Badan keamanan siber Inggris pada 2025 secara resmi merekomendasikan penggunaan passkey sebagai pilihan utama untuk mengakses layanan digital. Rekomendasi itu muncul di tengah meningkatnya kasus pencurian akun, serangan phishing, dan kebocoran data yang selama bertahun-tahun mengeksploitasi kelemahan password dan kode OTP. Di saat perusahaan teknologi seperti Google dan Microsoft mendorong adopsi sistem tanpa kata sandi, passkey kini dipandang sebagai kandidat terkuat untuk menggantikan mekanisme autentikasi yang telah mendominasi internet selama puluhan tahun. 

Selama beberapa dekade, password menjadi pintu masuk utama ke dunia digital. Namun, semakin banyak pakar keamanan menilai sistem tersebut telah mencapai batas kemampuannya. Kata sandi yang lemah, penggunaan ulang password di berbagai akun, hingga praktik pencurian kredensial melalui phishing membuat jutaan pengguna rentan menjadi korban kejahatan siber. Di sinilah passkey mulai mendapat perhatian. 

Teknologi ini merupakan bentuk autentikasi multifaktor yang memanfaatkan kriptografi kunci publik (public-key cryptography) dan dipadukan dengan verifikasi biometrik, seperti sidik jari atau pemindai wajah, maupun PIN perangkat. Alih-alih mengingat kombinasi huruf, angka, dan simbol yang rumit, pengguna cukup membuktikan bahwa mereka adalah pemilik perangkat yang sah.

Secara teknis, passkey bekerja dengan sepasang kunci kriptografi. Kunci publik disimpan oleh layanan atau situs web, sedangkan kunci privat tersimpan aman di perangkat pengguna dan tidak pernah dikirim ke server. Saat proses login berlangsung, sistem hanya memverifikasi kecocokan kedua kunci tersebut. Model ini membuat informasi penting tidak mudah dicuri meskipun server layanan mengalami kebocoran data. 

National Cyber Security Centre (NCSC), lembaga keamanan siber yang berada di bawah badan intelijen Inggris, menyatakan bahwa passkey secara umum lebih aman dibanding kombinasi password dan verifikasi dua langkah tradisional. Menurut NCSC, metode ini lebih tahan terhadap serangan phishing karena kredensial pengguna tidak pernah dibagikan kepada situs yang dikunjungi. 

Dukungan terhadap passkey juga datang dari perusahaan-perusahaan teknologi besar. Sejak 2022, Google, Microsoft, Apple, PayPal, Amazon, hingga TikTok mulai mengintegrasikan sistem tersebut ke dalam layanan mereka. Langkah ini merupakan bagian dari upaya jangka panjang yang dipimpin oleh organisasi industri keamanan digital, FIDO Alliance, untuk mengurangi ketergantungan internet terhadap password. 

Laporan State of Passkeys 2026 dari FIDO Alliance memperkirakan terdapat sekitar lima miliar passkey yang telah digunakan secara global. Survei terhadap ribuan pengguna di berbagai negara menunjukkan 75 persen responden telah mengaktifkan passkey pada setidaknya satu akun, sementara hampir separuh di antaranya mengaku menggunakan passkey secara rutin ketika tersedia. 

Andrew Shikiar, CEO FIDO Alliance, menyebut pertumbuhan tersebut sebagai sinyal bahwa industri mulai meninggalkan metode autentikasi lama. “Organisasi di berbagai sektor mulai mengambil langkah untuk tidak menggunakan password dan metode autentikasi lama yang selama puluhan tahun menjadi penyebab kebocoran data, pengambilalihan akun, dan frustrasi pengguna,” kata Shikiar dalam pernyataan resmi FIDO Alliance. 

Selain alasan keamanan, faktor kenyamanan juga menjadi pendorong utama. Survei FIDO Alliance pada 2025 menemukan bahwa lebih dari sepertiga responden pernah mengalami pembobolan akun akibat kelemahan password. Sementara itu, hampir separuh pengguna mengaku pernah membatalkan transaksi daring hanya karena lupa kata sandi akun mereka. 

Namun, narasi bahwa passkey adalah solusi sempurna juga mendapat sejumlah catatan kritis. Sejumlah peneliti keamanan siber mengingatkan bahwa passkey tidak sepenuhnya menghilangkan risiko. Ancaman masih dapat muncul ketika perangkat pengguna telah terinfeksi malware atau ketika sistem autentikasi berada dalam ekosistem yang terlalu terpusat. Penelitian terbaru menunjukkan bahwa meskipun passkey secara signifikan meningkatkan ketahanan terhadap phishing, keamanan pengguna tetap sangat bergantung pada keamanan perangkat dan penyedia layanan yang menyimpan sinkronisasi kredensial. 

Kritik lain muncul terkait potensi itu ada ketergantungan terhadap ekosistem perusahaan teknologi besar. Saat ini, sebagian besar passkey tersimpan dan tersinkronisasi melalui layanan seperti Google Password Manager, Apple iCloud Keychain, atau platform serupa. Kondisi tersebut membuat proses perpindahan antar-ekosistem belum selalu mudah.

Laporan terbaru bahkan menunjukkan bahwa industri masih berupaya menciptakan standar yang memungkinkan pengguna memindahkan passkey secara aman antar layanan dan pengelola kata sandi. 

Dalam diskusi komunitas keamanan siber, sebagian pengguna juga mempertanyakan risiko sentralisasi tersebut. Mereka khawatir masa depan autentikasi digital akan semakin terkunci pada segelintir perusahaan teknologi yang mengendalikan perangkat, sistem operasi, dan penyimpanan kredensial. Meski demikian, mayoritas pakar keamanan tetap menilai passkey sebagai lompatan besar dibanding password dan OTP. 

Jika password bergantung pada sesuatu yang diketahui pengguna, dan OTP bergantung pada kode yang dikirim melalui saluran komunikasi tertentu, passkey mengandalkan kepemilikan perangkat sekaligus verifikasi identitas biometrik. Kombinasi ini membuat peluang pencurian kredensial menjadi jauh lebih kecil. 

Perdebatan mengenai passkey adalah soal bagaimana manusia membangun hubungan dengan keamanan digital. Selama bertahun-tahun, internet tumbuh di atas fondasi password yang mudah diingat, tetapi juga mudah dicuri. Kini, dunia digital sedang bergerak menuju sistem yang tidak lagi meminta manusia menghafal rahasia, melainkan membuktikan identitasnya melalui perangkat yang mereka miliki.

Barangkali kita memang sedang menyaksikan senjakala password. Namun, seperti setiap perubahan besar dalam sejarah teknologi, tantangannya bukan sekadar menciptakan sistem yang lebih aman. Tantangan sesungguhnya adalah memastikan bahwa keamanan tidak berubah menjadi ketergantungan baru, dan bahwa kemudahan yang dijanjikan tetap berjalan seiring dengan kebebasan pengguna untuk mengendalikan identitas digital mereka sendiri. 

Di masa depan, pertanyaan terbesarnya mungkin bukan lagi “apa kata sandimu?”, melainkan “siapa yang sesungguhnya memegang kunci atas dirimu di dunia digital?”. (Red)