KALIMANTAN UTARA — Pekan lalu, saat menulis artikel ini, saya lebih sering memasukkan password secara manual dibanding menggunakan passkey. Ironis, karena selama bertahun-tahun para pendukung teknologi ini menjanjikannya sebagai pengganti kata sandi yang lebih aman dan tanpa gesekan. Kenyataannya, kotak isian password belum juga hilang dari layar login kita.
Apa Itu Passkey dan Kenapa Dianggap Lebih Aman?
Passkey bekerja dengan sistem dua kunci kriptografi: satu kunci privat yang tersimpan aman di perangkat Anda, dan satu kunci publik yang disimpan di situs yang Anda masuki. Saat login, perangkat Anda membuktikan kepemilikan kunci privat tanpa mengirimkan data yang bisa dicegat peretas.
Perbedaan mendasarnya: password adalah sesuatu yang Anda ingat, passkey adalah sesuatu yang Anda miliki (perangkat) atau sesuatu yang Anda adalah (biometrik seperti sidik jari atau wajah). Di perangkat Apple, misalnya, Face ID atau Touch ID yang memverifikasi, sementara kunci privat disimpan di Secure Enclave dan disinkronkan lewat iCloud Keychain antar iPhone, iPad, dan Mac.
Adopsi Passkey: Angka Besar, Tapi Belum Merata
FIDO Alliance melaporkan lebih dari 15 miliar akun kini mendukung login dengan passkey. Google mengklaim fiturnya telah digunakan lebih dari satu miliar kali di 400 juta akun. Di WWDC 2025, Apple meluncurkan alat pembuatan akun baru yang langsung menggunakan passkey sejak awal, tanpa perlu password sama sekali. Microsoft bahkan menjadikan akun baru sebagai passwordless by default.
Namun, masih banyak perusahaan besar yang menolak mengadopsi teknologi ini. Sebuah situs baru bahkan muncul untuk "mempermalukan" layanan populer yang belum menyediakan opsi passkey. Beberapa nama di daftar itu mengejutkan: Instagram, Spotify, dan Netflix.
Dua Hambatan Utama: Pemulihan Akun dan Portabilitas
Penolakan adopsi ini sebagian besar berasal dari masalah pemulihan akun. Protokol standar passkey, FIDO2, tidak memiliki mekanisme pemulihan bawaan. Jika Anda kehilangan semua perangkat yang menyimpan passkey, satu-satunya jalan adalah tautan reset email — celah yang justru ingin dihilangkan oleh teknologi ini.
"Itulah mengapa perusahaan SaaS dan situs web lain tetap mempertahankan kolom password lama di layar login sebagai cadangan," tulis Arin Waichulis, jurnalis keamanan 9to5Mac. Artinya, selama proses pemulihan belum andal, password tidak akan benar-benar pensiun.
Portabilitas juga jadi masalah. Passkey yang tersimpan di iCloud Keychain, Google Password Manager, atau browser yang berbeda tidak bisa saling berkomunikasi. Apple mulai mengatasi ini dengan menambahkan fitur impor dan ekspor passkey lintas platform di iOS 26 — sebuah perubahan nada yang signifikan dari ekosistem Keychain yang sebelumnya sangat tertutup. Namun, selama protokol pertukaran kredensial (Credential Exchange Protocol) belum berjalan mulus di semua platform, berpindah ekosistem bisa berubah dari tanpa-password menjadi terkunci (lock-in).
Kesimpulan: Masa Depan Autentikasi, Tapi Belum Sekarang
Kriptografi passkey secara teknis sangat baik dan tahan terhadap serangan phishing. Masalahnya lebih bersifat operasional: pemulihan harus andal, portabilitas harus mulus, dan situs web harus benar-benar menghapus kolom password. Apple memang unggul dengan pengalaman ekosistem yang paling mulus dan telah mendukung ekspor passkey sebelum Google. Namun, selama celah-celah di atas belum tertutup, kotak isian password kemungkinan besar tidak akan kemana-mana dalam waktu dekat.
Passkey akan menjadi masa depan autentikasi... suatu hari nanti.