Layanan Tanpa Password?

465789863

Sesaat setelah saya selesai menulis postingan mengenai multi-factor authentication, saya terpikir apakah ini merupakan solusi terbaik dalam hal pengamanan akun. Pengamanan yang lebih keren disebut dengan two-step verification ini bermaksud untuk melindungi seseorang ketika dia kehilangan password karena dibajak, sehingga jika pembajak itu berusaha untuk melakukan login menggunakan password curian, maka dia tidak akan berhasil karena dia harus memasukkan kode tambahan yang akan digenerate secara otomatis melalui perangkat pengaman tambahan.

Saya sempat tercenung dengan komentar mas Didut, “Bagaimana jika lupa password?”. Saat itu saya belum terpikir dalam sisi lain, jadi saya menanggapinya dengan biasa saja. Tapi kemudian saya mencoba berpikir dari sisi yang lain lagi, betul juga.. Pengamanan ini berlaku jika si pengguna masih ingat passwordnya.

Selama ini kita selalu meneliti cara untuk mengamankan password. Mulai dengan menggunakan enkripsi dengan berbagai macam metode, hingga yang terbaru adalah ya multi-factor authentication ini. Tapi tetap saja, hal yang dilindungi adalah passwordnya, bukan layanannya. Padahal apa sih password itu? Itu khan hanya semacam sederet karakter yang disimpan ke sistem, kemudian pengguna harus menghapalkan setiap akan menggunakan layanan. Padahal lagi, masalah utama manusia adalah menghapal, sampai-sampai kita harus membuatkan layanan “Lupa Password” untuk membantu saat memang lupa passwordnya. Mengenai two-step verification, saya rasa juga bakalan sama saja, bahkan [cite]http://www.citeworld.com/article/2115319/mobile-byod/two-step-verification-sucks.html[/cite] sempat menulis bahwa two-step verification itu terlalu ribet bagi pengguna kebanyakan.

Trus gimana dong?

Bagaimana jika kita mulai tidak mewajibkan password? Nggak perlulah membuat layanan dengan mewajibkan si user membuat password yang kemudian suatu saat akan dia lupakan sendiri. Ide sederhana ini diimplementasikan oleh [cite]http://blog.shopittome.com/2014/05/29/bye-bye-passwords/[/cite] yang membuat aplikasi iPhone untuk toko onlinenya tanpa menggunakan password.

Cara kerjanya cukup sederhana, pengguna yang akan mendaftar hanya perlu memasukkan nama dan alamat email saja. Selanjutnya bila pengguna akan mengakses layanan, cukup memasukkan email saja dan kemudian mengecek inbox untuk mendapatkan alamat url unik yang digunakan untuk mengakses layanan. Alamat url itu hanya bisa digunakan sekali waktu saja hingga user logout, jadi lebih memanfaatkan fungsi session untuk mengatur waktu akses pengguna.

Tentunya hal ini masih berupa ide awal saja. Tapi menurut saya layak untuk dipertimbangkan supaya nantinya kita akan menemukan solusi terbaik dalam hal pengamanan layanan. Pengguna juga semakin nyaman untuk menggunakan layanan yang kita tawarkan, tanpa harus repot mengingat password untuk mengakses layanan kita.

Gambar diambil dari GettyImages.

Published by Mohammad Sani Suprayogi

Engineer & Lecturer

Leave a comment

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *