Dipublikasikan: 21 Mei 2026
Di Google I/O 2026, kami membahas web yang tidak merepotkan saat login. Titik entri ini harus aman dan sederhana sehingga pengguna merasa aman. Postingan ini merangkum cara Anda dapat memperbaiki alur akun, mengurangi hambatan, dan melindungi orang sejak awal.
Akses cepat
- Mengapa modernisasi itu penting
- Menyederhanakan pembuatan akun
- Verifikasi atribut yang lancar
- Menerapkan kunci sandi untuk login yang lancar
- Adopsi kunci sandi yang strategis
- Pengelolaan kunci sandi dan pemulihan yang andal
Mengapa modernisasi itu penting
Alur yang rumit (seperti formulir pendaftaran yang berantakan, loop "lupa sandi" yang menjengkelkan, atau banyak tombol login) merusak suasana. Iklan ini adalah "pembunuh peralihan konteks" yang membuat pengguna menjauh. Sandi lama dan sandi sekali pakai (OTP) juga membuat orang rentan terhadap phishing.
Setiap detik gesekan adalah peluang bagi pengguna untuk keluar. Memodernisasi autentikasi Anda akan melindungi sistem dan pengguna Anda. Dengan memperlancar setiap titik kontak dalam perjalanan identitas, Anda secara alami meningkatkan rasio konversi. Misalnya, pixiv mencapai rasio keberhasilan login yang sangat tinggi, yaitu 99% (peningkatan sebesar 29% dibandingkan dengan sandi) setelah menerapkan kunci sandi. Berpindah dari kredensial yang lemah akan membuat segala hal menjadi lebih cepat dan aman.
Menyederhanakan pembuatan akun
Interaksi pertama pengguna dengan aplikasi Anda akan menentukan suasana. Menyederhanakan pembuatan akun adalah langkah pertama untuk meningkatkan adopsi dan keamanan.
Federasi identitas sebagai metode pembuatan akun utama
Anda dapat mengizinkan pengguna melewati formulir pembuatan akun yang membosankan dengan menggunakan federasi identitas, yang memungkinkan pengguna mendaftar dengan penyedia tepercaya seperti Google. Hal ini memberikan pengalaman pendaftaran yang andal dan lancar yang memungkinkan pengguna masuk ke aplikasi Anda tanpa "kerepotan" pendaftaran seperti biasanya.
Federasi berarti pengguna tidak perlu mengetik nama atau email mereka secara manual. Karena penyedia sudah memverifikasi mereka, Anda dapat melewati langkah-langkah yang berlebihan untuk memverifikasi mereka secara independen dan mendapatkan lebih banyak orang.
Selain itu, dengan mengadopsi solusi identitas gabungan, Anda dapat mewarisi tingkat keamanan IdP (Penyedia Identitas) khusus. Karena IdP mengkhususkan diri dalam identitas dan keamanan, mengandalkan infrastruktur mereka akan menghilangkan risiko membangun autentikasi dari awal.
Menggunakan Federated Credential Management (FedCM) API
Jika Anda bertindak sebagai IdP, sebaiknya gunakan FedCM API. Fitur ini menangani interaksi melalui UI browser, yang melindungi privasi dengan mencegah pelacakan sekaligus memberi pengguna login sekali ketuk, dan membuat UI lebih rapi dengan hanya menampilkan akun yang relevan.
Pola "Gabungkan lalu upgrade"
Gabungkan lalu upgrade menggabungkan kecepatan federasi dengan keamanan jangka panjang kunci sandi. Jika Anda meminta kunci sandi tepat setelah pendaftaran gabungan, login berikutnya pengguna akan tahan terhadap phishing sejak hari pertama.
Mengoptimalkan formulir untuk Isi Otomatis
Jika formulir manual diperlukan, gunakan atribut name dan id yang deskriptif serta
nilai autocomplete yang benar agar browser dapat mengisi kolom untuk
pengguna. Hal ini mengurangi beban kognitif dan potensi kesalahan ketik selama proses pendaftaran. Lihat Praktik terbaik formulir pendaftaran kami untuk mengetahui detail selengkapnya tentang pengoptimalan formulir.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Verifikasi atribut tanpa hambatan
Membuat pengguna keluar dari aplikasi Anda untuk memeriksa kode di email mereka akan mengurangi rasio konversi. Peralihan konteks inilah yang membuat orang teralihkan perhatiannya dan tidak pernah kembali.
Mengenal Email Verification Protocol (EVP)
Email Verification Protocol (EVP), sebuah fitur baru, memungkinkan aplikasi Anda mendapatkan alamat email terverifikasi secara langsung melalui browser.
Untuk mengaktifkan penggunaan fitur ini, tambahkan kolom input tersembunyi dengan atribut
autocomplete="email-verification-token" dan dengan challenge. Browser mengurai domain email dari input dan meminta penerbit email memverifikasi bahwa pengguna memiliki kontrol atas email ini. Setelah verifikasi berhasil,
browser akan menampilkan klaim email terverifikasi yang dapat diverifikasi backend Anda
secara instan. Bagi pengguna, alur ini terjadi dengan lancar; mereka hanya melihat notifikasi saat verifikasi email.
EVP menghilangkan kebutuhan akan gesekan yang membuat orang enggan (seperti link ajaib atau OTP email) untuk login, mendaftar, dan mereset sandi.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Perhatikan bahwa setiap penyedia layanan email yang mendukung EVP akan menentukannya sendiri. Hubungi penyedia spesifik Anda untuk mengetahui apakah mereka berencana mendukung EVP. Jika memiliki domain kustom, Anda dapat menghubungkannya ke penyedia email yang mendukung untuk mendukung EVP juga.
Karena masih dalam tahap eksperimental, kami menghargai masukan Anda tentang fitur ini di repositori GitHub.
Digital Credentials API
Untuk detail sensitif seperti nama resmi atau usia, Digital Credentials API menyediakan cara untuk meminta data terverifikasi dari dompet pengguna melalui mediasi browser menggunakan pengungkapan selektif. Artinya, Anda dapat memverifikasi bahwa pengguna berusia di atas usia tertentu, tanpa benar-benar menerima tanggal lahir lengkap atau nama resminya, sehingga privasi mereka tetap terjaga.
Lihat Digital Credentials API: Identitas yang aman dan pribadi di web.
Menerapkan kunci sandi untuk login yang lancar
Kunci sandi bukan hanya pengganti sandi. Fitur ini merupakan perubahan mendasar menuju autentikasi yang lancar dan tahan terhadap phishing.
Mode UI Langsung
Mulai Chrome 149, Mode UI Langsung tersedia. Hal ini memungkinkan situs memeriksa kredensial saat pengguna membuka situs Anda. Jika kunci sandi atau sandi tersedia di pengelola sandi, browser akan memediasi alur dengan daftar akun yang tersedia dalam dialog login secara langsung.
Dengan demikian, pengguna tidak perlu memilih metode login. Dengan menawarkan kredensial secara proaktif untuk akun yang dipilih, Anda menciptakan pengalaman "sekali ketuk" yang lancar dan terasa seperti keajaiban bagi pengguna.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Lihat Mode UI langsung untuk login.
Isi otomatis formulir kunci sandi: Menggunakan isi otomatis formulir saat beralih ke kunci sandi
Untuk pengguna di situs yang sedang dalam transisi dari sandi ke kunci sandi, isi otomatis formulir kunci sandi memungkinkan kunci sandi muncul di saran Isi Otomatis saat kolom input difokuskan. Artinya, jika pengguna sudah memiliki kunci sandi, saat mereka memfokuskan kolom nama pengguna di formulir login. Jika tidak, mereka tetap dapat menggunakan sandi tersimpan.
Untuk mengaktifkannya, anotasikan kolom nama pengguna Anda dengan autocomplete="username webauthn"
dan tetapkan nilai mediation ke 'conditional' saat Anda memanggil
navigator.credentials.get().
Hal ini adalah jembatan penting selama transisi ke masa depan tanpa sandi, karena memperkenalkan kunci sandi kepada pengguna dalam antarmuka yang sudah dikenal.
Lihat checklist autentikasi Kunci sandi.
Adopsi kunci sandi strategis
Adopsi sering kali bergantung pada waktu. Meminta pengguna pada saat yang tepat dapat meningkatkan kemungkinan mereka mendaftarkan kunci sandi secara signifikan.
Pembuatan kunci sandi otomatis
Tidak ada yang ingin menjelajahi setelan keamanan mereka hanya untuk menyiapkan metode login baru. Untuk pengguna sandi yang sudah ada, bagaimana dan kapan Anda harus meminta pengguna untuk mengupgrade ke kunci sandi?
Di sinilah pembuatan kunci sandi otomatis berperan. Dengan Pembuatan Bersyarat, browser dapat mengupgrade pengguna sandi secara otomatis ke kunci sandi tepat saat pengguna login dengan pengelola sandi mereka.
Dengan meneruskan mediation: 'conditional' ke navigator.credentials.create()
API, yang dipicu oleh login berhasil pengguna baru-baru ini menggunakan sandi yang disimpan
ke pengelola sandi, browser membuat kunci sandi baru secara native tanpa
memaksa pengguna melalui layar penyiapan tambahan.
Pendaftaran tanpa hambatan berarti pengguna tidak perlu membuat keputusan secara sadar untuk meningkatkan keamanan mereka. Hal ini terjadi secara otomatis, melindungi mereka tanpa memerlukan upaya tambahan. Misalnya, adidas memperoleh peningkatan pembuatan kunci sandi sebesar 8% menggunakan strategi tanpa perintah ini.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Lihat Checklist pendaftaran kunci sandi
Pengelolaan kunci sandi dan pemulihan yang tangguh
Pengguna harus dapat mengakses kredensial mereka dengan mudah di berbagai perangkat, situs, dan layanan. Selain mengelola mereka dan memastikan mereka dapat memulihkan akun mereka jika perangkat hilang atau dicuri.
Konsistensi lintas platform
Jika memiliki beberapa properti (misalnya, aplikasi Android dan situs, atau beberapa situs) yang menggunakan sistem login yang sama, Anda dapat meningkatkan pengalaman pengguna. Dengan berbagi kredensial yang lancar, pengelola sandi dapat menyarankan kredensial yang tepat kepada pengguna Anda di semua properti Anda.
Berbagi kredensial yang lancar terdiri dari dua teknologi: Digital Asset Links untuk sandi dan Permintaan Asal Terkait untuk kunci sandi.
Penggunaan Digital Asset Links memastikan sandi yang dibuat di web tersedia di aplikasi Android Anda, dan sebaliknya. Fitur ini juga memungkinkan pengelola sandi menyarankan kredensial yang sudah disimpan di berbagai domain yang Anda miliki yang menggunakan backend autentikasi yang sama.
Gunakan Permintaan Asal Terkait untuk menyediakan kunci sandi di berbagai domain dan aplikasi melalui pengelola kredensial pengguna Anda.
Ini hanyalah salah satu cara lagi untuk membuat pengalaman login yang lebih lancar bagi pengguna Anda.
Memberdayakan pengguna dengan halaman pengelolaan kunci sandi
Untuk pengalaman kunci sandi yang canggih, sebaiknya buat halaman pengelolaan kunci sandi khusus dengan dukungan untuk nama penyedia, waktu penggunaan, dan kontrol yang jelas. Hal ini membantu pengguna mengelola setelan mereka dengan percaya diri. Transparansi membangun kepercayaan.
Lihat checklist pengelolaan Kunci sandi.
Pemulihan akun yang andal
Perangkat dapat hilang atau diupgrade. Kunci sandi pada dasarnya tangguh karena menggunakan perlindungan tingkat hardware dan biasanya disinkronkan di cloud, sehingga pengguna dapat memulihkannya di perangkat baru. Namun, memiliki penggantian seperti alamat email terverifikasi memastikan pengguna Anda tidak pernah kehilangan akses ke kehidupan digital mereka.
Daripada membuat seseorang menunggu saat melakukan panggilan ke layanan bantuan, Anda dapat membuktikan bahwa dia adalah pemiliknya menggunakan sinyal yang sudah Anda percayai, seperti federasi identitas atau verifikasi email.
Dengan menggabungkan sinyal ini ke dalam strategi pemulihan, Anda dapat memulihkan akses secara langsung. Setelah kembali, segera daftarkan kunci sandi baru agar pengguna terlindungi dari phishing lagi.
Melindungi sesi dengan DBSC
Untuk melindungi pengguna dari pembajakan akun, menjaga keamanan cookie sesi mereka adalah lapisan pertahanan penting lainnya. Kredensial Sesi Terikat Perangkat (DBSC) adalah cara bagi Anda untuk mengikat sesi ke hardware. Hal ini mengurangi pembajakan sesi karena meskipun cookie dicuri, hanya perangkat yang sama yang dapat meminta penerbitan ulang cookie, sehingga secara efektif menambahkan lapisan keamanan lain ke sesi Anda.
DBSC adalah fitur eksperimental yang kini tersedia di Windows. Anda dapat mempelajari lebih lanjut update ini di pengumuman Kredensial Sesi Terikat Perangkat di Windows. Kami juga berupaya memperluas dukungan DBSC ke macOS.
Keahlian agen kunci sandi
Kami telah menyertakan keterampilan kunci sandi yang mencakup banyak aspek yang dijelaskan dalam postingan ini di project Panduan Web Modern kami. Kami akan segera memublikasikan postingan blog khusus tentang keterampilan kunci sandi.
Siap membangun masa depan autentikasi?
Pelajari panduan mendalam kami dan mulai modernisasi sekarang: