Pendahuluan

Ketergantungan pada kata sandi dan metode autentikasi lama semakin menunjukkan kelemahannya. Serangan phishing, pencurian kredensial, dan social engineering masih menjadi penyebab utama pelanggaran data.
Dalam menghadapi tantangan ini, muncul dua standar keamanan modern yang mulai menjadi arsitektur masa depan autentikasi digital: FIDO2 dan WebAuthn.

Artikel ini membahas bagaimana FIDO2 dan WebAuthn bekerja, apa kelebihannya, dan mengapa mereka dianggap sebagai generasi baru dari Multi-Factor Authentication (MFA).

Apa Itu FIDO2?

FIDO2 adalah standar otentikasi yang dikembangkan oleh FIDO Alliance bersama dengan World Wide Web Consortium (W3C).
FIDO2 terdiri dari dua komponen utama:

  1. WebAuthn (Web Authentication API)
    Protokol yang memungkinkan situs web melakukan autentikasi tanpa password melalui browser.

  2. CTAP (Client to Authenticator Protocol)
    Menghubungkan perangkat pengguna (seperti smartphone atau security key) dengan browser atau sistem.

Bagaimana WebAuthn Bekerja?

WebAuthn memungkinkan situs web untuk:

  • Mendaftarkan pengguna dengan faktor autentikasi lokal, seperti sidik jari atau PIN

  • Menyimpan kunci publik di server, sementara kunci privat tetap aman di perangkat pengguna

  • Melakukan login berbasis tantangan kriptografi, bukan password

Dengan sistem ini, tidak ada data sensitif seperti password yang dikirim atau disimpan di server, sehingga sangat sulit diretas.

Kelebihan FIDO2 dan WebAuthn

  • Aman terhadap phishing
    Tidak ada input password yang bisa dicuri melalui situs palsu

  • Tanpa password
    Menggunakan autentikasi biometrik, perangkat fisik, atau PIN lokal

  • Cepat dan mudah digunakan
    Hanya perlu ketuk, pindai sidik jari, atau konfirmasi di perangkat

  • Skalabel untuk organisasi besar dan kecil
    Dukungan luas di browser modern dan sistem operasi seperti Windows, Android, dan iOS

  • Privasi pengguna lebih terjaga
    Setiap situs memiliki kunci unik, sehingga aktivitas login tidak bisa dilacak lintas layanan

Contoh Implementasi

  • Microsoft: Login akun Microsoft dengan Windows Hello dan FIDO2 key

  • Google: Mendukung login tanpa password menggunakan Titan Key dan WebAuthn

  • GitHub: Login ke akun dengan WebAuthn security key atau biometrik

  • Dropbox, Facebook, Twitter, dan lainnya juga telah mengintegrasikan dukungan WebAuthn

Tantangan Adopsi

  • Perangkat lama mungkin tidak mendukung teknologi ini

  • Ketergantungan pada perangkat — jika hilang, perlu proses recovery

  • Kurangnya edukasi pengguna soal keamanan berbasis public key

  • Belum semua layanan web mendukung penuh WebAuthn secara default

Kesimpulan

FIDO2 dan WebAuthn merevolusi cara kita melakukan autentikasi.
Dengan menghilangkan kebutuhan akan password dan memanfaatkan kriptografi tingkat tinggi, keduanya memberikan perlindungan yang jauh lebih kuat dan pengalaman pengguna yang lebih nyaman.

Untuk masa depan keamanan digital yang lebih aman dan bebas dari ancaman phishing, organisasi dan penyedia layanan harus mulai mempertimbangkan migrasi ke arsitektur berbasis FIDO2 dan WebAuthn.

Penulis: Andi Waldiyunso

NIM: 23156201003

Jurusan: Sistem Komputer, STMIK Catur Sakti Kendari