dampaknya bisa fatal bagi operasional dan reputasi bisnis secara keseluruhan, mulai dari kebocoran data pelanggan, gangguan layanan, hingga potensi kerugian finansial akibat downtime atau insiden keamanan. Selain itu, organisasi juga berisiko menghadapi sanksi akibat ketidakpatuhan terhadap regulasi perlindungan data.
Apa itu passwordless authentication?
Passwordless authentication adalah proses verifikasi identitas untuk mengakses akun tanpa menggunakan password. Biasanya, user akan diminta melakukan metode verifikasi selain password seperti biometrik, FIDO passkey, atau TOTP.
Meski tanpa password, proses login yang dilakukan sebenarnya lebih aman. Passwordless authentication menghindari risiko serangan siber berbasis kredensial seperti brute-force attack dan credential stuffing.
Selain lebih aman, passwordless authentication juga mempermudah proses login. User tidak perlu membuat password yang rumit dan mengingatnya untuk mengakses akunnya. Proses autentikasi dalam login pun menjadi lebih cepat dan efisien.
Apa saja metode passwordless authentication?
Ada banyak metode login akun tanpa menggunakan password, seperti:
Autentikasi biometrik
Autentikasi biometrik menggunakan sifat-sifat biologis manusia yang unik untuk setiap orang, seperti fingerprint, facial recognition, atau retinal scan. Karena setiap orang memiliki karakteristik fisik yang berbeda-beda, autentikasi biometrik memberikan keamanan tingkat tinggi dalam verifikasi identitas user.
Hardware token
Hardware token menggunakan perangkat fisik seperti YubiKeys atau smart card. Perangkat ini menyimpan kunci kriptografi yang dapat digunakan saat login, biasanya melalui USB atau NFC.
Passkey (FIDO2-based authentication)
Passkey merupakan metode autentikasi modern berbasis kriptografi yang memungkinkan pengguna login tanpa password. Passkey disimpan secara aman di perangkat pengguna atau disinkronkan melalui cloud, sehingga memudahkan akses lintas perangkat. Selain itu, passkey juga tahan terhadap serangan phishing karena tidak mengirimkan kredensial yang bisa dicuri.
Aplikasi autentikasi
Metode ini memanfaatkan aplikasi autentikasi pihak ketiga seperti Zoho OneAuth. Sebelum bisa login akun, user perlu mengonfigurasi aplikasi autentikasi dengan kredensialnya. Setelah sistem dikonfigurasi, user akan menerima notifikasi berupa OTP atau verifikasi dari aplikasi setiap mereka akan masuk ke dalam akunnya.
Magic link
Magic link merupakan link yang hanya digunakan sekali untuk login tanpa password. Link ini biasanya dikirim ke email atau SMS user. Meskipun cukup praktis, magic link masih memiliki sisi tidak aman, karena bisa saja email atau SMS user dapat diakses oleh orang lain yang tidak bertanggung jawab.
Apa saja manfaat passwordless authentication?
Passwordless authentication memiliki beberapa manfaat sebagai berikut:
Meningkatkan user experience
Membuat password itu mudah, tetapi mengingatnya cukup sulit. Jika user harus membuat password yang berbeda-beda untuk setiap akun, tentu merepotkan untuk mengingat semuanya.
Dengan passwordless authentication, user akan dibebaskan dari tugas mengingat dan memasukkan password setiap kali mereka akan mengakses resource. Proses ini lebih mudah, sehingga dapat meningkatkan user experience secara keseluruhan.
Menghemat biaya
Lupa password merupakan salah satu penyebab tingginya volume tiket di help desk. Menurut Gartner, sekitar 20% hingga 50% dari seluruh tiket help desk berkaitan dengan reset password. Tiket ini juga menghabiskan biaya besar, yaitu sekitar $15 hingga $70 per tiket, tergantung kompleksitas dan waktu penanganannya.
Dengan mengurangi ketergantungan pada password, tim help desk dapat menerima lebih sedikit tiket. Hal ini dapat menghemat biaya dan waktu. Mereka pun dapat menggunakan resource yang ada untuk aktivitas lain yang lebih penting.
Meningkatkan keamanan
Passwordless authentication juga dinilai lebih aman dari metode password biasa karena menghilangkan risiko serangan berbasis password, mengurangi human error, serta memanfaatkan identitas diri atau perangkat yang lebih kuat dan sulit direplikasi.
Tantangan penerapan passwordless authentication
Meskipun menawarkan banyak keunggulan dari sisi keamanan dan kepraktisan, penggunaan passwordless authentication masih memiliki sejumlah tantangan yang perlu diperhatikan. Organisasi perlu memahami risiko ini agar implementasi dapat berjalan efektif dan aman.
Ketergantungan pada perangkat
Passwordless authentication umumnya bergantung pada perangkat seperti smartphone atau hardware token. Jika perangkat tersebut tidak tersedia, user akan mengalami kesulitan untuk login.
Memerlukan mekanisme keamanan tambahan
Beberapa metode autentikasi tanpa password masih bergantung erat pada perangkat, sehingga organisasi perlu memastikan bahwa perangkat yang digunakan karyawan bersifat aman. Misalnya, perangkat harus dilindungi dengan mekanisme seperti PIN, biometrik, atau enkripsi agar tidak dapat diakses oleh pihak yang tidak berwenang.
Selain itu, metode seperti magic link juga masih memiliki potensi risiko keamanan. Link yang dikirimkan bisa saja diakses oleh pihak tidak bertanggung jawab. Oleh karena itu, organisasi perlu menerapkan masa berlaku yang lebih singkat untuk magic link, menggunakan token yang terikat pada sesi awal (session binding), dan menetapkan hanya satu kali penggunaan untuk mencegah replay attack.
Isu privasi dan kepatuhan regulasi
Penggunaan data biometrik seperti sidik jari atau face recognition menimbulkan kekhawatiran terkait privasi. Berbeda dengan password, data biometrik tidak dapat diubah jika terjadi kebocoran, sehingga risikonya bersifat permanen.
Selain itu, aspek kepatuhan terhadap regulasi yang berkaitan dengan data pribadi dan biometrik juga perlu menjadi pertimbangan penting.
Kebutuhan akan infrastruktur yang tepat
Implementasi passwordless authentication sering kali membutuhkan investasi awal yang tidak sedikit. Organisasi perlu memastikan kesiapan infrastruktur, termasuk integrasi solusi baru dengan sistem dan aplikasi yang sudah ada.
Tantangan sering muncul pada kompatibilitas teknologi. Misalnya, protokol LDAP atau SAML tidak selalu mampu mendukung kebutuhan ekosistem passwordless authentication secara optimal. Selain itu, aplikasi custom juga bisa saja belum mengikuti standar industri seperti FIDO2.
Mengintip masa depan passwordless authentication
Di masa depan, passwordless authentication akan semakin canggih. Perkembangan dalam teknologi biometrik serta integrasi dengan AI dan machine learning akan membuat metode verifikasi ini lebih akurat, aman, dan user-friendly.
Adopsi passwordless authentication akan terus tumbuh. Nilai pasar passwordless authentication telah mencapai $21.7 juta pada tahun 2024 dan diperkirakan akan tumbuh sebesar 17,1% CAGR hingga mencapai $55.7 juta pada tahun 2030.
Di ruang lingkup organisasi, adopsi metode autentikasi ini semakin meluas di berbagai industri, termasuk industri keuangan, layanan kesehatan, teknologi, dan ritel. Bahkan, kini sudah banyak perusahaan yang menerapkan passwordless authentication, seperti Microsoft, Google, Amazon, dan PayPal.
Tren ini diperkuat oleh meningkatnya penggunaan passkey. Menurut FIDO Alliance, 69% pengguna sudah memiliki passkey, dengan tingkat keberhasilan login mencapai 93%. Login dengan passkey juga dilaporkan hingga 4 kali lebih sukses dibandingkan password.
Di sisi lain, risiko dari penggunaan password juga semakin nyata. Sekitar 22% pelanggaran data melibatkan kredensial yang dicuri, dan hampir 1 dari 5 percobaan login merupakan serangan seperti credential stuffing. Hal ini menunjukkan bahwa password semakin sulit diandalkan sebagai metode autentikasi utama.
Selain itu, adopsi passwordless juga didukung oleh peran organisasi seperti FIDO Alliance yang mengembangkan standar autentikasi modern seperti FIDO2. Standar ini memungkinkan proses login yang lebih aman sekaligus sederhana di berbagai platform.
Bagaimana organisasi bisa mulai mengadopsi passwordless authentication?
Mengadopsi passwordless authentication membutuhkan pendekatan bertahap yang terstruktur, seperti berikut.
Evaluasi sistem autentikasi saat ini
Pertama, organisasi harus memahami kondisi saat ini, termasuk infrastruktur IT, sistem autentikasi, serta tantangan yang sering dihadapi. Hal ini membantu menentukan prioritas implementasi dan use case yang paling relevan.
Pastikan kesiapan infrastruktur dan integrasi sistem
Organisasi perlu memastikan sistem yang ada dapat terintegrasi dengan solusi passwordless, termasuk direktori seperti Active Directory serta dukungan terhadap standar modern seperti FIDO2. Penyesuaian ini penting agar implementasi berjalan lancar tanpa mengganggu sistem yang sudah ada.
Mulai dari use case yang berdampak tinggi
Implementasi dapat dimulai dari area tertentu, seperti login ke aplikasi internal, VPN, atau portal self-service. Secara bertahap, organisasi dapat menerapkan passwordless authentication untuk akun dan perangkat yang menyimpan data penting, seperti informasi klien. Pendekatan bertahap ini membantu organisasi mendapatkan hasil cepat sekaligus meminimalkan risiko.
Integrasikan dengan SSO untuk pengalaman yang lebih seamless
Menggabungkan passwordless dengan Single Sign-On (SSO) memungkinkan pengguna login sekali untuk mengakses berbagai aplikasi. Hal ini tidak hanya meningkatkan kenyamanan, tetapi juga mengurangi peluang serangan berbasis kredensial.
Perkuat dengan adaptive MFA berbasis risiko
Passwordless akan lebih optimal jika didukung multi-factor authentication (MFA) yang adaptif. Sistem dapat menyesuaikan tingkat verifikasi berdasarkan konteks seperti lokasi, perangkat, atau perilaku login, sehingga keamanan tetap terjaga tanpa mengorbankan user experience.
Terapkan kontrol keamanan tambahan untuk mitigasi risiko
Organisasi perlu memperkuat aspek seperti proses enrollment dan account recovery, serta membatasi masa berlaku OTP atau magic link. Monitoring aktivitas login dan pengamanan perangkat juga penting untuk mencegah potensi penyalahgunaan.
Dorong adopsi pengguna melalui edukasi
Perubahan metode login membutuhkan penyesuaian dari sisi pengguna. Oleh karena itu, penting untuk memastikan pengalaman login tetap sederhana serta memberikan edukasi yang cukup agar pengguna memahami manfaat dan cara penggunaannya.
Gunakan solusi terintegrasi untuk implementasi yang lebih mudah
Untuk mempercepat adopsi, organisasi dapat memanfaatkan solusi seperti ManageEngine ADSelfService Plus yang menyediakan passwordless authentication, SSO, dan adaptive MFA dalam satu platform.
Dengan ManageEngine ADSelfService Plus, pengguna cukup login menggunakan username, lalu diverifikasi melalui metode passwordless seperti biometrik, push notification, atau authenticator app. Setelah verifikasi berhasil, pengguna dapat langsung mengakses aplikasi tanpa perlu memasukkan password.
ADSelfServicePlus juga mendukung conditional access untuk mengatur login berdasarkan perangkat, lokasi, dan risiko. Dengan pendekatan ini, organisasi dapat meningkatkan keamanan sekaligus menjaga pengalaman pengguna tetap praktis.
Metode biometric authentication di ADSelfService Plus
Benarkah passwordless authentication akan menjadi masa depan keamanan identitas?
Passwordless authentication terbukti mampu mengatasi banyak kelemahan utama dari password, seperti risiko phishing, credential stuffing, hingga tingginya beban operasional IT. Dengan dukungan teknologi seperti biometrik, passkey, dan standar modern seperti FIDO2, pendekatan ini menawarkan keamanan yang lebih kuat sekaligus pengalaman pengguna yang lebih sederhana.
Keuntungan yang ditawarkan ini membuat passwordless authentication menjadi masa depan keamanan identitas. Namun, mungkin tidak sepenuhnya menggantikan password dalam waktu dekat sebab penerapannya membutuhkan pendekatan bertahap.
Untuk mulai mengadopsi passwordless authentication secara aman dan terintegrasi, organisasi dapat memanfaatkan solusi seperti ManageEngine ADSelfService Plus. Jadwalkan demo dengan tim kami atau pelajari selengkapnya di sini!
FAQ
1. Apa perbedaan MFA dan passwordless authentication?
MFA (multi-factor authentication) merupakan metode di mana pengguna harus melewati lebih dari satu faktor autentikasi. Metode verifikasi dalam MFA bisa menggunakan password atau tidak.
Namun, passwordless authentication benar-benar menghilangkan penggunaan password dalam proses login.
2. Apakah passwordless authentication sepenuhnya menghilangkan credential attack?
Metode passwordless dapat secara signifikan mengurangi serangan berbasis password seperti credential stuffing. Namun, tidak berarti semua risiko hilang. Beberapa metode passwordless juga masih memerlukan keamanan tambahan, seperti magic link dan OTP.
3. Apakah SSO masih dibutuhkan jika sudah menggunakan passwordless?
Umumnya, ya. Passwordless dan SSO memiliki fungsi yang berbeda dan saling melengkapi. Passwordless mengubah cara pengguna melakukan autentikasi, sedangkan SSO memungkinkan akses ke banyak aplikasi hanya dengan satu kali login.