Passkeys vs Password: Era Password Akan Berakhir di 2026?

Tahun 2026 ini, kalau lo coba login ke iCloud atau Google account dari device baru, kemungkinan besar lo bakal disuruh pakai "passkey" daripada password. Apple udah resmi default pakai passkey untuk Apple ID sejak iOS 17. Google bilang udah lebih dari 800 juta passkey di-create user mereka. Microsoft Account juga support penuh.

Tapi pertanyaannya: ini cuma marketing trend yang dipaksa, atau passkey beneran lebih bagus? Saya udah pakai passkey untuk akun pribadi selama setahun terakhir. Berikut hasil review jujurnya.

Apa Itu Passkey Sebenarnya

Passkey adalah implementasi dari standar FIDO2 + WebAuthn, dibungkus dengan UX yang lebih friendly. Secara teknis, passkey adalah pasangan kunci kriptografi:

• Private key tersimpan di device lo (HP, laptop), di-protect oleh biometric (Face ID, fingerprint) atau PIN device.
• Public key dikirim ke server saat lo bikin akun. Server simpan ini.

Saat login, server kirim "challenge" random. Device lo sign challenge tersebut pakai private key, kirim signature balik. Server verify pakai public key. Done. Ngga ada password yang dikirim, ngga ada secret yang bisa di-leak.

Kunci pentingnya: private key never leaves your device. Berbeda dengan password yang lo tulis dan kirim ke server tiap kali login.

Alasan Passkey Beneran Lebih Aman

Setelah pakai setahun, ini observasi konkret kenapa passkey emang lebih bagus:

1. Phishing-Resistant

Skenario klasik phishing: lo dapat email "akun lo bermasalah", klik link ke "google.com" tapi sebenernya gooogle.com (3 o). Lo masukin password, langsung kena.

Dengan passkey, ini ngga bisa kejadian. Browser cek domain. Kalau domain di URL bar bukan google.com asli, browser TIDAK akan kasih option login dengan passkey Google. Lo bahkan ngga bisa "salah ketik" password ke website palsu, karena ngga ada password buat di-ketik.

Saya udah test sendiri di setup phishing simulation. Email phishing sukses bypass spam filter, link site copy-paste persis kayak Google login page, tapi saat klik "use passkey", browser ngga muncul opsi apa apa. Phishing fail by design.

2. Database Breach Jadi Less Catastrophic

Tahun 2024 LastPass kena breach. Tahun 2025 ada beberapa breach besar service populer. Kalau yang dicuri password hash, attacker bisa coba crack offline. Bahkan bcrypt hash bisa di-brute-force untuk password yang lemah.

Passkey beda. Yang server simpan cuma public key. Public key ngga bisa di-reverse engineer jadi private key (itu basis matematika kriptografi asymmetric). Database breach service pakai passkey, attacker dapat... nothing useful. Public key ngga bisa di-pakai login ke akun manapun.

3. Otomatis Strong Credential

Berapa user yang masih pakai "password123" atau nama anjingnya sebagai password? Banyak. Berapa yang re-use password sama di 5 service? Lebih banyak lagi.

Passkey otomatis generate kunci kriptografi 256-bit. Itu strength yang ngga bisa di-brute force di umur universe. Plus tiap akun dapat passkey unik, jadi tidak ada "credential stuffing" yang work.

Tapi Ada Friction Yang Belum Selesai

Untuk kasih honest review, passkey juga punya beberapa pain point yang masih nyebelin di 2026:

1. Cross-Device Login Masih Ribet

Saya pakai iPhone. Saat saya beli akun baru di laptop Windows, login passkey iPhone saya butuh QR code scan + Bluetooth proximity. Setup-nya kerja, tapi ribet. 3 dari 10 kali QR ngga match karena Bluetooth flaky.

Kalau lo ada di hotel, laptop kerja yang ngga ada Bluetooth, mau login ke service yang cuma support passkey... itu pengalaman frustrating. Solusinya: simpan passkey di password manager (1Password, Bitwarden) yang sync via cloud. Tapi itu artinya kita kembali ke "trust cloud provider" yang justru passkey mau hindari.

2. Kalau Lo Hilang Device, Recovery Sulit

Password lupa? Reset email. Passkey hilang? Tergantung service-nya.

Apple: kalau lo masih punya device Apple lain logged in ke Apple ID, lo bisa transfer passkey lewat iCloud. Tapi kalau cuma punya 1 device dan hilang, recovery bisa horror story dengan customer service.

Google: punya recovery via "trusted device" atau backup phone number. Lebih flexible, tapi tetap proses 2-3 hari kalau full lockout.

Banyak service kecil cuma kasih "fall back to email + OTP". Yang ironis, butuh OTP buat recover passkey, padahal passkey supposedly ngegantiin OTP/SMS auth.

3. Belum Semua Service Support

Adoption realistis di 2026:

• Google, Apple, Microsoft, Amazon: full support
• GitHub, GitLab: support
• Discord, X (Twitter): support tapi bukan default
• Bank Indonesia: hampir tidak ada yang support
• Marketplace lokal (Shopee, Tokopedia): belum support penuh
• Smaller SaaS: campur, banyak yang masih password-only

Realistis-nya, lo masih butuh password manager untuk sebagian akun, ditambah passkey untuk yang udah support. Hybrid setup ini bakal terus selama beberapa tahun.

Posisi OTP / SMS Verification di Era Passkey

Salah satu pertanyaan menarik: kalau passkey jadi mainstream, masih perlu OTP/SMS verification?

Jawaban realistis: Iya, untuk use case spesifik.

OTP / SMS masih relevan untuk:

• Account creation: saat user pertama kali daftar, server butuh verify "user ini punya identitas valid (phone number, email)" sebelum kasih akses bikin passkey. Phone verification masih jadi proof of identity yang umum.
• Recovery flow: kalau passkey hilang, banyak service fall back ke OTP via SMS/email sebagai recovery channel.
• Step-up authentication: untuk transaksi sensitif (transfer besar, ganti email), service kadang minta OTP tambahan walau lo udah login pakai passkey. Ini "defense in depth".
• Service yang belum support passkey: marketplace, banking, fintech masih banyak pakai SMS OTP. Sampai mereka migrate, OTP masih dibutuhkan.

Dari sisi developer, kombinasi yang umum di 2026: passkey sebagai primary auth, plus OTP/SMS untuk verification step (registration, recovery). Untuk testing flow registrasi atau verifikasi multiple account development, tools seperti OTPZap bisa kasih virtual number untuk dapat OTP cepat tanpa pakai nomor pribadi.

Kapan Lo Sebaiknya Migrate ke Passkey

Saran praktis berdasarkan pengalaman:

Migrate sekarang untuk akun-akun ini:

• Email primary lo (Gmail, Outlook, iCloud Mail): security tinggi, recovery rumit kalau hilang. Worth perlindungan extra.
• Cloud storage dengan data penting (Google Drive, iCloud, Dropbox)
• Password manager itu sendiri (kalau pakai)
• Akun developer (GitHub, GitLab) kalau lo developer

Tunggu dulu untuk:

• Service yang lo jarang pakai. Kalau passkey hilang dan recovery susah, mending stick to password manager.
• Banking/fintech. Kalau bank lo support passkey, fine. Tapi banyak bank Indonesia masih pakai SMS OTP. Tunggu sampai infrastructure mature.
• Akun yang shared dengan orang lain (sharing password keluarga, dll). Passkey susah di-share secure.

Penutup

Passkey lebih aman dari password, that's a fact. Tapi UX-nya belum perfect. Kalau lo prioritize keamanan max, mulai migrasi ke passkey untuk akun penting. Kalau lo prefer kenyamanan dan multi-device flexibility, password manager + 2FA via authenticator app masih jadi alternatif valid.

Yang pasti, era password "yang dihafal user" memang udah dekat akhir. Mau itu passkey atau password manager, manusia ngga mestinya menghafal 100 password unique. Itu task untuk software, bukan otak.

Ke depan, expect makin banyak service migrate. Dalam 3-5 tahun, kemungkinan kita lihat password jadi exception, passkey jadi default. Sekarang kita di transition phase yang messy tapi necessary.