Hampir setiap aplikasi modern menawarkan fitur “Remember Me”. Satu centang kecil di halaman login yang menjanjikan kenyamanan: tidak perlu mengetik ulang password, tidak perlu MFA berulang kali, dan akses terasa lebih cepat. Dari sudut pandang pengalaman pengguna, fitur ini terlihat tidak berbahaya bahkan dianggap sebagai standar.

Image source : Generative Artificial Intelligence

Namun dari sudut pandang keamanan, Remember Me justru merupakan salah satu fitur yang paling sering memperpanjang risiko tanpa disadari. Banyak kasus Account Takeover (ATO) dan penyalahgunaan sesi tidak terjadi karena password lemah atau bug autentikasi, melainkan karena identitas pengguna dibiarkan hidup terlalu lama melalui mekanisme ini.

Masalahnya bukan pada niat awal fitur Remember Me, tetapi pada asumsi kepercayaan yang diam-diam berubah ketika fitur ini diaktifkan.

Apa yang Sebenarnya Dilakukan Fitur “Remember Me”?

Secara teknis, ketika pengguna mencentang opsi Remember Me, sistem biasanya melakukan satu atau lebih hal berikut:

· Membuat session dengan masa berlaku sangat panjang

· Menyimpan persistent authentication cookie

· Menghasilkan remember-me token yang disimpan di browser

· Melewati proses login ulang pada kunjungan berikutnya

Dengan kata lain, Remember Me memperpanjang identitas digital pengguna di perangkat tersebut. Selama token atau cookie tersebut masih valid, sistem akan menganggap pengguna sebagai sudah terautentikasi, bahkan tanpa memasukkan password atau MFA ulang.

 

Di Mana Letak Risikonya?

Risiko Remember Me muncul karena fitur ini mengubah asumsi keamanan dasar dari autentikasi.

1. Autentikasi Berubah Menjadi Kepemilikan Perangkat

Dengan Remember Me, autentikasi tidak lagi sepenuhnya bergantung pada:

· sesuatu yang pengguna tahu (password),

· atau sesuatu yang pengguna miliki (OTP/MFA),

melainkan bergeser menjadi:

siapa pun yang memiliki perangkat atau browser tersebut.

Jika perangkat hilang, dipinjam, atau terinfeksi malware, akun dapat diakses tanpa hambatan berarti.

 

2. Masa Berlaku Token Terlalu Panjang

Banyak implementasi Remember Me menggunakan token yang berlaku selama:

· berminggu-minggu,

· berbulan-bulan,

· atau bahkan tanpa tanggal kedaluwarsa yang jelas.

Token yang valid terlalu lama memperbesar window of attack. Semakin panjang masa berlaku token, semakin besar peluang token tersebut dicuri dan disalahgunakan.

 

3. Remember Me Sering Melewati MFA

Dalam banyak sistem, MFA hanya diterapkan saat login awal. Ketika Remember Me aktif:

· MFA tidak diminta ulang,

· sesi langsung dipulihkan,

· dan lapisan keamanan tambahan dilewati.

Hal ini menciptakan false sense of security, seolah MFA selalu melindungi akun, padahal hanya berlaku sekali di awal.

 

Kapan “Remember Me” Menjadi Sangat Berbahaya?

Fitur ini menjadi sangat berisiko ketika digunakan pada:

· akun dengan akses finansial,

· akun administrator,

· akun email (sebagai root of trust),

· aplikasi SaaS perusahaan,

· sistem dengan data sensitif.

Dalam konteks ini, Remember Me bukan lagi soal kenyamanan, tetapi perpanjangan identitas tanpa kontrol ketat.

Praktik Keamanan yang Lebih Bertanggung Jawab

Jika fitur Remember Me tetap ingin digunakan, beberapa prinsip penting perlu diterapkan:

· Gunakan token acak dan di-hash di server

· Batasi masa berlaku token (hari, bukan bulan)

· Rotasi token setiap kali digunakan

· Ikat token ke konteks perangkat secara proporsional

· Pastikan logout menghapus seluruh token persisten

· Wajibkan MFA ulang untuk aksi sensitif

· Pertimbangkan untuk tidak menyediakan fitur ini sama sekali pada akun berisiko tinggi

Dalam banyak kasus, menghilangkan Remember Me justru merupakan keputusan keamanan yang paling jujur.

Remember Me adalah contoh bagaimana fitur yang tampak kecil dapat membawa konsekuensi keamanan yang besar. Banyak insiden Account Takeover modern tidak terjadi karena sistem gagal memverifikasi password, tetapi karena identitas dibiarkan hidup terlalu lama tanpa pengawasan.Keamanan bukan hanya tentang menambah lapisan perlindungan, tetapi juga tentang menentukan kapan sebuah identitas harus berakhir. Dalam konteks autentikasi modern, kenyamanan yang tidak dikendalikan sering kali menjadi pintu masuk bagi risiko yang tidak disadari.

Penulis :

Ayu Maulina S.Kom, M.Kom

Referensi :

[1] Land2Cyber. (n.d.). The Hidden Danger of ‘Remember Me’: Addressing Insecure Authentication Functionality. Retrieved from https://medium.com/@Land2Cyber/the-hidden-danger-of-remember-me-addressing-insecure-authentication-functionality-8378aa168454

[2] Telehealth.org. (n.d.). ‘Remember Me’: How Hackers Take Over Your Email. Retrieved from https://telehealth.org/blog/remember-me-how-hackers-take-over-your-email/