Komuniti teknologi sedang giat memperdebatkan masa depan passkey, terutamanya berkaitan sekatan eksport yang menghalang pengguna daripada memindahkan kelayakan pengesahan mereka antara pengurus kata laluan. Walaupun passkey menjanjikan keselamatan yang lebih baik berbanding kata laluan tradisional, kebimbangan yang semakin meningkat mengenai vendor lock-in dan agensi pengguna sedang mewujudkan geseran dalam landskap pengesahan.
Had Eksport Mewujudkan Masalah Migrasi
Salah satu isu yang paling kontroversial dengan pelaksanaan passkey semasa ialah ketidakupayaan untuk mengeksport kunci peribadi antara pengurus kata laluan yang berbeza. Tidak seperti kata laluan tradisional yang boleh disalin atau dieksport dengan mudah, passkey direka bentuk untuk tidak boleh dieksport atas sebab keselamatan. Ini mewujudkan cabaran yang ketara bagi pengguna yang ingin bertukar antara penyedia pengesahan atau mengekalkan kaedah akses sandaran.
Keadaan ini menjadi sangat bermasalah apabila pengguna mendapati mereka mempunyai beratus-ratus akaun yang terikat dengan passkey daripada satu penyedia. Ahli komuniti melaporkan mempunyai 60 hingga 400 entri passkey yang berbeza, menjadikan pendaftaran semula secara manual merentas perkhidmatan sebagai tugas yang sangat membebankan jika mereka perlu bertukar pengurus kata laluan.
Status Sokongan Eksport Passkey Semasa:
- Apple : Fungsi eksport diumumkan untuk iOS 26 dan macOS 26 (tersedia dalam beta awam)
- Bitwarden : Menyokong passkey sejak Mei 2024, termasuk aplikasi mudah alih
- KeePassXC : Menyokong passkey dengan keupayaan eksport
- 1Password : Mengumumkan rancangan untuk fungsi eksport/import
- Google : Tiada data pengesahan didedahkan untuk passkey pengguna, tetapi tersedia untuk perusahaan melalui MDM
Pengesahan Keluarga Menjadi Lebih Kompleks
Ibu bapa dan pentadbir keluarga mendapati pengurusan passkey semakin mengecewakan berbanding perkongsian kata laluan yang mudah. Aliran pengesahan baharu memerlukan penggunaan berbilang aplikasi dan proses kebenaran yang kompleks apabila cuba mengakses akaun pada peranti anak-anak atau membantu ahli keluarga dengan akaun mereka.
Log masuk ke akaun saya pada peranti anak-anak saya telah berubah daripada proses yang mudah kepada pengalaman yang sangat mengecewakan. Saya mendapati diri saya terpaksa menggunakan pelbagai jenis aplikasi dan aliran yang berbeza.
Kerumitan ini meluas kepada situasi kecemasan di mana ahli keluarga memerlukan akses kepada akaun saudara yang telah meninggal dunia, mewujudkan cabaran baharu yang tidak wujud dengan sistem kata laluan tradisional.
Kebimbangan Kawalan Korporat dan Pengesahan
Standard passkey merangkumi sistem pengesahan yang membolehkan laman web mengenal pasti jenis pengesah yang digunakan oleh pengguna. Ciri ini telah digunakan oleh sesetengah kerajaan, seperti Austria, untuk menyekat akses kepada perkhidmatan rasmi melainkan pengguna membeli token perkakasan yang disenarai putih khusus.
Profesional keselamatan secara amnya menyokong passkey kerana sifat anti-phishing dan keselamatan yang lebih baik berbanding gabungan kata laluan-plus-TOTP. Walau bagaimanapun, potensi penyalahgunaan pengesahan oleh syarikat atau kerajaan untuk mewujudkan senario vendor lock-in kekal sebagai kebimbangan yang ketara bagi penyokong privasi dan peminat sumber terbuka.
Perbandingan Keselamatan Kaedah Pengesahan:
- Paling Kuat: Kata Laluan + Kunci Keselamatan Perkakasan ( WebAuthn )
- Kuat: Kunci laluan ( tahan terhadap pancingan data )
- Sederhana: Kata Laluan + TOTP ( terdedah kepada pancingan data )
- Lemah: Kata Laluan + SMS/Emel ( terdedah kepada pancingan data dan pertukaran SIM )
- Paling Lemah: Kata laluan sahaja
Kebergantungan Platform Mewujudkan Risiko Baharu
Peralihan ke arah passkey meningkatkan kebergantungan kepada platform teknologi utama seperti Google, Apple, dan Microsoft. Pengguna yang kehilangan akses kepada akaun utama mereka melalui penamatan automatik atau isu lain kini berhadapan dengan kehilangan bukan sahaja data mereka, tetapi juga kelayakan pengesahan mereka untuk laman web pihak ketiga.
Kebergantungan ini amat membimbangkan memandangkan platform utama diketahui menamatkan akaun tanpa proses rayuan yang jelas, meninggalkan pengguna tanpa jalan untuk memulihkan identiti digital mereka di seluruh web.
Jalan Ke Hadapan
Walaupun terdapat kebimbangan ini, teknologi ini terus berkembang. Apple telah mengumumkan fungsi eksport passkey dalam versi iOS dan macOS yang akan datang, dan pengurus kata laluan seperti Bitwarden dan KeePassXC sedang berusaha untuk menyokong kebolehportabilan passkey yang lebih baik. Walau bagaimanapun, ketegangan asas antara keselamatan dan kawalan pengguna terus mendorong perbincangan komuniti mengenai masa depan pengesahan web.
Perdebatan ini menyerlahkan persoalan yang lebih luas mengenai sama ada faedah keselamatan passkey membenarkan potensi kehilangan agensi pengguna dan peningkatan kebergantungan platform yang datang dengan pelaksanaan semasa.
Rujukan: Passkeys and Modern Authentication