Apa itu FIDO2?

FIDO2 terdiri dari dua protokol: Web Authentication (WebAuthn) dan Client to Authenticator Protocol 2 (CTAP2). Dengan bekerja sama, protokol-protokol ini memungkinkan pengguna untuk masuk ke situs web atau aplikasi tanpa menggunakan kata sandi tradisional.

Alih-alih kata sandi, autentikasi FIDO2 menggunakan metode yang sama yang digunakan orang untuk buka perangkat seperti smartphone atau laptop. Pengguna FIDO2 dapat mengautentikasi dengan pengenalan wajah, pembaca sidik jari atau dengan memasukkan PIN. Mereka juga dapat menggunakan token perangkat keras fisik yang dikenal sebagai kunci keamanan FIDO2.

Karena didasarkan pada kriptografi kunci publik, FIDO2 menyediakan metode autentikasi yang lebih aman daripada kata sandi, yang sering ditargetkan penyerang. IBM X-Force Threat Intelligence Index melaporkan bahwa hampir sepertiga dari serangan siber melibatkan pembajakan akun pengguna yang valid.

Dengan menghilangkan kata sandi, FIDO2 memitigasi banyak ancaman keamanan siber seperti phishing, serangan man-in-the-middle, dan pembajakan akun. FIDO2 juga memberikan pengalaman pengguna yang lebih nyaman karena tidak perlu mengingat kata sandi, mengubah kata sandi secara berkala, atau berurusan dengan proses pengaturan ulang dan pemulihan.

Autentikasi FIDO2 menggunakan kriptografi kunci publik untuk menghasilkan pasangan kunci kriptografi unik, yang disebut “passkey,” yang terkait dengan akun pengguna. Pasangan kunci terdiri dari kunci publik yang tetap berada di penyedia layanan dan kunci privat yang berada di perangkat pengguna.

Ketika pengguna masuk ke akun mereka, penyedia layanan mengirimkan tantangan—biasanya berupa serangkaian karakter acak—ke perangkat pengguna. Perangkat prompt pengguna untuk mengautentikasi diri mereka sendiri dengan memasukkan PIN atau dengan menggunakan autentikasi biometrik.

Jika pengguna berhasil melakukan autentikasi, perangkat menggunakan kunci pribadi untuk menandatangani tantangan dan mengirimkannya kembali ke penyedia layanan. Penyedia layanan menggunakan kunci publik untuk memverifikasi bahwa kunci privat yang tepat telah digunakan dan—jika demikian—memberikan pengguna akses ke akun mereka.

Kunci sandi yang disimpan di satu perangkat dapat digunakan untuk masuk ke layanan di perangkat lain. Misalnya, jika pengguna menetapkan kunci sandi untuk akun email mereka di perangkat mobile mereka, mereka masih dapat masuk ke akun email mereka di laptop. Pengguna akan menyelesaikan tantangan autentikasi di perangkat mobile terdaftar.

FIDO2 juga mendukung penggunaan kunci keamanan, seperti YubiKey atau Google Titan, sebagai metode autentikasi.

Kunci keamanan, juga disebut "token perangkat keras", adalah perangkat fisik kecil yang mengirimkan informasi autentikasi langsung ke suatu layanan. Mereka dapat terhubung melalui Bluetooth, protokol komunikasi medan dekat (NFC), atau port USB. Pengguna dapat menggunakan kunci keamanan FIDO2 alih-alih data biometrik atau PIN untuk mengautentikasi diri dan menandatangani tantangan.

Karena kunci pribadi disimpan di dalam—dan tidak pernah meninggalkan—perangkat pengguna, kemungkinan pelanggaran keamanan dapat diminimalkan. Peretas tidak dapat mencurinya dengan membobol basis data atau mencegat komunikasi. Kunci publik yang berada pada penyedia layanan tidak mengandung informasi sensitif dan tidak banyak berguna bagi peretas.

Katakanlah seorang pengguna ingin menggunakan autentikasi FIDO untuk masuk ke akun email mereka. Proses untuk membuat kunci sandi dan mengautentikasi dengannya akan terlihat seperti ini:

1. Dalam pengaturan akun, pengguna memilih “kunci sandi” sebagai metode autentikasi.
   
   
2. Pengguna memilih perangkat tempat mereka ingin membuat kunci sandi. Perangkat ini biasanya merupakan perangkat yang sedang mereka gunakan saat ini, tetapi juga bisa menjadi perangkat lain yang mereka miliki.
   
   
3. Perangkat yang dipilih meminta pengguna untuk melakukan autentikasi menggunakan biometrik, PIN, atau kunci keamanan.
   
   
4. Perangkat pengguna membuat pasangan kunci kriptografi. Kunci publik dikirim ke penyedia email, dan kunci pribadi disimpan di perangkat.
   
   
5. Pada saat pengguna masuk, penyedia email mengirimkan tantangan ke perangkat pengguna.
   
   
6. Pengguna menjawab tantangan dengan melakukan autentikasi menggunakan biometrik, PIN, atau kunci keamanan.
   
   
7. Perangkat mengembalikan tantangan yang diautentikasi ke penyedia email, yang menggunakan kunci publik untuk memverifikasi.
   
   
8. Pengguna diberikan akses ke akun email.

FIDO2 mendukung dua jenis kunci sandi: kunci sandi yang disinkronkan dan kunci sandi terikat perangkat.

Kunci sandi yang disinkronkan dapat digunakan di beberapa perangkat, sehingga membuatnya lebih nyaman. Manajer kredensial seperti Apple Passwords, Windows Hello, dan Google Password Manager dapat menyimpan kunci sandi yang disinkronkan dan membuatnya tersedia untuk pengguna di perangkat apa pun.

Misalnya, pengguna mungkin mendaftar untuk mendapatkan kunci sandi di smartphone untuk mengakses aplikasi perbankan. Kunci sandi yang sama akan tersedia melalui manajer kredensial ketika pengguna masuk ke aplikasi perbankan dengan laptop atau tablet mereka.

Jenis kunci sandi ini terikat pada satu perangkat, yang menawarkan tingkat keamanan tertinggi.

Kunci sandi terikat perangkat biasanya diakses dengan kunci keamanan fisik (physical security) yang terhubung ke satu perangkat tertentu. Kunci sandi tidak dapat meninggalkan perangkat, sehingga kurang rentan terhadap akses yang tidak sah.

Kunci sandi yang terikat pada perangkat sering kali digunakan untuk mengakses informasi yang sangat sensitif seperti data keuangan, kekayaan intelektual perusahaan, atau materi rahasia pemerintah.

Pada tahun 2013, sekelompok perusahaan teknologi membentuk FIDO Alliance. Tujuan organisasi adalah untuk mengurangi ketergantungan dunia pada autentikasi berbasis kata sandi.

Setahun kemudian, aliansi tersebut memperkenalkan standar FIDO 1.0, yang terdiri dari dua protokol: Universal Authentication kerangka kerja (UAF) dan Universal Second Factor (U2F). Standar baru tersebut meletakkan dasar untuk autentikasi tanpa kata sandi, tetapi cakupannya terbatas.

Misalnya, FIDO 1.0 pada dasarnya berfokus pada penyediaan faktor kedua untuk autentikasi berbasis kata sandi, bukan untuk menghilangkan kata sandi sepenuhnya. Hal ini juga tidak memiliki standardisasi yang memungkinkan untuk diterapkan dengan mudah di berbagai platform, aplikasi, dan peramban web.

FIDO Alliance mengatasi keterbatasan ini ketika merilis dua protokol baru FIDO2—Client to Authenticator Protocol 2 (CTAP2) dan Web Authentication (WebAuthn)—pada tahun 2018.

CTAP2 memberikan pengalaman autentikasi tanpa kata sandi satu faktor. WebAuthn menyederhanakan adopsi FIDO dengan antarmuka pemrograman aplikasi (API) berbasis browser standar. Fungsionalitas yang diperluas ini telah membantu FIDO2 menjadi standar autentikasi yang diadopsi secara luas untuk situs web, aplikasi, dan layanan online.

Saat ini, jutaan orang menggunakan autentikasi FIDO2 untuk masuk ke situs web dan aplikasi. Standar FIDO2 didukung oleh hampir semua perangkat pengguna, browser web, sistem masuk tunggal (SSO), solusi manajemen identitas dan akses (IAM), server web, dan sistem operasi termasuk iOS, MacOS, Android, dan Windows.

2013: FIDO Alliance didirikan dengan tujuan untuk mengurangi ketergantungan pada autentikasi berbasis kata sandi.

2014: FIDO 1.0 diluncurkan.

2015: Standar FIDO mulai diakui secara global. Aliansi FIDO memperluas jaringannya menjadi lebih dari 250 anggota, termasuk perusahaan-perusahaan seperti Microsoft, Google, PayPal, dan Bank of America.

2016: FIDO Alliance mulai mengerjakan FIDO2. Grup ini berkolaborasi dengan World Wide Web Consortium yang berpengaruh untuk membantu memastikan standar baru ini didukung di berbagai browser dan platform web.

2018: FIDO2 dirilis dan memperluas kemampuan FIDO 1.0.

2020: FIDO2 didukung dan diimplementasikan di berbagai browser web dan sistem operasi utama, termasuk Firefox, Chrome, Edge, Safari, Android, iOS, dan Windows.

2024: FIDO Alliance mengumumkan bahwa lebih dari 15 miliar akun pengguna di seluruh dunia dapat menggunakan autentikasi FIDO2.

Sementara FIDO 1.0 dan FIDO2 keduanya mengaktifkan autentikasi tanpa kata sandi, FIDO2 secara signifikan memperluas jangkauan dan kemampuan standar FIDO dengan autentikasi kuat tanpa kata sandi sepenuhnya melalui mobile, desktop atau kunci keamanan.

FIDO2 memberikan pengalaman yang lebih ramah pengguna dengan menghilangkan kebutuhan untuk memasukkan kata sandi sebagai faktor pertama dalam autentikasi multifaktor (MFA). FIDO2 juga menyediakan API berbasis web standar untuk adopsi yang mudah.

Untuk memahami perbedaan antara FIDO 1.0 dan FIDO 2 dengan jelas, akan lebih membantu jika kita melihat protokol spesifik yang mendasari setiap iterasi standar tersebut. 

FIDO UAF adalah salah satu protokol pertama yang dikembangkan oleh Aliansi FIDO. FIDO UAF menyediakan kemampuan untuk masuk ke layanan tanpa menggunakan kata sandi. Alih-alih kata sandi, pengguna dapat mengautentikasi langsung dari perangkat dengan menggunakan data biometrik seperti pengenalan suara atau wajah, atau PIN.

Namun, kurangnya standardisasi membuat UAF sulit diintegrasikan dan diimplementasikan di berbagai browser web, aplikasi, dan server. Interoperabilitas terbatas ini merupakan penghalang untuk adopsi yang luas.

FIDO U2F dikembangkan untuk menyediakan autentikasi dua faktor (2FA) untuk sistem yang mengandalkan nama pengguna dan kata sandi. 2FA membutuhkan faktor kedua bagi pengguna untuk mengkonfirmasi identitas mereka. U2F menggunakan kunci physical security sebagai faktor kedua untuk otorisasi. Setelah perilisan FIDO2, U2F berganti nama menjadi “CTAP1”.

Ketergantungan U2F pada keamanan fisik alih-alih jangkauan perangkat yang lebih luas, seperti smartphone dan laptop, adalah faktor pembatas untuk adopsinya.

WebAuthn memperluas kemampuan UAF dengan menyediakan antarmuka pemrograman aplikasi (API) web yang memudahkan pihak yang mengandalkan untuk mengimplementasikan autentikasi tanpa kata sandi. "Pihak yang mengandalkan" adalah istilah untuk situs web dan aplikasi web yang menggunakan autentikasi FIDO.

WebAuthn juga menyediakan standar FIDO yang menetapkan bagaimana interaksi seharusnya mengalir antara aplikasi web, peramban web, dan autentikator seperti data biometrik atau kunci keamanan.

CTAP2 mendefinisikan cara klien FIDO seperti peramban web atau sistem operasi berkomunikasi dengan autentikator. Autentikator adalah komponen yang memverifikasi identitas pengguna. Di U2F (atau CTAP1), autentikator selalu merupakan kunci keamanan. CTAP2 menambahkan autentikator tambahan yang disimpan di perangkat pengguna, seperti pengenalan suara dan wajah biometrik, sidik jari, atau PIN.