Passkey diklaim sebagai masa depan autentikasi — tidak perlu lagi mengingat kata sandi, tidak perlu lagi menyalin kode OTP. Namun ketika seorang jurnalis dari Android Authority benar-benar mencobanya di akun utama mereka, kenyataannya jauh lebih rumit dari yang dijanjikan.
Beralih ke Passkey Tidak Mengurangi Jumlah Langkah Autentikasi
Karandeep Singh, jurnalis Android Authority, melakukan eksperimen langsung: mengalihkan akun Google pribadinya dari kombinasi email dan kata sandi ke sistem passkey. Untuk menghindari ketergantungan pada satu platform, ia menggunakan manajer kata sandi pihak ketiga bernama Enpass, bukan solusi bawaan Google.
Hasilnya mengejutkan. Meski proses penyiapan awal terasa segar, jumlah langkah autentikasi yang harus dilalui ternyata hampir sama dengan metode kata sandi sebelumnya. Alasannya sederhana: bagi pengguna yang sudah memakai manajer kata sandi, "mengingat kata sandi" sebenarnya bukan masalah yang perlu dipecahkan. Yang diingat hanyalah satu master password untuk membuka manajer tersebut.
"Passkey mengklaim menggantikan keharusan mengingat kata sandi, padahal saya memang tidak pernah mengingat kata sandi saya — berkat manajer kata sandi."
Pernyataan ini mencerminkan realitas yang sering luput dari narasi promosi passkey: manfaatnya paling terasa bagi pengguna yang selama ini tidak menggunakan manajer kata sandi sama sekali.
Akun Microsoft: Passkey Dibuat, OTP Tetap Muncul
Pengalaman yang lebih mengecewakan terjadi saat Singh mencoba masuk ke akun Microsoft. Setiap kali login, sistem terus-menerus mendorong pembuatan passkey — bahkan manajer kata sandi Enpass secara otomatis membuka alur pendaftaran passkey tanpa diminta.
Singh akhirnya mengikuti alur tersebut dan membuat passkey. Namun setelah passkey berhasil dibuat, layar verifikasi OTP (One-Time Password) tetap muncul seperti biasa. Tidak ada yang disederhanakan.
Temuan ini menunjukkan masalah mendasar: passkey menggantikan langkah pertama autentikasi (memasukkan kata sandi), tetapi tidak menghapus langkah verifikasi berikutnya. Selama layanan tidak merancang ulang seluruh alur autentikasi mereka, pengguna tetap akan merasakan gesekan yang sama.
Google Verified Email: Solusi Menjanjikan dengan Banyak Syarat
Google memperkenalkan fitur Verified Email yang memanfaatkan Credential Manager API di Android. Konsepnya menarik: menghilangkan siklus verifikasi email yang melelahkan — buka aplikasi, tunggu email masuk, salin kode OTP, kembali ke aplikasi. Bagi Singh, ini adalah pendekatan yang paling mendekati solusi nyata.
Namun ketika persyaratan teknisnya dibaca lebih seksama, sejumlah batasan menjadi jelas:
- Hanya untuk akun Gmail — bukan solusi universal untuk semua penyedia email
- Tidak terintegrasi dengan "Sign in with Google" — artinya autentikasi dua langkah Google tetap bisa muncul di skenario tertentu
- Terikat pada perangkat — tidak mendukung skenario lintas perangkat (cross-device)
- Tidak berlaku untuk akun lama yang sudah mengaktifkan verifikasi dua langkah, dan tidak ada mekanisme migrasi yang disediakan
Dari sisi teknis, fitur ini membutuhkan Android 9 (API level 28) ke atas, dengan Google Play Services versi 25.49.x atau lebih baru. Untuk alamat email di luar @gmail.com, Google merekomendasikan tetap menggunakan OTP sebagai verifikasi tambahan karena kepemilikan alamat tersebut bisa berubah sewaktu-waktu.
Kesimpulannya: Verified Email bukan solusi universal. Ini adalah pengalaman yang hanya bekerja optimal bagi pengguna @gmail.com dengan perangkat Android terbaru.
Survei Pembaca: Passkey Justru Jadi Sumber Frustrasi Terbesar
Data dari survei pembaca Android Authority (297 responden) memberikan gambaran yang ironis. Ketika ditanya "autentikasi apa yang paling membuat frustrasi saat ini?", hasilnya sebagai berikut:
| Pilihan | Persentase |
|---|---|
| Kebingungan seputar passkey dan perangkat | 42% |
| Siklus verifikasi OTP | 26% |
| Mengingat kata sandi | 18% |
| Manajer kata sandi yang tidak berfungsi baik | 14% |
Perlu dicatat: masalah yang seharusnya diselesaikan oleh passkey — yaitu mengingat kata sandi — hanya dipilih oleh 18% responden. Sementara kebingungan yang ditimbulkan oleh passkey itu sendiri justru menempati posisi teratas dengan 42%. Ini adalah sinyal bahwa transisi menuju autentikasi tanpa kata sandi masih menciptakan gesekan baru yang belum terpecahkan.
Teknologinya Sudah Ada, UX-nya Belum Siap
Singh menyimpulkan bahwa teknologi passkey sudah tersedia — masalahnya bukan di sana. Tantangan sesungguhnya adalah membuat autentikasi bekerja di latar belakang tanpa pengguna perlu memahami cara kerjanya.
Saat ini, passkey dan Verified Email masing-masing memecahkan masalah yang berbeda secara terpisah, tanpa membentuk satu ekosistem yang kohesif. FIDO Alliance memang sedang bekerja ke arah itu, namun dari sudut pandang pengguna akhir, hasilnya masih terasa seperti kumpulan solusi yang belum tersambung.
Sebagai gambaran skala globalnya: pada World Passkey Day 2026 (7 Mei 2026), FIDO Alliance mengumumkan bahwa 50 miliar passkey kini digunakan di seluruh dunia. Survei mereka menunjukkan 90% orang sudah mengenal passkey, 75% telah mengaktifkannya di setidaknya satu akun, dan 68% organisasi sudah mengadopsi atau sedang dalam proses adopsi untuk login karyawan. Di kawasan Asia Pasifik, 72% organisasi sudah menggunakan passkey secara aktif, dan 37% telah mencapai lingkungan kerja yang sepenuhnya bebas kata sandi.
Namun angka adopsi infrastruktur yang tinggi ini belum sejalan dengan pengalaman pengguna sehari-hari — kesenjangan itulah yang menjadi inti persoalan.
Apa yang Sebaiknya Dilakukan Pengguna di Indonesia Sekarang?
Bagi pengguna di Indonesia yang menggunakan akun Google untuk berbagai layanan — mulai dari Gmail, Google Pay, hingga aplikasi perbankan dan e-commerce — beberapa langkah praktis ini relevan untuk dipertimbangkan:
- Jangan terburu-buru mengalihkan akun utama ke passkey sepenuhnya. Pastikan layanan yang Anda gunakan sudah mendukung passkey secara penuh, termasuk mekanisme pemulihan akun.
- Prioritaskan manajer kata sandi dan autentikasi dua faktor sebagai fondasi keamanan yang sudah terbukti, sebelum bereksperimen dengan passkey.
- Coba passkey secara bertahap — mulai dari akun yang tidak terlalu kritis, bukan akun yang terhubung ke rekening bank atau dompet digital seperti GoPay atau OVO.
Informasi mengenai ketersediaan Verified Email untuk pasar Indonesia secara spesifik belum diumumkan, namun fitur ini berjalan di level sistem Android sehingga pengguna perangkat Android dengan versi yang kompatibel berpotensi mendapatkan manfaatnya tanpa pembaruan aplikasi khusus.
Sumber
- Android Authority — I tried ditching passwords, but the alternatives feel even more complicated
- FIDO Alliance — Five Billion Passkeys: FIDO Alliance Reports Mainstream Global Usage on World Passkey Day 2026
- Business Wire — Passkeys Hit Mainstream in Singapore: FIDO Alliance Reports Widespread Adoption Following World Passkey Day 2026
