Disclaimer: Artikel ini membahas pengaturan keamanan akun berbasis passkey untuk pelaku UMKM Indonesia. Tampilan menu di tiap layanan (Google, WhatsApp, marketplace, perbankan) dapat berubah sewaktu-waktu seiring pembaruan aplikasi. Sebelum mengubah metode login akun bisnis kritis, lakukan uji coba pada akun pribadi terlebih dahulu, simpan kode pemulihan, dan baca panduan resmi tiap layanan. Untuk akun perbankan dan layanan keuangan, ikuti petunjuk resmi bank dan pedoman OJK.

Kalau Anda pernah harus menelepon seorang karyawan jam sebelas malam karena akun marketplace toko kena suspend, atau pernah pusing tujuh keliling waktu admin lama resign dan tiba-tiba dashboard iklan tidak bisa dimasuki lagi, akar masalahnya hampir selalu sama: kata sandi. Selama dua dekade terakhir, kata sandi adalah satu-satunya hal yang berdiri antara akun bisnis Anda dengan dunia luar. Dan selama dua dekade itu pula, kata sandi terus-menerus gagal melindungi.

Tahun 2026 menandai pergeseran serius. Google, Apple, Microsoft, WhatsApp, hingga sebagian besar marketplace besar sudah mendorong pengguna untuk beralih ke passkey — metode login berbasis sidik jari atau pemindaian wajah di perangkat pengguna, tanpa lagi memasukkan kata sandi. Beberapa aplikasi perbankan di Indonesia bahkan mulai menonaktifkan opsi login dengan password dan menggantinya sepenuhnya dengan passkey atau biometrik. Bagi pelaku UMKM, pertanyaannya bukan lagi "perlu pindah atau tidak", tapi "kapan dan bagaimana caranya supaya tidak berantakan saat dipakai tim".

Apa Itu Passkey Sebenarnya?

Passkey adalah cara login berbasis kriptografi yang menggantikan kombinasi email-dan-password dengan dua kunci digital: satu kunci publik yang disimpan di server layanan, dan satu kunci privat yang disimpan di perangkat Anda — baik HP, laptop, maupun hardware key seperti YubiKey. Saat Anda ingin login, perangkat akan memverifikasi identitas Anda secara lokal (lewat sidik jari, pemindaian wajah, atau PIN perangkat), lalu memakai kunci privat untuk membuktikan ke server bahwa Anda memang pemilik akun. Kata sandi tidak pernah dikirim ke mana pun, dan tidak ada yang bisa dicuri di tengah jalan.

Standar teknis yang menopangnya disebut FIDO2 — gabungan dari spesifikasi WebAuthn (untuk browser) dan CTAP2 (untuk perangkat). Aliansi FIDO didukung lebih dari dua ratus perusahaan termasuk Google, Apple, Microsoft, dan Meta, yang membuat passkey kompatibel lintas platform. Passkey yang Anda buat di iPhone bisa dipakai untuk login di komputer Windows via QR code, dan begitu pula sebaliknya. Tidak ada vendor tunggal yang mengunci Anda di ekosistemnya.

Yang sering bikin pemilik UMKM bingung adalah perbedaan antara passkey dan password manager. Keduanya menyelesaikan masalah berbeda meskipun saling melengkapi. Password manager (seperti Bitwarden atau 1Password) tetap menyimpan kata sandi tradisional — hanya saja Anda tidak perlu menghafalnya. Passkey menghilangkan kata sandi sama sekali; tidak ada string rahasia yang bisa bocor, ditebak, atau di-phishing. Banyak password manager modern juga sudah bisa menyimpan dan menyinkronkan passkey antar perangkat, jadi keduanya bisa hidup berdampingan.

Mengapa Passkey Tahan Phishing

Bayangkan analogi sederhana. Kata sandi seperti kunci rumah berbentuk gembok kombinasi — siapa pun yang tahu angka kombinasinya bisa membuka, di mana pun mereka berada. Passkey lebih mirip kunci fisik yang hanya bekerja pada gembok rumah Anda — bahkan kalau pencuri tahu bentuk persisnya, mereka tidak bisa membuat duplikat tanpa cetakan asli yang ada di tangan Anda.

Secara teknis, kunci privat passkey terikat pada perangkat fisik tertentu dan tidak pernah meninggalkan perangkat itu. Saat Anda mencoba login di halaman palsu yang menyamar sebagai Shopee atau Tokopedia, browser dan sistem operasi akan menolak meneruskan passkey karena domain tidak cocok dengan domain saat passkey dibuat. Inilah alasan mengapa passkey kebal terhadap phishing biasa, kebocoran database password, dan teknik credential stuffing yang selama ini jadi vektor serangan paling produktif di Indonesia.

Tambahan lapisannya: karena verifikasi dilakukan lewat biometrik perangkat, penyerang yang berhasil mencuri HP karyawan Anda pun tidak otomatis bisa login. Sidik jari atau wajah karyawan tetap dibutuhkan, dan setelah beberapa kali gagal, perangkat akan terkunci.

Mengapa Pelaku UMKM Indonesia Sebaiknya Mulai Pertimbangkan Sekarang

Ada empat alasan kenapa transisi ke passkey relevan justru untuk UMKM, bukan hanya korporat besar.

Pertama, target empuk hacker pemula. Berdasarkan laporan komunitas keamanan siber Indonesia, lebih dari empat puluh persen serangan siber di Indonesia justru menyasar UMKM yang dianggap penjagaannya minim. Kampanye phishing skala besar mengandalkan satu hal: ada saja karyawan yang ceroboh meng-klik link dan memasukkan kredensial. Passkey memutus rantai ini secara teknis.

Kedua, biaya operasional turun. Reset password adalah salah satu beban tersembunyi terbesar di tim kecil. Setiap kali karyawan lupa kata sandi akun marketplace, akun Meta Ads, atau akun panel hosting, ada waktu produktif yang hilang — kadang setengah hari kalau prosesnya panjang. Passkey menghilangkan masalah ini karena tidak ada yang perlu diingat.

Ketiga, kepatuhan terhadap UU PDP makin ketat. Undang-Undang Pelindungan Data Pribadi (UU No. 27 Tahun 2022) menempatkan tanggung jawab tinggi pada pengendali data — yang dalam praktiknya mencakup UMKM yang mengumpulkan data pelanggan dari formulir online atau transaksi. Salah satu sinyal kepatuhan paling dasar adalah penerapan kontrol akses yang memadai. Passkey otomatis memenuhi standar otentikasi multi-faktor karena menggabungkan "sesuatu yang Anda miliki" (perangkat) dengan "sesuatu yang Anda" (biometrik), jauh lebih kuat dibanding sekadar kata sandi.

Keempat, akses karyawan jadi lebih mudah dikelola. Saat karyawan resign, mencabut akses bisnis bisa dilakukan dari panel admin akun bisnis — passkey karyawan tersebut otomatis tidak berlaku lagi. Tidak ada lagi ritual mengganti puluhan kata sandi karena khawatir ada yang bocor.

Ponsel menampilkan layar otentikasi biometrik dengan tampilan FIDO2 passkey
Verifikasi biometrik di perangkat menggantikan kata sandi tradisional, dan tidak ada kredensial yang dikirim ke server. (Foto ilustrasi: Pexels)

Layanan Bisnis yang Sudah Mendukung Passkey di 2026

Tidak semua layanan yang dipakai UMKM Indonesia sudah siap dengan passkey, tapi daftar yang sudah mendukung makin panjang setiap bulan. Per pertengahan 2026, berikut yang sudah stabil:

  • Akun Google pribadi dan Google Workspace. Mendukung passkey baik untuk pengguna perorangan maupun admin organisasi. Lebih dari sembilan juta organisasi di seluruh dunia sudah mengaktifkan opsi ini menurut data resmi Google Workspace.
  • Microsoft 365 dan akun Microsoft pribadi. Termasuk Outlook, OneDrive, dan Teams. Admin Microsoft 365 Business bisa memaksa passkey sebagai metode wajib.
  • WhatsApp dan WhatsApp Business. Sudah mendukung passkey untuk login akun, menggantikan kode SMS yang rentan terhadap SIM swap.
  • GitHub dan GitLab. Penting bagi UMKM yang memakai jasa developer freelance untuk mengelola kode website atau aplikasi.
  • Sebagian besar password manager besar. Bitwarden, 1Password, Proton Pass, dan Dashlane sudah mendukung penyimpanan passkey lintas perangkat.
  • Beberapa marketplace dan platform iklan. Meta Business (Facebook, Instagram Ads), TikTok for Business, dan sebagian akun seller Shopee mulai menawarkan passkey sebagai opsi tambahan.
  • Aplikasi perbankan Indonesia. Sebagian besar mobile banking sudah memakai biometrik perangkat (yang secara konsep dekat dengan passkey) sebagai metode utama. Pastikan Anda mengikuti petunjuk masing-masing bank dan tidak menonaktifkan PIN cadangan tanpa rencana pemulihan.

Yang belum mendukung secara penuh: sebagian besar panel hosting Indonesia, beberapa marketplace lokal, dan layanan pemerintah seperti panel pajak dan BPJS. Untuk akun-akun ini, kombinasikan password manager dengan otentikasi dua faktor berbasis aplikasi (bukan SMS) sebagai langkah perantara.

Langkah Aktivasi Passkey di Akun Google (Termasuk Google Workspace UMKM)

Akun Google biasanya jadi titik awal paling logis karena banyak akun lain bergantung padanya — email, login sosial ke berbagai layanan, dashboard iklan, hingga akses ke dokumen tim. Langkahnya:

  1. Buka myaccount.google.com dari perangkat yang ingin Anda jadikan tempat menyimpan passkey (HP atau laptop yang sering Anda pakai).
  2. Masuk ke menu Security > cari bagian How you sign in to Google.
  3. Klik Passkeys and security keys.
  4. Pilih Create a passkey, lalu ikuti instruksi untuk verifikasi sidik jari, wajah, atau PIN perangkat.
  5. Setelah selesai, passkey akan muncul di daftar dengan nama perangkat — misalnya "iPhone 14 Pro" atau "MacBook Air". Pastikan namanya bisa Anda kenali agar mudah dicabut nanti kalau perangkat hilang.
  6. Ulangi langkah yang sama di perangkat lain yang sering Anda pakai. Disarankan punya minimal dua passkey di dua perangkat terpisah sebagai cadangan.

Untuk admin Google Workspace, masuk ke admin.google.com, pilih menu Security > Authentication > 2-Step Verification, lalu aktifkan opsi yang mengizinkan passkey. Setelah itu, kebijakan ini bisa dipaksa berlaku untuk semua karyawan dalam organisasi. Sebelum memaksakan, lakukan briefing dan bagikan panduan singkat agar karyawan tidak panik di hari pemberlakuan.

Langkah Aktivasi Passkey di WhatsApp dan WhatsApp Business

Karena banyak UMKM Indonesia menggunakan WhatsApp sebagai tulang punggung komunikasi pelanggan, mengamankan akun ini krusial. Modus pengambilalihan akun WhatsApp lewat SIM swap atau pencurian kode OTP terus terjadi sepanjang 2025-2026. Passkey memutus risiko ini.

  1. Buka WhatsApp atau WhatsApp Business di HP, lalu masuk ke menu Settings (untuk iPhone) atau Pengaturan (untuk Android).
  2. Pilih Account > Passkeys.
  3. Klik Create passkey, lalu verifikasi dengan sidik jari atau pemindaian wajah HP Anda.
  4. Setelah passkey dibuat, login berikutnya tidak akan lagi memerlukan kode SMS — cukup verifikasi biometrik.
  5. Untuk akun WhatsApp Business yang dipakai bersama tim via WhatsApp Business API, koordinasikan dengan provider BSP (Business Service Provider) Anda agar passkey ikut diatur di sisi mereka.

Yang Sebaiknya Diperhatikan Sebelum Beralih

Passkey bukan tanpa kekurangan. Beberapa hal yang sering jadi sumber masalah kalau tidak diantisipasi sejak awal:

Cadangan saat HP hilang. Karena passkey terikat ke perangkat, kehilangan HP utama bisa jadi mimpi buruk kalau tidak ada passkey lain di perangkat cadangan. Selalu daftarkan passkey di minimal dua perangkat, atau gunakan password manager yang menyinkronkan passkey ke cloud terenkripsi. Untuk akun paling kritis (misalnya akun admin Google Workspace), tambahkan hardware key seperti YubiKey sebagai cadangan terakhir.

Onboarding karyawan baru. Saat karyawan baru bergabung, mereka butuh waktu untuk mendaftarkan passkey di perangkat mereka. Sediakan SOP sederhana yang menjelaskan langkah aktivasi di tiap akun bisnis yang akan mereka akses, dan dampingi sesi pertama agar tidak ada yang asal klik.

Perangkat lama. HP atau laptop yang terlalu tua (di bawah Android 9 atau iOS 14) mungkin belum mendukung passkey secara penuh. Untuk tim yang sebagian masih pakai perangkat lama, kombinasi password manager dengan kunci keamanan USB bisa jadi solusi sementara.

UU PDP dan data biometrik. Verifikasi sidik jari dan wajah memang dilakukan di perangkat, tidak dikirim ke server layanan, sehingga relatif aman dari sudut pandang UU PDP. Namun pastikan kebijakan internal UMKM Anda menjelaskan dengan jelas bahwa data biometrik karyawan tidak akan disimpan oleh perusahaan, hanya dipakai untuk membuka kunci passkey di perangkat masing-masing.

Pelatihan ulang tim. Banyak karyawan masih punya refleks otomatis untuk mengetik kata sandi. Butuh beberapa minggu sampai refleks tersebut tergantikan oleh sentuhan sidik jari atau menatap kamera. Beri waktu adaptasi, hindari mencabut metode lama secara mendadak.

Strategi Migrasi Bertahap untuk Tim Kecil

Untuk UMKM dengan tim di bawah dua puluh orang, transisi ke passkey tidak perlu jadi proyek IT besar. Tahapan yang biasanya berhasil:

Bulan pertama: aktifkan passkey hanya di akun pribadi pemilik UMKM dan satu atau dua orang manajer. Pakai di akun Google pribadi, WhatsApp, dan satu marketplace yang sudah mendukung. Tujuannya merasakan sendiri pengalaman pengguna sebelum diteruskan ke tim.

Bulan kedua: susun SOP internal sederhana — satu halaman saja — yang menjelaskan kenapa transisi ini dilakukan, perangkat apa yang didukung, dan langkah aktivasi di tiap akun bisnis. Lakukan briefing satu jam dengan tim, jelaskan studi kasus nyata, dan jawab pertanyaan teknis di tempat.

Bulan ketiga: aktifkan passkey untuk akun bisnis bersama dan akun Google Workspace organisasi. Pasangkan setiap karyawan dengan password manager yang juga mendukung passkey, sehingga akun yang belum siap passkey tetap punya kata sandi unik yang kuat.

Bulan keempat dan seterusnya: mulai cabut atau nonaktifkan kata sandi lama di akun-akun yang sudah berfungsi sempurna dengan passkey. Lakukan audit triwulanan untuk memastikan tidak ada akun karyawan lama yang tertinggal.

Apakah Passkey Akan Sepenuhnya Menggantikan Password?

Dalam jangka pendek, kemungkinan besar tidak. Beberapa layanan akan tetap menyediakan kata sandi sebagai opsi cadangan untuk pemulihan akun. Tapi tren jangka menengah jelas mengarah ke passwordless: makin banyak layanan menjadikan passkey sebagai metode default, dan beberapa bahkan menghilangkan opsi password sama sekali. Pelaku UMKM yang mulai membiasakan diri dan tim dari sekarang akan punya keunggulan operasional saat transisi industri semakin cepat.

Yang lebih penting daripada kapan dunia sepenuhnya beralih adalah kapan Anda sendiri mulai. Setiap akun yang sudah diamankan dengan passkey adalah satu akun yang tidak lagi bisa dibobol lewat phishing massal, kebocoran database, atau pengintipan kata sandi di kafe. Untuk UMKM yang setiap akun bisnisnya berharga ratusan juta dalam bentuk reputasi, omzet, dan data pelanggan, perlindungan itu nyata.

Penutup

Passkey bukan teknologi futuristik yang masih jauh — di Indonesia 2026, ia sudah ada di setiap HP modern dan sebagian besar layanan utama yang dipakai UMKM. Tantangannya bukan teknis, tapi kebiasaan: mengajak diri sendiri dan tim untuk berhenti menganggap kata sandi sebagai satu-satunya cara login. Mulai dari satu akun, satu perangkat, satu kali aktivasi. Setelah Anda merasakan login yang lebih cepat sekaligus lebih aman, sulit untuk kembali ke metode lama.

Kalau UMKM Anda butuh pendampingan untuk audit keamanan akun, menyusun SOP transisi passkey, atau melatih tim secara langsung, tim Wardigi terbuka untuk diskusi konsultasi. Kami bekerja dengan pelaku UMKM Indonesia membangun keamanan siber yang praktis, bukan teoretis.

Referensi: Google Workspace — Passkeys for organizations; Media Indonesia — Panduan Passwordless 2026; Tempo — 200+ Perusahaan Dukung Passkey; UU No. 27 Tahun 2022 tentang Pelindungan Data Pribadi; Badan Siber dan Sandi Negara (BSSN).