Havedev Logo
← Kembali ke Blog

Havedev

Passkey Bukan Akhir Cerita: Kenapa Bisnis Masih Bisa Bocor Lewat Fallback dan Recovery

Ilustrasi raster lokal tentang passkey, recovery, dan session security pada perangkat kerja.

Pada awal Mei 2026, Microsoft melaporkan kampanye phishing bertema kode etik yang menargetkan lebih dari 35.000 pengguna di lebih dari 13.000 organisasi dalam 26 negara. Angka itu penting bukan karena dramanya saja, tetapi karena pola serangannya. Penyerang tidak berhenti di password. Mereka mengejar token, sesi aktif, dan jalur akses yang terlihat sah.

Buat bisnis, ini sinyal yang tidak boleh diabaikan. Banyak tim masih berpikir bahwa kalau sudah pakai MFA atau bahkan passkey, masalah login otomatis selesai. Kenyataannya lebih rumit. Penyerang jarang menyerang satu lapisan saja. Mereka menunggu fallback yang lemah, recovery yang terlalu mudah, session cookie yang bisa dicuri, atau jalur reset akun yang tidak diawasi.

Di titik ini, passkey memang membantu. CISA menempatkan FIDO/WebAuthn sebagai bentuk autentikasi tahan phishing yang kuat. Google juga mulai mendorong Device Bound Session Credentials untuk membuat cookie sesi lebih sulit dipakai ulang di perangkat lain. Arah industrinya jelas: keamanan sekarang bukan cuma soal masuk, tetapi juga soal menjaga sesi tetap melekat pada perangkat yang benar.

Masalahnya, banyak organisasi baru memperbaiki pintu depan. Pintu samping dan pintu belakang masih terbuka.

Kenapa ini relevan untuk bisnis

Satu akun kerja sering memegang banyak hal sekaligus: email, CRM, iklan digital, dashboard laporan, sistem support, akses cloud, sampai dokumen internal. Kalau akun itu diambil alih, gangguannya bukan hanya teknis. Lead bisa dialihkan, invoice bisa ditiru, percakapan pelanggan bisa diintip, dan tim bisa kehilangan kontrol atas kanal yang paling dekat dengan revenue.

Itulah kenapa identity security seharusnya diperlakukan sebagai isu bisnis, bukan sekadar isu IT.

Passkey menutup satu pintu, bukan semua pintu

Passkey membuat login jauh lebih sulit dipalsukan dibanding password dan SMS OTP biasa. Tetapi bisnis tetap perlu bertanya beberapa hal sederhana:

  • Kalau user lupa perangkat, bagaimana proses recovery-nya?
  • Apakah helpdesk bisa mereset akses terlalu cepat tanpa verifikasi yang cukup?
  • Apakah akun admin masih bisa memakai fallback yang lebih lemah?
  • Berapa lama session aktif bertahan kalau perangkat sudah tidak aman?
  • Apakah akses vendor, agency, dan kontraktor dibatasi dengan benar?

Kalau jawaban atas pertanyaan itu belum rapi, passkey hanya memperbaiki sebagian masalah.

Yang perlu diaudit dulu

Sebelum bicara alat baru, audit dulu alur yang benar-benar dipakai tim:

  1. Jalur login utama: password, MFA, passkey, atau federation.
  2. Jalur recovery: reset email, nomor HP, helpdesk, atau admin override.
  3. Jalur session: berapa lama cookie berlaku dan apakah bisa dipakai lintas perangkat.
  4. Hak akses admin: siapa yang bisa mengubah role, reset akun, atau menambah aplikasi pihak ketiga.
  5. Akses pihak ketiga: agency, freelancer, vendor SaaS, dan akun sementara.
  6. Logging dan alerting: apakah ada sinyal saat login aneh, recovery tak biasa, atau token baru dibuat.

Kalau salah satu jalur itu masih longgar, penyerang biasanya akan masuk lewat sana.

Langkah praktis untuk 7 hari ke depan

Tidak perlu mulai dari proyek besar. Mulai dari pengurangan risiko yang paling cepat terasa:

  • Cabut atau kurangi fallback yang paling lemah untuk akun admin dan akun finansial.
  • Terapkan phishing-resistant MFA untuk role yang paling berisiko.
  • Rapikan recovery email dan recovery phone agar tidak jadi jalur pintas.
  • Batasi akses shared account dan ubah ke akun individual bila memungkinkan.
  • Perpendek umur session untuk aplikasi yang menyimpan data sensitif.
  • Review siapa saja yang masih punya akses lama ke tools penting.
  • Uji satu skenario pemulihan akun untuk melihat apakah prosesnya terlalu mudah disalahgunakan.

Kalau tujuh langkah ini saja belum selesai, itu sudah cukup jadi alasan untuk menunda proyek fitur baru dan mengerjakan security hygiene lebih dulu.

Penutup

Passkey bukan akhir cerita. Ia hanya salah satu bagian dari sistem identitas yang sehat. Bisnis yang aman bukan bisnis yang paling cepat memasang fitur login baru, tetapi bisnis yang paling rapi mengelola fallback, recovery, session, dan hak akses.

Kalau akun kerja Anda menyentuh email, CRM, iklan, billing, atau data pelanggan, maka pertanyaan yang paling penting bukan lagi “sudah pakai MFA atau belum.” Pertanyaannya adalah: kalau satu login bocor hari ini, seberapa jauh penyerang bisa bergerak sebelum Anda sadar?

Jika Anda ingin meninjau alur login, recovery, dan akses internal yang paling berisiko, Dapatkan Audit Teknis Gratis agar titik rapuhnya bisa dilihat sebelum menjadi insiden operasional.

Dapatkan Audit Teknis Gratis

Lanjut Baca

Semua Artikel Kategori: Business