Autentikasi dua faktor, dijelaskan dengan bahasa sederhana

Autentikasi dua faktor adalah satu pengaturan keamanan paling berdampak yang kebanyakan orang belum gunakan. Data publik Microsoft menyebut bahwa ia memblokir lebih dari 99% pengambilalihan akun otomatis. Namun reputasinya canggung — sebagian karena tiga jenis umum ("kode SMS", "aplikasi autentikator", "kunci keamanan") dibahas seolah saling menggantikan. Padahal tidak. Berikut versi praktisnya.

Apa yang sebenarnya dilakukan 2FA

Password bocor terus-menerus. Dump database, halaman phishing, malware browser, penggunaan ulang password — terlalu banyak cara salah satu password Anda bisa berakhir di spreadsheet orang lain. 2FA menambahkan pemeriksaan kedua yang terikat pada sesuatu yang Anda miliki, bukan hanya yang Anda tahu. Penyerang yang mencuri password Anda juga harus mencuri faktor kedua itu, secara real time, di perangkat yang sama — jauh lebih sulit.

SMS 2FA

Kode enam digit datang lewat teks. Anda mengetiknya. Ini paling mudah dipakai karena setiap ponsel sudah memilikinya, dan karena itulah ia menjadi standar minimum keamanan yang bisa diterima: cukup untuk menghentikan bot credential-stuffing, tapi rentan terhadap serangan SIM-swap (penyerang membujuk operator memindahkan nomor Anda) dan terhadap intersepsi SMS senyap di jaringan yang lemah.

Cocok untuk: akun bernilai rendah ketika Anda enggan menginstal aplikasi lain. Forum, situs belanja, milis.

Tidak cocok untuk: email, perbankan, portal pemerintah, apa pun yang mengendalikan akun-akun lain.

Aplikasi autentikator (TOTP)

Aplikasi seperti Google Authenticator, 1Password, Bitwarden, dan Authy menghasilkan kode enam digit baru setiap 30 detik, diturunkan dari rahasia yang disimpan hanya di perangkat Anda. Tidak ada SMS, tidak ada operator yang terlibat — kodenya bekerja offline. Serangan phishing yang menangkap password Anda dan satu kode masih bisa berhasil, tapi SIM-swap tidak lagi relevan.

Tips setup: saat situs menampilkan kode QR, simpan juga teks seed-nya (kebanyakan aplikasi autentikator bisa mengekspor ini). Jika Anda kehilangan ponsel tanpa seed dan tanpa kode pemulihan, Anda harus mereset setiap akun dari awal.

Cocok untuk: hampir semuanya. Sebagian besar penyedia email, platform sosial, bursa kripto, dan alat developer mendukung TOTP, dan ini gratis.

Kunci keamanan (FIDO2 / WebAuthn / passkey)

Kunci USB atau NFC (YubiKey, Titan, juga "passkey" yang baru-baru ini terintegrasi di keychain iOS dan Android) yang menandatangani tantangan login secara kriptografis. Pentingnya, ia terikat ke domain situs — halaman phishing yang tampak identik dengan yang asli tidak akan mendapatkan tanda tangan. Ini satu-satunya metode 2FA umum yang mengalahkan phishing yang dibuat dengan baik.

Cocok untuk: email utama, password manager, apa pun yang tidak bisa Anda kehilangan. Beli dua kunci; daftarkan keduanya; simpan satu di laci.

Di mana nomor sementara cocok

Nomor SMS sementara bagus untuk langkah pendaftaran awal, tapi tidak cocok untuk SMS 2FA berkelanjutan — saat Anda perlu menerima kode lagi, nomor itu sudah kembali ke pool. Praktik terbaik: daftar dengan nomor sementara, segera siapkan TOTP di pengaturan keamanan akun, dan simpan kode pemulihan di tempat aman. Setelah itu nomor sementara boleh menghilang.

Kode pemulihan layak disebut

Hampir setiap layar pengaturan 2FA menawarkan daftar kode pemulihan sekali pakai. Cetak atau simpan di password manager Anda. Itulah cara Anda kembali masuk jika kehilangan semua perangkat. Jangan lewati langkah ini — memulihkan akun tanpa itu sering memerlukan dokumen identitas yang prosesnya berminggu-minggu.

Rekomendasi singkat

• Email dan password manager: kunci keamanan dulu, TOTP sebagai cadangan.
• Bank, broker, bursa: pakai tier tertinggi yang mereka tawarkan.
• Sosial, alat dev, SaaS kerja: TOTP.
• Forum acak yang minta nomor telepon: SMS sementara, lalu TOTP setelah daftar.