Digital Transformation

WebAuthn (Web Authentication API)

WebAuthn adalah standar W3C yang memungkinkan website mengautentikasi pengguna lewat kunci kriptografi di perangkat (sidik jari, Face ID, security key) tanpa password tradisional.

Vito Atmo
Vito Atmo·2 Mei 2026·0 kali dibaca·2 min baca

TL;DR: WebAuthn adalah API browser standar yang memungkinkan login tanpa password menggunakan biometrik atau security key. Ini fondasi teknis di balik Passkey dan menjadi rekomendasi praktik aman per Maret 2024 oleh NIST. Untuk website bisnis Indonesia, WebAuthn menurunkan friction login sekaligus risiko phishing.

Apa itu WebAuthn?

WebAuthn (singkatan dari Web Authentication) adalah spesifikasi yang dikembangkan W3C dan FIDO Alliance, distandarisasi pada 2019 dan menjadi rekomendasi resmi pada 2021. Cara kerjanya berbasis kriptografi kunci publik. Saat user mendaftar, perangkat membuat sepasang kunci, kunci publik dikirim ke server, kunci privat tetap di perangkat. Saat login, server mengirim challenge yang harus ditandatangani perangkat lewat unlock biometrik atau PIN.

Bandingkan dengan JWT yang berfungsi sebagai token sesi pasca-login: WebAuthn fokus pada proses autentikasi, bukan manajemen sesi.

Komponen Inti

KomponenFungsi
AuthenticatorPerangkat yang menyimpan kunci privat (smartphone, laptop, hardware key)
Relying PartyServer website yang melakukan verifikasi
Client (Browser)Jembatan antara authenticator dan server
Public Key CredentialPasangan kunci yang dibuat saat registrasi

Kenapa Penting untuk Website Bisnis Indonesia?

Phishing adalah serangan paling umum di Indonesia. WebAuthn membuat phishing tradisional tidak mungkin karena kunci privat tidak pernah meninggalkan perangkat dan signature terikat ke domain spesifik. Kalau penyerang membuat website palsu, browser tidak akan mengirim signature.

Manfaat lain: kecepatan login naik (pengguna tidak perlu mengetik password), reset password drop drastis (mengurangi beban support), dan adopsi mobile-first sesuai pola pengguna Indonesia. Praktik standar di industri menunjukkan implementasi WebAuthn bisa menurunkan login failure rate 40-70% pada perangkat kompatibel. Dukungan browser kini sudah mencakup Chrome, Safari, Edge, dan Firefox versi modern. Spesifikasi lengkap dapat dibaca di dokumentasi W3C WebAuthn.

Pertanyaan Umum

Apakah WebAuthn sama dengan Passkey?

Passkey adalah implementasi user-facing dari WebAuthn dengan tambahan sinkronisasi cloud antar perangkat. Singkatnya: WebAuthn adalah protokol, Passkey adalah pengalamannya.

Apakah harus beli hardware security key?

Tidak wajib. Smartphone dan laptop modern sudah berfungsi sebagai authenticator lewat Touch ID, Face ID, atau Windows Hello. Hardware key seperti YubiKey hanya diperlukan untuk akun risiko sangat tinggi.

Bagikan

Istilah Terkait

Core Web VitalsDomainJWT (JSON Web Token)OAuth (Open Authorization)Passkey (Login Tanpa Password)TL;DR (Too Long; Didn't Read)
Semua IstilahAda pertanyaan? →