Ahli Siber Bongkar Kelemahan Login Pakai Passkey ala Google dan WA

Pakar keamanan siber mengungkap fitur passkey atau kunci sandi yang bisa memangkas birokrasi login ke akun Google atau WhatsApp punya kelemahan meski bisa melawan upaya pencurian password (phishing).

Sebelumnya, Google dan WhatsApp baru-baru ini mengumumkan penerapan fitur passkey yang bisa mempermudah login tanpa perlu ribet password atau 2 faktor autentikasi.

"Kunci sandi (passkeys) mendapatkan perhatian sebagai teknologi yang tahan terhadap peretasan dan dirancang untuk melawan ancaman siber tertentu," kata Igor Kuznetsov, Direktur Tim Riset dan Analisis Global (Global Research and Analysis Team GReAT) di Kaspersky, dalam siaran pers.

"Baru-baru ini, Google mengumumkan bahwa kunci sandi menjadi metode masuk default, namun penting bagi pengguna untuk menyadari bahwa risiko tertentu masih ada," lanjutnya.

Menurut Kuznetsov, "kunci sandi memang menawarkan perlindungan yang kuat terhadap upaya phishing."

Teknologi ini dikembangkan sebagai alternatif kata sandi tradisional, dengan mengikuti standar yang ditetapkan oleh aliansi Fast Identity Online (FIDO). Setiap kunci sandi ditautkan ke situs web tertentu, sehingga mencegah penggunaannya di situs palsu.

"Terlepas dari langkah-langkah keamanan ini, kunci sandi rentan terhadap ancaman yang sama yang mempengaruhi metode otentikasi apa pun," tukasnya.

Apa kelemahannya?

"Jika perangkat yang digunakan untuk login (baik komputer atau ponsel) disusupi, pelaku kejahatan siber dapat menggunakan rekayasa sosial untuk mengelabui pengguna agar login ke aplikasi palsu atau melakukan pencurian data setelah login berhasil," bongkar Kuznetsov.

Selain itu, perlu dicatat bahwa, secara default, kunci sandi disinkronkan dengan layanan cloud penyedia, seperti Google atau Apple, keduanya merupakan anggota aliansi FIDO.

"Jika akun penyedia disusupi (misalnya akun Google atau ID Apple), keamanan kunci sandi akan menjadi rentan," imbuh dia.

Kaspersky pun menyarankan untuk melengkapi penggunaan kunci sandi dengan praktik keamanan tradisional terbaik, seperti solusi keamanan siber, memperbarui perangkat lunak secara berkala, dan "berhati-hati ketika menemukan sumber daya, email, atau panggilan yang mencurigakan."