Pakar keamanan siber mengungkap bahwa fitur passkey atau kunci sandi, yang telah diperkenalkan oleh Google dan WhatsApp sebagai alternatif untuk login tradisional, memiliki kelemahan tertentu. Meskipun fitur ini bertujuan untuk melindungi akun dari upaya pencurian password (phishing), terdapat potensi ancaman yang harus diperhatikan.

Igor Kuznetsov, Direktur Tim Riset dan Analisis Global (Global Research and Analysis Team GReAT) di Kaspersky, menjelaskan bahwa meskipun kunci sandi (passkeys) dirancang untuk tahan terhadap peretasan dan ancaman siber tertentu, risiko masih ada. Secara khusus, kunci sandi ini menawarkan perlindungan yang kuat terhadap upaya phishing.

Teknologi passkey dikembangkan sesuai standar yang ditetapkan oleh aliansi Fast Identity Online (FIDO) dan setiap kunci sandi terkait dengan situs web tertentu, sehingga mengurangi risiko penggunaannya di situs palsu.

Kelemahan utama terletak pada fakta bahwa jika perangkat yang digunakan untuk login disusupi oleh pelaku kejahatan siber, mereka dapat menggunakan rekayasa sosial untuk memaksa pengguna login ke aplikasi palsu atau mencuri data setelah login berhasil. Selain itu, kunci sandi secara default disinkronkan dengan layanan cloud penyedia, seperti Google atau Apple, yang berarti jika akun penyedia tersebut diretas, keamanan kunci sandi akan terancam.

Kaspersky menyarankan agar pengguna tetap melengkapi penggunaan kunci sandi dengan praktik keamanan tradisional terbaik, termasuk solusi keamanan siber, pembaruan perangkat lunak secara berkala, dan kewaspadaan terhadap sumber daya, email, atau panggilan yang mencurigakan.