YubiKey: Kunci Keamanan Perangkat Keras untuk Kriptografi dan MFA
Sebuah tab logam kecil yang Anda sentuh dengan ujung jari melakukan sesuatu yang tidak pernah berhasil dilakukan oleh kata sandi mana pun: mengakhiri pengambilalihan akun di salah satu perusahaan yang paling sering diserang di dunia. Setelah Google memberikan YubiKey kepada lebih dari 85.000 karyawan , jumlah akun staf yang berhasil di-phishing turun menjadi nol dan tetap demikian sejak awal tahun 2017. Itulah inti dari kunci keamanan perangkat keras. Ini bukan antivirus dan tidak menyimpan koin Anda. Ini adalah objek fisik yang membuktikan bahwa Anda adalah Anda, dan hampir tidak mungkin untuk ditipu.
Panduan ini menjelaskan apa itu YubiKey, bagaimana cara kerjanya, mengapa YubiKey lebih unggul daripada SMS dan aplikasi otentikasi , serta cara menggunakannya untuk mengamankan akun kripto yang menjadi target utama para pencuri.
Apa Itu YubiKey dan Mengapa Penting
Anggap saja YubiKey sebagai kunci rumah untuk akun Anda, hanya saja kunci ini tidak dapat disalin. Ini adalah kunci keamanan perangkat keras kecil dari Yubico, perusahaan Swedia-Amerika yang telah memproduksinya sejak tahun 2007. Tanpa baterai. Tanpa layar. Hanya sepotong kecil plastik dan logam seukuran flash drive yang dimasukkan ke port USB atau dipindai ke ponsel Anda melalui NFC, dengan cakram emas yang Anda tekan dengan ujung jari.
Ujung jari itulah kuncinya. Kata sandi adalah sesuatu yang Anda ketahui, dan apa pun yang Anda ketahui dapat dicuri, dibocorkan, atau ditebak, seringkali ketiganya sekaligus. YubiKey adalah sesuatu yang Anda miliki, dan Anda tidak dapat mencuri objek fisik dari saku seseorang. Jadi, ia menjadi faktor kedua untuk otentikasi dua faktor, dan faktor yang sangat kuat. Ia tidak menyimpan koin atau file Anda. Saat masuk, ia hanya menjawab satu pertanyaan dan kemudian diam: apakah pemilik sebenarnya sedang berdiri di sini sekarang? Ketuk, dan Anda masuk. Jika tidak, proses masuk akan gagal, betapapun sempurnanya kata sandi yang dicuri.
Cara Kerja YubiKey untuk Menghentikan Phishing
Bagian yang cerdas bukanlah perangkat kerasnya. Melainkan tanda tangan yang terikat pada domain yang tidak akan pernah bisa didapatkan dari perangkat tersebut oleh situs web palsu.
Sebuah rahasia yang tak pernah terungkap.
Daftarkan YubiKey dengan suatu layanan dan perangkat tersebut akan secara diam-diam membuat pasangan kunci baru, satu kunci publik dan satu kunci privat, menggunakan kriptografi kunci publik. Bagian privatnya akan disimpan dalam chip yang aman dan tidak akan pernah keluar lagi. Tidak melalui USB, tidak saat perangkat berada di tangan Anda, tidak pernah. Hanya bagian publik yang dikirim ke server. Setelah itu, setiap login adalah panggilan dan respons cepat: situs web memberikan tantangan acak, kunci menandatanganinya dengan bagian privat yang tidak dapat dibaca siapa pun, dan server memeriksa tanda tangan tersebut terhadap bagian publik yang telah disimpannya. Itulah standar FIDO2 dan WebAuthn, yang dibangun di atas U2F yang lebih lama, dan itulah alasan mengapa kredensial Anda tidak dapat diambil dari perangkat.
Mengapa phishing tidak bisa berhasil?
Sekarang bagian yang benar-benar menghentikan phishing. Dalam pertukaran yang sama, browser juga memberi tahu kunci domain mana yang Anda kunjungi. YubiKey membandingkannya dengan situs tempat ia pertama kali mendaftar. Pada halaman yang mirip, domainnya salah, jadi kunci tersebut mengabaikannya dan menolak untuk menandatangani. Anda bisa sepenuhnya tertipu oleh situs palsu tersebut — tetapi perangkat kerasnya tidak, dan perangkat keras itulah yang terpenting. Tambahkan sentuhan fisik yang membuktikan kehadiran manusia, dan Anda memiliki apa yang oleh lembaga keamanan disebut sebagai otentikasi tahan phishing. Kata sandi dapat diketik ke dalam kotak palsu. Tanda tangan yang terikat domain tidak bisa.
OTP, kartu pintar, dan kode akses
YubiKey unggulan mampu berkomunikasi dalam beberapa bahasa, bukan hanya satu. Ia dapat mengirimkan kata sandi satu kali Yubico, sebuah kode sepanjang 44 karakter yang jauh lebih panjang dibandingkan kode enam digit yang ditampilkan aplikasi. Ia juga dapat mengirimkan kata sandi satu kali berbasis waktu, standar TOTP yang sama dengan yang digunakan aplikasi otentikasi Anda. Ia berfungsi sebagai kartu pintar untuk login perusahaan dan pemerintah. Dan ia menyimpan passkey untuk otentikasi tanpa kata sandi sepenuhnya, di mana kuncinya adalah login, bukan cadangan. Fitur terakhir ini berkembang pesat: Aliansi FIDO mengatakan hampir setengah dari 100 situs web teratas sudah menerima passkey.
| Protokol | Apa fungsinya? | Menggantikan |
|---|---|---|
| FIDO2 / WebAuthn | Login dan kata sandi yang tahan terhadap phishing | Kata sandi dan otentikasi dua faktor yang lemah |
| U2F | Faktor kedua yang terikat pada asal | Kode SMS dan aplikasi |
| Yubico OTP | Kata sandi sekali pakai 44 karakter | Kode otentikasi singkat |
| TOTP / SUMPAH | Kode berbasis waktu yang tersimpan pada kunci | Aplikasi otentikasi terpisah |
| Kartu pintar (PIV) | Login berbasis sertifikat | Login lencana perusahaan |
Mengapa YubiKey Lebih Unggul daripada SMS dan Aplikasi Otentikator?
Setiap faktor otentikasi kedua lainnya yang umum dapat diteruskan ke situs palsu secara real-time. YubiKey tidak dapat melakukannya, dan celah tunggal itulah yang menjadi celah terjadinya pencurian kripto.
SMS adalah titik terlemahnya
Kode pesan teks terasa praktis dan merupakan pilihan umum terburuk. Kode tersebut dikirim ke nomor telepon Anda, dan nomor telepon Anda dapat dicuri. Dalam penipuan SIM swap, penyerang membujuk operator seluler Anda untuk memindahkan nomor Anda ke kartu SIM mereka, kemudian menangkap kode Anda secara langsung. Ini bukan kasus yang jarang terjadi. Penipuan SIM swap di Inggris melonjak lebih dari 1.055% pada tahun 2024. Inilah mengapa CISA dan FBI menolak untuk menganggap SMS sebagai MFA (Multi-Factor Authentication) yang tahan terhadap phishing. Bagi rekening yang menyimpan uang, mempercayai SMS adalah kesalahan, dan justru kelemahan inilah yang membuat kunci perangkat keras lebih penting bagi pemegang kripto daripada hampir siapa pun.
Bahkan aplikasi otentikasi pun memiliki celah phishing.
Aplikasi otentikasi merupakan peningkatan besar dibandingkan SMS dan dianggap sebagai otentikasi dua faktor yang kuat di samping kode teks, tetapi masih memiliki satu kelemahan. Setiap MFA (Multi-Factor Authentication) layak diaktifkan; Microsoft menemukan bahwa MFA memblokir 99,9% serangan otomatis. Namun, jenis kode yang digunakan menentukan apakah pelaku phishing manusia dapat menembus sistem. Kode enam digit yang ditampilkan aplikasi hanyalah angka, dan angka dapat diketik ke dalam kotak palsu. Halaman phishing modern meminta kode Anda dan meneruskannya ke layanan sebenarnya dalam waktu 30 detik. YubiKey menutup celah tersebut, karena tanda tangannya terikat pada domain asli dan tidak dapat diputar ulang ke domain lain. Ini bukan teori. Inilah mengapa 85.000 staf Google berhenti menjadi korban phishing sejak kunci perangkat keras menggantikan semua metode lainnya.
| Metode | Tahan terhadap phishing | tahan terhadap pertukaran SIM | Berfungsi secara offline |
|---|---|---|---|
| Kode SMS | TIDAK | TIDAK | TIDAK |
| Aplikasi otentikasi | TIDAK | Ya | Ya |
| YubiKey | Ya | Ya | Ya |
Menggunakan YubiKey untuk Mengamankan Kripto Anda
Inilah keuntungan bagi siapa pun di dunia kripto: YubiKey mengunci akun-akun yang menjadi target utama penipuan SIM swap dan penguras dompet. Sebagian besar bursa utama kini mendukung kunci keamanan perangkat keras untuk keamanan akun, dan beberapa di antaranya memungkinkan login FIDO2 atau passkey penuh, termasuk Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com, dan KuCoin. Kraken dan Bitfinex menerima kunci perangkat keras sebagai faktor kedua. Mengaktifkan fitur ini berarti pencuri yang memiliki kata sandi dan nomor telepon Anda tetap tidak dapat masuk tanpa kunci fisik.
Jangan berhenti hanya di bursa pertukaran. Akun yang paling penting adalah email Anda — ini adalah jalur pemulihan untuk semua hal lainnya — jadi buatlah kunci pengaman terlebih dahulu. Tambahkan satu kunci lagi ke pengelola kata sandi Anda, lalu ke bursa pertukaran dan layanan dompet apa pun yang mendukungnya. Tujuannya sederhana: hapus setiap login yang hanya bergantung pada kode yang dapat di-phishing atau dicegat oleh penipu. Kunci yang sama kemudian mengamankan layanan online Anda lainnya dengan satu kebiasaan, dan karena teknologi ini dibangun khusus untuk mengalahkan serangan phishing, teknologi ini menetralkan langkah tepat yang diandalkan oleh pelaku pengurasan dompet atau halaman airdrop palsu. Di semua akun online tersebut, YubiKey menjadi satu kredensial yang tidak dapat disalin siapa pun dari jarak jauh, yang secara diam-diam menutup pintu yang diandalkan oleh pelaku pertukaran SIM dan pengurasan dompet.
Model-Model YubiKey dan Cara Memilihnya
Katalog Yubico terlihat lebih menakutkan daripada pilihan sebenarnya. Tiga pertanyaan akan menjawab semuanya: port apa yang dimiliki perangkat Anda, apakah Anda menginginkan NFC untuk ponsel Anda, dan apakah Anda menginginkan pembaca sidik jari.
Bagi kebanyakan orang, jawabannya adalah YubiKey 5 NFC dengan harga sekitar $58. Ia mendukung semua protokol di atas dan memberi Anda USB-A plus NFC. Semua perangkat Anda menggunakan USB-C? YubiKey 5C NFC adalah kunci yang sama dengan bentuk yang berbeda. Ingin berhemat? Security Key dengan harga sekitar $29 menghilangkan fitur tambahan dan hanya menjalankan FIDO2 dan U2F, yang sudah cukup untuk kriptografi dan login sehari-hari. Lebih suka sidik jari? YubiKey Bio Series, sekitar $98, menambahkan sensor biometrik untuk penggunaan tanpa PIN, dan ada lini FIPS untuk tempat kerja yang diatur. Apa pun pilihan Anda, beli dua. Yang kedua adalah cadangan Anda, dan Anda akan berterima kasih untuk itu suatu hari nanti ketika yang pertama rusak.
Cara Memasang dan Menggunakan YubiKey
Proses penyiapan memakan waktu sekitar sepuluh menit per akun. Bagian yang tidak pernah diperingatkan siapa pun adalah pencadangan data.
Mendaftarkan kunci Anda
Mulailah dari halaman pengaturan resmi, pilih layanan, dan buka pengaturan otentikasi dua faktor atau kata sandi. Kemudian pilih salah satu dari tiga cara untuk mengkonfigurasi kunci: daftarkan sebagai kunci keamanan, simpan kata sandi ke dalamnya, atau masukkan ke dalam slot aplikasi otentikasi. Ketuk saat diminta dan selesai. Kebanyakan orang akhirnya memiliki dua YuBikey dan beberapa opsi otentikasi di setiap akun, sehingga kehilangan satu perangkat tidak akan pernah membuat mereka terkunci. Kunci yang sama berfungsi di Windows, macOS, Linux, Android, dan iOS, sehingga melindungi laptop dan ponsel Anda. Lakukan otentikasi email Anda terlebih dahulu, kemudian pengelola kata sandi Anda, lalu Exchange Anda. Ketiganya mencakup sebagian besar risiko nyata Anda.
Syaratnya: cadangan dan batasan yang jujur.
YubiKey bukanlah alat ajaib, dan ada beberapa hal yang perlu diketahui mengenai keuntungan dan kerugiannya. Daftarkan satu kunci, lalu hilang, dan Anda bisa terkunci dari akun, jadi selalu daftarkan kunci cadangan atau simpan kode pemulihan Anda di tempat yang aman. Tidak semua layanan mendukung kunci perangkat keras, meskipun daftarnya terus bertambah setiap tahun. Ada biaya awal, sekitar $58. Dan perangkat kerasnya pernah mengalami bug: sebuah celah keamanan pada tahun 2017 yang disebut ROCA, dan masalah Infineon pada tahun 2024, keduanya membutuhkan akses fisik dan keduanya telah diperbaiki dalam firmware yang lebih baru. Ini hanyalah catatan kaki, bukan masalah besar. Tidak satu pun dari hal-hal tersebut yang lebih penting daripada satu hal yang paling utama di sini, yaitu menghentikan pengambilalihan akun jarak jauh secara tuntas.
Apakah YubiKey Layak Dibeli Bagi Pengguna Kripto?
Bagi siapa pun yang memegang kripto, jawabannya mudah saja, ya. YubiKey adalah pembelian sekali bayar, sekitar $58 ditambah cadangan, tanpa biaya berlangganan. Bandingkan dengan satu kali penukaran SIM atau halaman phishing yang mengosongkan akun bursa, dan perhitungannya sangat jauh berbeda. Kata sandi dan aplikasi otentikasi meningkatkan standar keamanan; YubiKey MFA meningkatkannya hingga melampaui jangkauan penyerang jarak jauh. Jika salah satu akun online Anda menyimpan uang, ini adalah asuransi termurah yang pernah Anda beli.
YubiKey mengubah jari Anda menjadi kata sandi.
Singkirkan protokol dan nomor modelnya, dan YubiKey melakukan satu hal dengan sangat baik: menjadikan bagian terkuat dari login Anda sebagai objek fisik yang Anda pegang dan sentuh. Phishing dapat menyalin kata sandi dan mengirimkan kode, tetapi tidak dapat menyalin kunci yang ada di saku Anda — atau memalsukan ketukan jari Anda. Itulah alasan utama mengapa YubiKey bekerja di tempat yang rentan terhadap kebocoran lainnya. Pasang satu di email dan akun pertukaran utama Anda minggu ini, dan tambahkan cadangan. Jadi satu-satunya pertanyaan yang tersisa adalah pertanyaan praktis: akun mana yang menyimpan uang Anda yang masih Anda lindungi dengan kode yang dapat di-phishing oleh orang asing hari ini?
