Implementasi Zero-Knowledge Encryption pada Password Manager Berbasis Website

Abstract

Pengelolaan kredensial akun yang aman menjadi tantangan signifikan di era digital, dengan banyaknya pengguna mengadopsi praktik tidak aman seperti penggunaan password yang sama berulang kali. Password manager tradisional seringkali menyimpan data terenkripsi di server, hal ini potensi risiko adanya pencurian data pengguna jika server disusupi. Penelitian ini mengembangkan password manager berbasis web dengan pendekatan Zero-Knowledge Encryption (ZKE), di mana semua operasi kriptografi krusial dilakukan secara eksklusif di sisi klien (browser). Dengan menggunakan arsitektur client-server (React frontend, Python/FastAPI backend), key derivation dari master password pengguna menggunakan Argon2id (4 iterasi, memori 64 MB, 1 parallelism) dan enkripsi/dekripsi data kredensial menggunakan AES-GCM dilakukan sepenuhnya di sisi klien. Server hanya menerima dan menyimpan data dalam bentuk terenkripsi (verifier, salt, blob data), tanpa pernah memiliki akses ke master password atau data kredensial plaintext. Hasil analisis payload jaringan menggunakan Chrome DevTools untuk memvalidasi bahwa implementasi ZKE berhasil, memastikan tidak ada data sensitif yang terekspos ke server. Namun, implementasi ZKE ini membawa konsekuensi tidak adanya fitur pemulihan akun, menempatkan tanggung jawab penuh pada pengguna untuk menjaga master password mereka, sebuah trade-off yang menyoroti kebutuhan akan penelitian lebih lanjut mengenai mekanisme pemulihan master password pengguna yang masih menerapkan ZKE.

Secure management of account credentials poses a significant challenge in the digital age, with many users adopting insecure practices like password reuse. Traditional password managers often store encrypted data on servers, leaving potential risks if the server is compromised. This research implements a web-based password manager applying the principle of Zero-Knowledge Encryption (ZKE), where all crucial cryptographic operations are performed exclusively on the client-side (browser). Utilizing a client-server architecture (React frontend, Python/FastAPI backend), key derivation from the user's master password using Argon2id (4 iterations, 64 MB memory, 1 parallelism) and credential data encryption/decryption using AES-GCM are performed entirely on the client-side. The server only receives and stores data in encrypted form (verifier, salt, data blobs), never having access to the master password or plaintext credentials. Network payload analysis using Chrome DevTools to validate that the ZKE implementation was successful, ensuring no sensitive data was exposed to the server. This approach significantly enhances data privacy and security against server-side threats. However, this ZKE implementation carries the consequence of lacking an account recovery feature, placing full responsibility on the user to safeguard their master password, a trade-off that highlights the need for further research into ZK-friendly recovery mechanisms.