Passkeys, teknologi pengganti kata laluan yang disokong oleh syarikat teknologi utama, sedang menghadapi penelitian yang semakin meningkat daripada pembangun dan pakar keselamatan yang berhujah bahawa sistem ini mewujudkan masalah baharu sambil menyelesaikan masalah lama. Teknologi ini, yang menggunakan kunci kriptografi berbanding kata laluan tradisional, telah mencetuskan perdebatan hangat mengenai kebebasan pengguna, kawalan vendor, dan manfaat keselamatan sebenar yang disediakannya.
Masalah Lock-in
Kritikan yang paling ketara tertumpu kepada betapa sukarnya untuk memindahkan passkeys antara pengurus kata laluan yang berbeza. Tidak seperti kata laluan tradisional yang boleh disalin dan ditampal, passkeys direka bentuk untuk menjadi legap kepada pengguna dan tidak boleh dipindahkan dengan mudah. Ini mewujudkan situasi di mana pertukaran daripada pengurus kata laluan Google kepada Apple , atau kepada perkhidmatan bebas seperti Bitwarden , menjadi rumit tanpa perlu.
Walaupun FIDO Alliance telah berjanji dengan Credential Exchange Protocol untuk menangani isu ini, penyelesaian tersebut masih sebahagian besarnya teoretikal pada tahun 2025. Pada masa ini, satu-satunya penyelesaian adalah untuk laman web membenarkan berbilang passkeys bagi setiap akaun, tetapi banyak perkhidmatan tidak menyokong ciri ini. Ini memaksa pengguna untuk memilih antara kemudahan dan fleksibiliti.
Perbandingan Pilihan Penyimpanan Passkey
| Kaedah Penyimpanan | Tahap Keselamatan | Mudah Alih | Pilihan Sandaran | Risiko Terikat Vendor |
|---|---|---|---|---|
| Kunci Perkakasan ( YubiKey ) | Tinggi | Memerlukan pemindahan manual | Memerlukan pendua fizikal | Rendah |
| Penyegerakan Awan ( Google / Apple ) | Sederhana | Automatik merentasi peranti | Bergantung kepada pemulihan akaun | Tinggi |
| Pengurus Kata Laluan Tempatan | Sederhana-Tinggi | Eksport/import tersedia | Sandaran dikawal pengguna | Rendah-Sederhana |
| Terbina Dalam Pelayar | Sederhana | Terhad kepada ekosistem pelayar | Berbeza mengikut pelayar | Sederhana-Tinggi |
Teater Keselamatan atau Perlindungan Sebenar?
Manfaat keselamatan passkeys juga sedang diperdebatkan. Penyokong berhujah bahawa passkeys menyediakan perlindungan yang lebih baik terhadap serangan phishing kerana ia terikat kepada domain tertentu dan tidak boleh diperdaya untuk berfungsi pada laman web palsu. Teknologi ini juga menghapuskan risiko pelanggaran pangkalan data kata laluan kerana kunci peribadi tidak pernah meninggalkan peranti pengguna.
Walau bagaimanapun, pengkritik menunjukkan bahawa passkeys boleh ditetapkan semula menggunakan kaedah yang sama seperti kata laluan tradisional - biasanya melalui pengesahan e-mel. Ini bermakna jika seseorang boleh menjejaskan akaun e-mel anda, mereka masih boleh mendapat akses kepada akaun yang dilindungi passkeys anda. Proses penetapan semula pada asasnya menjadikan passkeys hanya kata laluan yang memerlukan pengurus kata laluan, seperti yang dinyatakan oleh satu analisis.
Batasan Utama Passkey
- Kesukaran Pemindahan: Tidak boleh salin/tampal passkey antara pengurus kata laluan
- Proses Tetapan Semula: Kelemahan yang sama seperti kata laluan tradisional melalui tetapan semula emel
- Pergantungan Vendor: Risiko akaun dikunci jika pembekal awan mengharamkan pengguna
- Pilihan Sandaran Terhad: Tiada kaedah piawai untuk sandaran kelayakan yang selamat
- Kebimbangan Pengesahan: Potensi untuk menyekat pelaksanaan sumber terbuka
- Pengalaman Pengguna: Kelakuan tidak konsisten merentasi pelayar dan peranti yang berbeza
Perdebatan Kawalan
Perpecahan falsafah yang lebih mendalam telah muncul mengenai kawalan pengguna dan kebebasan. Passkeys direka bentuk dengan andaian bahawa pengguna tidak boleh dipercayai dengan kelayakan keselamatan mereka sendiri. Teknologi ini sengaja menghalang pengguna daripada melihat atau menguruskan kunci peribadi mereka secara manual, yang dilihat oleh sesetengah pihak sebagai perlindungan yang diperlukan terhadap serangan kejuruteraan sosial.
Ini adalah DRM untuk kata laluan, yang secara berkesan menghalang penyerang berniat jahat daripada mengeksport kelayakan, pada asasnya tanpa pengecualian.
Yang lain melihat ini sebagai sekatan yang tidak boleh diterima terhadap hak pengguna. Pengurus kata laluan sumber terbuka seperti KeePassXC , yang membenarkan pengguna mengeksport data passkeys mereka, telah menghadapi ancaman untuk disekat melalui mekanisme pengesahan yang boleh menghalang penggunaannya dengan perkhidmatan tertentu.
Penyimpanan Perkakasan lwn Awan
Pelaksanaan passkeys berbeza dengan ketara bergantung kepada kaedah penyimpanan. Kunci keselamatan perkakasan seperti YubiKeys menawarkan manfaat keselamatan yang tulen dengan menyimpan kelayakan dalam peranti tahan gangguan. Walau bagaimanapun, kebanyakan pengguna bergantung kepada passkeys yang disegerakkan awan yang disimpan dalam perkhidmatan seperti iCloud Keychain atau Google Password Manager .
Pendekatan berasaskan awan ini memperkenalkan risiko baharu. Pengguna yang kehilangan akses kepada akaun Google atau Apple mereka boleh mendapati diri mereka dikunci daripada berpuluh-puluh perkhidmatan secara serentak. Kemudahan penyegerakan merentas peranti datang dengan kos mewujudkan titik kegagalan tunggal yang baharu.
Rintangan Industri dan Cabaran Penggunaan
Teknologi ini menghadapi rintangan daripada pengguna teknikal dan pengguna harian. Ramai pembangun melihat passkeys sebagai pramatang, menggambarkannya sebagai perisian alfa yang entah bagaimana dihantar secara silap. Pengalaman pengguna kekal tidak konsisten merentas pelayar dan peranti yang berbeza, dengan kadar kejayaan untuk pengesahan passkey berbeza dengan ketara.
Institusi kewangan dan pengguna perusahaan telah lebih perlahan untuk menggunakan teknologi ini, sebahagiannya disebabkan kebimbangan mengenai pergantungan vendor dan kekurangan prosedur pemulihan yang jelas. Kerumitan menjelaskan passkeys kepada pengguna bukan teknikal juga telah menghalang penggunaan meluas.
Perdebatan passkey mencerminkan ketegangan yang lebih luas dalam industri teknologi antara keselamatan, kemudahan, dan autonomi pengguna. Walaupun teknologi ini menangani masalah sebenar dengan pengesahan berasaskan kata laluan tradisional, pelaksanaan semasanya menimbulkan kebimbangan baharu mengenai kawalan korporat ke atas identiti digital. Semasa teknologi terus berkembang, mencari keseimbangan yang tepat antara keselamatan dan kebebasan pengguna kekal sebagai cabaran yang berterusan.
Rujukan: Passkeys are just passwords that require a password manager