Web Authentication API: Apa Itu, Fungsi dan Penerapannya!

Apakah kamu pernah membayangkan bisa login ke website tanpa harus mengetik password? Cukup dengan sentuhan sidik jari atau tatapan layar, akses langsung terbuka. Teknologi di balik kemudahan ini dikenal sebagai Web Authentication API. Tapi, sebenarnya apa itu WebAuthn API?, bagaimana cara kerja, dan seaman apa sistem ini dalam melindungi data pribadimu?

Artikel ini akan membahasnya secara tuntas, lengkap dengan fungsi dan cara penerapannya di web modern.

Apa Itu Web Authentication API?

Web Authentication API, atau yang dikenal juga sebagai WebAuthn API, adalah teknologi autentikasi modern yang dirancang untuk menggantikan sistem login pakai password. 

API ini dikembangkan oleh FIDO Alliance dan telah menjadi standar resmi World Wide Web Consortium (W3C). Dengan API ini, kamu hanya perlu autentikasi biometrik, seperti sidik jari, scan wajah, atau pakai perangkat keamanan eksternal seperti security key untuk login ke sebuah website.

Baca Juga:  Rahasia di Balik Passkey: Apakah Lebih Aman dari Password?

Berbeda dengan metode login konvensional yang masih mengandalkan username dan password, WebAuthn jauh lebih aman karena memakai sistem public key credential. 

Informasi sensitif tidak pernah tersimpan atau dikirim ke server dalam bentuk mentah—jadi lebih tahan terhadap pencurian data.

Sebelum teknologi ini hadir, FIDO pernah merilis versi awalnya yang dikenal sebagai Universal Second Factor (U2F). Kini, WebAuthn hadir sebagai evolusi dari U2F dengan fitur yang lebih fleksibel. 

Dengan meningkatnya kasus peretasan berbasis kredensial, teknologi seperti WebAuthn menjadi semakin penting untuk menjaga keamanan online.

Baca Juga: Cara Mudah Mendapatkan ChatGPT API Key, Apakah Bisa Gratis?

Fitur Utama Web Authentication API

Lalu apa saja keunggulan WebAuthn dibandingkan sistem login konvensional? Teknologi ini bukan sekadar trend, berikut ini fitur unggulan WebAuthn yang menjadikan banyak platform mulai menggunakannya:

Tahan terhadap Serangan Phishing

Salah satu keunggulan utama dari WebAuthn adalah daya tahan terhadap phishing. Ini dimungkinkan karena proses autentikasi tidak melibatkan pengiriman password ke server.

Malahan, yang digunakan adalah sepasang kunci kriptografi — dan kunci privatnya tidak pernah meninggalkan perangkat pengguna.

Bahkan jika pengguna tidak sengaja mencoba login di website palsu yang menyerupai situs asli, kredensialnya tidak akan bisa digunakan karena kredensial tersebut dikaitkan secara khusus ke domain tertentu.

Standar Keamanan Tinggi

WebAuthn menggunakan algoritma kriptografi dan protokol yang telah teruji industri, sehingga menawarkan keamanan online tingkat tinggi. Autentikasi dapat dilakukan menggunakan dua jenis perangkat:

• Platform Authenticator seperti pemindai sidik jari di laptop atau face recognition di smartphone.
• Roaming Authenticator seperti kunci keamanan eksternal (contohnya YubiKey) yang bisa digunakan di banyak perangkat.

Pengalaman Pengguna yang Lebih Lancar

Dibandingkan harus mengetik password setiap kali login, WebAuthn memungkinkan kamu untuk masuk hanya dengan satu aksi cepat, seperti menyentuh sensor biometrik. Ini memberikan kenyamanan tanpa mengorbankan keamanan.

Fungsi dan Komponen Web Authentication API

Tapi bagaimana sebenarnya proses login tanpa password ini bisa berjalan? Siapa saja yang terlibat dalam sistem autentikasi ini? Untuk memahami itu, kita perlu melihat peran tiap komponennya.

• Relying Party
  Ini adalah situs atau layanan yang ingin kamu akses—mereka bertindak sebagai “pihak yang mengandalkan” proses autentikasi. Misalnya, saat kamu login ke akun email atau dashboard hosting website, sistem inilah yang memvalidasi identitasmu.
• WebAuthn Client Device
  Perangkat yang kamu pakai, seperti laptop, smartphone, atau tablet. Di sinilah proses komunikasi antara kamu dan server terjadi melalui WebAuthn API.
• User
  Ini tentu kamu sebagai pengguna. Kamu yang menginisiasi login dan menyetujui autentikasi melalui perangkat yang kamu percaya.
• Authenticator
  Perangkat atau metode verifikasi yang kamu gunakan untuk membuktikan identitas. Bisa berupa fingerprint scanner di laptop (platform authenticator) atau security key eksternal seperti YubiKey (roaming authenticator).

Cara Kerja WebAuthn API

WebAuthn bekerja dengan prinsip enkripsi dan dekripsi menggunakan kunci publik dan privat. Prosesnya terbagi menjadi dua bagian besar: registrasi dan autentikasi.

Proses Registrasi

1. Kamu mulai dengan mendaftar di sebuah situs atau aplikasi.
2. Sistem akan mengirim challenge—semacam kode acak yang hanya berlaku sekali—ke perangkatmu sebagai langkah verifikasi awal.
3. WebAuthn API lalu meminta kamu memilih metode autentikasi, misalnya sidik jari atau perangkat keamanan fisik.
4. Setelah kamu menyetujui, perangkat akan membuat sepasang kunci: satu publik dan satu privat.
5. Kunci publik dikirim ke server, sementara kunci privat diamankan di perangkatmu dan tidak pernah dibagikan.
6. Server menyimpan kunci publik dan mengaitkannya dengan akun milikmu.

Proses Login

1. Saat ingin login, kamu tinggal kunjungi situsnya dan klik “Masuk”.
2. Situs mengirim tantangan baru ke browser.
3. Perangkatmu akan meminta autentikasi sesuai metode yang kamu daftarkan.
4. Jika cocok, kunci privat digunakan untuk membuat tanda tangan digital.
5. Server memverifikasi tanda tangan itu dengan kunci publik—kalau valid, akses diberikan.
6. Situs memverifikasi tanda tangan dengan kunci publik dan memberi akses.

Hasilnya? Login yang cepat, aman, dan bebas password.

Cara Penerapan WebAuthn API

Kalau kamu sudah paham cara kerjanya, sekarang mungkin muncul pertanyaan: gimana sebenarnya implementasi WebAuthn di sisi teknis? 

Untuk developer, penerapan WebAuthn API tersedia dalam dua metode utama, yaitu navigator.credentials.create() dan navigator.credentials.get(). Nah, bagian ini akan mengupasnya secara lebih praktis. 

#1. Metode navigator.credentials.create()

Digunakan saat mendaftarkan kredensial baru. Developer menentukan parameter seperti nama situs (relying party), data pengguna, jenis autentikator yang diperbolehkan, dan algoritma kriptografi yang digunakan.

Contoh pengaturan opsi:

const publicKey = {
  challenge: new Uint8Array([...]),
  rp: { name: "Webauthn Me", id: "webauthn.me" },
  user: {
    id: new Uint8Array([...]),
    name: "jane.doe@example.com",
    displayName: "Jane Doe"
  },
  pubKeyCredParams: [{ type: "public-key", alg: -7 }],
  timeout: 60000,
  attestation: "direct"
};

Metode ini kemudian dipanggil:

navigator.credentials.create({ publicKey }).then(...).catch(...);

#2. Metode navigator.credentials.get()

Digunakan untuk autentikasi login website atau aplikasi. Developer menyiapkan opsi seperti ID kredensial yang sebelumnya didaftarkan dan tingkat verifikasi pengguna.

const publicKey = {
  challenge: new Uint8Array([...]),
  rpId: "webauthn.me",
  allowCredentials: [{ type: "public-key", id: ... }],
  userVerification: "preferred"
};

Metode ini akan memproses autentikasi:

navigator.credentials.get({ publicKey }).then(...).catch(...);

Di sisi server, validasi dilakukan dengan memeriksa tanda tangan digital dan mencocokkannya dengan public key credential yang tersimpan.

Kesimpulan

Jadi, apa itu Web Authentication API? Jawabannya adalah standar baru yang menjanjikan masa depan autentikasi yang lebih aman, nyaman, dan tanpa password saat hendak login website. 

Dengan dukungan dari teknologi seperti WebAuthn API dan standar Universal Second Factor, kamu bisa meminimalkan risiko kebocoran data akibat phishing atau pencurian kredensial.

Kalau kamu seorang developer atau pemilik website, mulai mempertimbangkan integrasi WebAuthn bisa jadi langkah tepat untuk meningkatkan keamanan online para pengguna.

Dan bicara soal keamanan dan keandalan server untuk implementasi autentikasi modern seperti ini, IDwebhost punya solusi yang tepat. Kamu bisa gunakan layanan VPS Murah yang cepat, stabil, dan cocok untuk kebutuhan web aplikasi berbasis autentikasi tingkat lanjut. 

Cek paketnya sekarang dan mulai bangun sistem yang lebih aman dari hari ini!