Dipublikasikan: 21 Mei 2026
Di Google I/O 2026, kami membahas tentang web yang tidak membuat login menjadi tugas yang membosankan. Web harus menjadi titik entri yang aman dan sederhana yang benar-benar membuat pengguna merasa aman. Postingan ini merangkum cara Anda dapat memperbaiki alur akun, mengurangi kendala, dan melindungi pengguna sejak awal.
Akses cepat
- Alasan modernisasi itu penting
- Menyederhanakan pembuatan akun
- Verifikasi atribut tanpa kendala
- Mengimplementasikan kunci sandi untuk login yang lancar
- Adopsi kunci sandi strategis
- Pengelolaan kunci sandi dan pemulihan yang tangguh
Alasan modernisasi itu penting
Alur yang penuh kendala (seperti formulir pendaftaran yang berantakan, loop "lupa sandi" yang mengganggu, atau banyak tombol login) dapat merusak suasana. Alur tersebut adalah "pembunuh peralihan konteks" yang membuat pengguna enggan. Sandi lama dan sandi sekali pakai (OTP) juga membuat pengguna rentan terhadap phishing.
Setiap detik kendala adalah peluang bagi pengguna untuk berhenti. Memodernisasi autentikasi akan melindungi sistem dan pengguna Anda. Dengan memperlancar setiap titik kontak dalam perjalanan identitas, Anda secara alami meningkatkan rasio konversi. Misalnya, pixiv mencapai tingkat keberhasilan login sebesar 99% (peningkatan 29% dibandingkan sandi) setelah menerapkan kunci sandi. Berpindah dari kredensial yang lemah akan membuat proses menjadi lebih cepat dan aman.
Menyederhanakan pembuatan akun
Interaksi pertama pengguna dengan aplikasi Anda akan menentukan suasana. Menyederhanakan pembuatan akun adalah langkah pertama untuk meningkatkan adopsi dan keamanan.
Gabungan identitas sebagai metode pembuatan akun utama
Anda dapat mengizinkan pengguna melewati formulir pembuatan akun yang membosankan dengan menggunakan gabungan identitas, yang memungkinkan pengguna mendaftar dengan penyedia tepercaya seperti Google. Hal ini memberikan pengalaman pendaftaran yang tangguh dan lancar yang memungkinkan pengguna menggunakan aplikasi Anda tanpa "tugas" pendaftaran yang biasa.
Gabungan identitas berarti pengguna tidak perlu mengetik nama atau email secara manual. Karena penyedia sudah memverifikasi pengguna, Anda dapat melewati langkah-langkah yang berlebihan untuk memverifikasi pengguna secara independen dan mendapatkan lebih banyak pengguna.
Selain itu, mengadopsi solusi identitas gabungan memungkinkan Anda mewarisi tingkat keamanan IdP (Penyedia Identitas) khusus. Karena IdP berspesialisasi dalam identitas dan keamanan, mengandalkan infrastruktur mereka akan menghilangkan risiko membangun autentikasi dari awal.
Mengadopsi Federated Credential Management (FedCM) API
Jika Anda bertindak sebagai IdP, sebaiknya adopsi FedCM API. API ini menangani interaksi melalui UI browser, yang melindungi privasi dengan mencegah pelacakan sekaligus memberikan login sekali ketuk kepada pengguna, dan menyederhanakan UI dengan hanya menampilkan akun yang relevan.
Pola "Gabungkan, lalu upgrade"
Gabungkan, lalu upgrade menggabungkan kecepatan gabungan identitas dengan keamanan jangka panjang kunci sandi. Jika Anda meminta kunci sandi tepat setelah pendaftaran gabungan identitas, login berikutnya pengguna akan tahan terhadap phishing sejak hari pertama.
Mengoptimalkan formulir untuk IsiOtomatis
Jika formulir manual diperlukan, gunakan atribut name dan id deskriptif serta nilai autocomplete yang benar untuk memungkinkan browser mengisi kolom untuk pengguna. Hal ini mengurangi beban kognitif dan potensi kesalahan ketik selama proses pendaftaran. Lihat Praktik terbaik formulir pendaftaran
untuk mengetahui detail selengkapnya tentang pengoptimalan formulir.
<label for="email">Email</label>
<input type="email" id="email" name="email" autocomplete="email">
<label for="password">New Password</label>
<input type="password" id="password" name="password" autocomplete="new-password">
Verifikasi atribut tanpa kendala
Membuat pengguna keluar dari aplikasi Anda untuk memeriksa kode di email mereka akan mengurangi rasio konversi. Peralihan konteks ini adalah saat pengguna terganggu dan tidak pernah kembali.
Mengenal Email Verification Protocol (EVP)
The Email Verification Protocol (EVP), fitur baru, memungkinkan aplikasi Anda mendapatkan alamat email terverifikasi langsung melalui browser.
Untuk ikut serta menggunakan fitur ini, tambahkan kolom input tersembunyi dengan atribut
autocomplete="email-verification-token" dan dengan challenge. Browser mengurai domain email dari input dan meminta penerbit email untuk memverifikasi bahwa pengguna memiliki kontrol atas email ini. Setelah verifikasi berhasil, browser akan menampilkan klaim email terverifikasi yang dapat diverifikasi oleh backend Anda secara instan. Bagi pengguna, alur ini terjadi dengan lancar; mereka hanya melihat notifikasi setelah verifikasi email.
EVP menghilangkan kebutuhan akan kendala yang membuat pengguna enggan (seperti link ajaib atau OTP email) untuk login, pendaftaran, dan reset sandi.
<input id="email" type="email" autocomplete="email">
<input type="hidden" name="token" challenge="1234" autocomplete="email-verification-token">
Perhatikan bahwa penyedia layanan email individual yang mendukung EVP. Hubungi penyedia layanan email Anda untuk mengetahui apakah mereka berencana mendukung EVP. Jika memiliki domain kustom, Anda dapat menghubungkannya ke penyedia email yang mendukung untuk mendukung EVP juga.
Karena masih dalam tahap eksperimental, kami menghargai masukan Anda tentang fitur ini di repositori GitHub.
Digital Credentials API
Untuk detail sensitif seperti nama resmi atau usia, Digital Credentials API menyediakan cara untuk meminta data terverifikasi dari dompet pengguna melalui mediasi browser menggunakan pengungkapan selektif. Artinya, Anda dapat memverifikasi bahwa pengguna berusia di atas usia tertentu, tanpa benar-benar menerima tanggal lahir lengkap atau nama resmi mereka, sehingga menjaga privasi mereka.
Lihat Digital Credentials API: Identitas yang aman dan pribadi di web.
Mengimplementasikan kunci sandi untuk login yang lancar
Kunci sandi lebih dari sekadar pengganti sandi. Kunci sandi adalah perubahan mendasar menuju autentikasi yang lancar dan tahan terhadap phishing.
Mode UI Langsung
Mulai Chrome 149, Mode UI Langsung tersedia. Mode ini memungkinkan situs memeriksa kredensial saat pengguna membuka situs Anda. Jika kunci sandi atau sandi tersedia di pengelola sandi, browser akan memediasi alur dengan daftar akun yang tersedia dalam dialog login secara langsung.
Hal ini menghilangkan kebutuhan pengguna untuk memilih metode login. Dengan menawarkan kredensial secara proaktif untuk akun yang dipilih, Anda menciptakan pengalaman "sekali ketuk" yang lancar dan terasa ajaib bagi pengguna.
const credential = await navigator.credentials.get({
password: true,
uiMode: 'immediate',
publicKey: publicKeyObject,
});
Lihat, Mode UI Langsung untuk login.
Isi otomatis formulir kunci sandi: Menggunakan isi otomatis formulir saat bertransisi ke kunci sandi
Untuk pengguna di situs yang bertransisi dari sandi ke kunci sandi, isi otomatis formulir kunci sandi memungkinkan kunci sandi muncul di saran IsiOtomatis saat kolom input difokuskan. Artinya, jika pengguna sudah memiliki kunci sandi, saat mereka memfokuskan kolom nama pengguna di formulir login. Jika tidak, mereka masih dapat menggunakan sandi yang disimpan.
Untuk mengaktifkan fitur ini, beri anotasi pada kolom nama pengguna dengan autocomplete="username webauthn"
dan tetapkan nilai mediation ke 'conditional' saat Anda memanggil
navigator.credentials.get().
Hal ini merupakan jembatan penting selama transisi ke masa depan tanpa sandi, karena membuat pengguna terbiasa dengan kunci sandi dalam antarmuka yang familiar.
Lihat Checklist autentikasi kunci sandi.
Adopsi kunci sandi strategis
Adopsi sering kali merupakan masalah waktu. Meminta pengguna pada saat yang tepat dapat meningkatkan kemungkinan mereka mendaftarkan kunci sandi secara signifikan.
Pembuatan kunci sandi otomatis
Tidak ada yang ingin mencari setelan keamanan hanya untuk menyiapkan metode login baru. Untuk pengguna sandi yang ada, bagaimana dan kapan Anda harus meminta pengguna untuk mengupgrade ke kunci sandi?
Di sinilah peran pembuatan kunci sandi otomatis. Dengan Buat Bersyarat, browser dapat mengupgrade pengguna sandi ke kunci sandi secara otomatis saat pengguna login dengan pengelola sandi mereka.
Dengan meneruskan mediation: 'conditional' ke navigator.credentials.create()
API, yang dipicu oleh login berhasil pengguna baru-baru ini menggunakan sandi yang disimpan
ke pengelola sandi, browser akan membuat kunci sandi baru secara native tanpa
memaksa pengguna melalui layar penyiapan tambahan.
Pendaftaran tanpa kendala berarti pengguna tidak perlu membuat keputusan yang disadari untuk meningkatkan keamanan mereka. Hal ini terjadi secara otomatis, sehingga melindungi pengguna tanpa memerlukan upaya tambahan. Misalnya, adidas mengalami peningkatan 8% dalam pembuatan kunci sandi menggunakan strategi tanpa perintah ini.
await navigator.credentials.create({
mediation: 'conditional',
publicKey: { ... },
});
Lihat Checklist pendaftaran kunci sandi
Pengelolaan kunci sandi dan pemulihan yang tangguh
Pengguna harus memiliki kredensial yang tersedia di seluruh perangkat, situs, dan layanan. Selain mengelolanya dan memastikan mereka dapat memulihkan akun jika perangkat hilang atau dicuri.
Konsistensi lintas platform
Jika memiliki beberapa properti (misalnya, aplikasi Android dan situs, atau beberapa situs) yang menggunakan sistem login yang sama, Anda dapat meningkatkan pengalaman pengguna. Dengan berbagi kredensial yang lancar, pengelola sandi dapat menyarankan kredensial yang tepat kepada pengguna di semua properti Anda.
Menggunakan Digital Asset Links memastikan sandi yang dibuat di web tersedia di aplikasi Android Anda, dan sebaliknya. Pengelola sandi juga dapat menyarankan kredensial yang sudah disimpan di berbagai domain yang Anda miliki yang menggunakan backend autentikasi yang sama.
Gunakan Related Origin Requests untuk menyediakan kunci sandi di berbagai domain dan aplikasi melalui pengelola kredensial pengguna.
Ini hanyalah salah satu cara untuk membuat pengalaman login lebih lancar bagi pengguna.
Memberikan kemampuan kepada pengguna dengan halaman pengelolaan kunci sandi
Untuk pengalaman kunci sandi yang canggih, sebaiknya buat halaman pengelolaan kunci sandi khusus dengan dukungan untuk nama penyedia yang jelas, waktu penggunaan, dan kontrol. Hal ini membantu pengguna mengelola setelan mereka dengan percaya diri. Transparansi membangun kepercayaan.
Lihat Checklist pengelolaan kunci sandi.
Pemulihan akun yang tangguh
Perangkat dapat hilang atau diupgrade. Kunci sandi secara inheren tangguh karena menggunakan perlindungan tingkat hardware dan juga biasanya disinkronkan di cloud, sehingga pengguna dapat memulihkannya di perangkat baru. Namun, memiliki cadangan seperti alamat email terverifikasi memastikan pengguna tidak pernah kehilangan akses ke kehidupan digital mereka.
Daripada membuat seseorang menunggu panggilan help desk, Anda dapat membuktikan bahwa mereka adalah pemiliknya menggunakan sinyal yang sudah Anda percayai, seperti gabungan identitas atau verifikasi email.
Menggabungkan sinyal ini ke dalam strategi pemulihan memungkinkan Anda memulihkan akses di tempat. Setelah kembali, segera daftarkan kunci sandi baru agar mereka terlindungi dari phishing lagi.
Melindungi sesi dengan DBSC
Untuk melindungi pengguna dari pembajakan akun, menjaga keamanan cookie sesi mereka adalah lapisan pertahanan penting lainnya. Device Bound Session Credentials (DBSC) adalah cara untuk mengikat sesi ke hardware. Hal ini mengurangi pembajakan sesi karena meskipun cookie dicuri, hanya perangkat yang sama yang dapat meminta penerbitan ulang cookie, sehingga secara efektif menambahkan lapisan keamanan lain ke sesi Anda.
DBSC adalah fitur eksperimental yang kini tersedia di Windows. Anda dapat mempelajari lebih lanjut tentang pembaruan ini di pengumuman Device Bound Session Credentials di Windows. Kami juga berupaya memperluas dukungan DBSC ke macOS.
Keahlian agen kunci sandi
Kami telah menyertakan keahlian kunci sandi yang mencakup banyak aspek yang dijelaskan dalam postingan ini di project Modern Web Guidance. Kami akan segera memublikasikan postingan blog khusus tentang keahlian kunci sandi.
Siap membangun masa depan autentikasi?
Jelajahi panduan mendalam kami dan mulai modernisasi sekarang: