Lewati ke konten utama

Apa Itu 2FA? Panduan Autentikasi Dua Faktor

Apa itu 2FA? Bagaimana autentikasi dua faktor bekerja, lima jenis 2FA, dan cara mengaktifkannya pada akun-akun terpenting Anda.

Terakhir diperbarui: 5 April 2026

Kata sandi saja tidak cukup untuk melindungi akun online Anda. Pelanggaran data mengekspos miliaran kredensial setiap tahun, dan bahkan kata sandi yang kuat dapat dikompromikan melalui phishing, keylogger, atau serangan brute-force. Autentikasi dua faktor (2FA) menambahkan lapisan pertahanan kedua — bahkan jika seseorang mencuri kata sandi Anda, mereka masih tidak dapat mengakses akun Anda tanpa faktor kedua. Panduan ini menjelaskan apa itu 2FA, bagaimana setiap metode bekerja, jenis mana yang paling aman, dan cara menyiapkannya pada akun-akun terpenting Anda. Ini adalah salah satu langkah tunggal yang paling efektif yang dapat Anda ambil untuk melindungi kehidupan digital Anda.

Jenis Autentikasi Dua Faktor

Kode SMS

Sebuah kode sekali pakai dikirim ke nomor telepon Anda melalui pesan teks. Anda memasukkan kode ini setelah kata sandi Anda untuk menyelesaikan login. SMS 2FA adalah metode yang paling banyak tersedia — hampir setiap layanan mendukungnya, dan tidak memerlukan aplikasi atau perangkat keras tambahan. Namun, ini adalah bentuk 2FA terlemah karena kerentanan terhadap serangan SIM swapping (di mana penyerang meyakinkan operator Anda untuk mentransfer nomor telepon Anda ke kartu SIM mereka) dan eksploitasi protokol SS7 yang dapat mencegat pesan teks.

  • Kelebihan: Didukung secara luas, tidak memerlukan aplikasi, berfungsi di ponsel apa pun
  • Kekurangan: Rentan terhadap SIM swapping, intersepsi SS7, dan serangan rekayasa sosial pada operator telepon

Aplikasi Autentikator (TOTP)

Aplikasi Kata Sandi Sekali Pakai Berbasis Waktu (TOTP) menghasilkan kode 6 digit baru setiap 30 detik menggunakan rahasia bersama dan waktu saat ini. Aplikasi populer termasuk Google Authenticator, Authy, Microsoft Authenticator, dan Ente Auth. TOTP secara signifikan lebih aman daripada SMS karena kode dihasilkan secara lokal di perangkat Anda — tidak ada saluran transmisi untuk dicegat. Kode bekerja offline dan tidak terikat pada nomor telepon Anda. Ini adalah metode 2FA yang direkomendasikan untuk kebanyakan orang, menyeimbangkan keamanan yang kuat dengan kemudahan penggunaan.

  • Kelebihan: Aman, mampu offline, aplikasi gratis tersedia, tidak terikat dengan nomor telepon
  • Kekurangan: Kehilangan perangkat Anda tanpa kode cadangan mengunci Anda; situs phishing masih dapat menangkap kode secara real-time

Kunci Keamanan Perangkat Keras

Perangkat fisik seperti YubiKey, Google Titan, dan SoloKeys dicolokkan ke port USB Anda atau diketuk melalui NFC untuk mengautentikasi. Kunci perangkat keras menggunakan standar FIDO2/WebAuthn, yang tahan phishing berdasarkan desain — kunci memverifikasi domain situs web secara kriptografi sebelum mengautentikasi, membuat situs phishing tidak mungkin mencegat. Google mewajibkan semua karyawan untuk menggunakan kunci perangkat keras dan melaporkan nol serangan phishing yang berhasil sejak implementasi. Kunci berharga $25-70 dan merupakan metode 2FA paling aman yang tersedia.

  • Kelebihan: Keamanan terkuat, tahan phishing, tidak ada baterai, bekerja offline, tahan lama
  • Kekurangan: Harga $25-70, dapat hilang atau dilupakan, tidak didukung oleh semua layanan

Biometrik

Pemindai sidik jari (Touch ID), pengenalan wajah (Face ID), dan pemindai iris menggunakan karakteristik fisik Anda sebagai faktor autentikasi. Biometrik nyaman — Anda selalu memilikinya bersama Anda dan tidak dapat dilupakan. Mereka berfungsi sebagai faktor kedua bersama kata sandi di banyak perangkat dan layanan. Namun, biometrik tidak dapat diubah jika dikompromikan (tidak seperti kata sandi), dan dapat dipaksakan oleh penegak hukum di banyak yurisdiksi. Kualitas sangat bervariasi di antara perangkat.

  • Kelebihan: Nyaman, selalu tersedia, autentikasi cepat, sulit untuk direplikasi
  • Kekurangan: Tidak dapat diubah jika dikompromikan, dapat dipaksakan secara hukum, kualitas bervariasi per perangkat

Passkeys

Passkeys adalah standar autentikasi terbaru, dirancang untuk sepenuhnya menggantikan kata sandi. Berdasarkan FIDO2/WebAuthn, passkeys menggunakan kriptografi kunci publik — perangkat Anda menyimpan kunci pribadi, dan layanan menyimpan kunci publik yang sesuai. Autentikasi terjadi melalui sensor biometrik atau PIN perangkat Anda, tanpa kata sandi untuk diketik, di-phishing, atau dicuri. Apple, Google, dan Microsoft telah mengintegrasikan dukungan passkey ke dalam sistem operasi mereka. Passkeys menyinkronkan di seluruh perangkat melalui iCloud Keychain, Google Password Manager, atau penyedia lain, menggabungkan keamanan kunci perangkat keras dengan kenyamanan biometrik.

  • Kelebihan: Tahan phishing, tidak ada kata sandi untuk diingat, menyinkronkan di seluruh perangkat, cepat
  • Kekurangan: Relatif baru, belum didukung secara universal, kekhawatiran penguncian platform dengan passkeys yang disinkronkan

Praktik Terbaik 2FA

  1. Aktifkan 2FA di akun email Anda terlebih dahulu — itu adalah kunci utama untuk semua akun Anda yang lain. Jika seseorang mengkompromikan email Anda, mereka dapat mengatur ulang kata sandi pada setiap layanan yang terkait dengannya. Email Anda adalah akun tunggal yang paling penting untuk dilindungi dengan 2FA.
  2. Gunakan aplikasi autentikator alih-alih SMS bila memungkinkan. Aplikasi TOTP kebal terhadap SIM swapping dan serangan SS7. Jika layanan hanya menawarkan 2FA berbasis SMS, gunakan tetap saja — SMS 2FA masih secara dramatis lebih baik daripada tidak ada 2FA sama sekali.
  3. Simpan kode cadangan di tempat aman dan terpisah. Simpan di pengelola kata sandi (berbeda dari yang dilindungi oleh 2FA), cetak dan simpan di brankas, atau tulis di kertas yang disimpan dengan aman. Jangan pernah menyimpan kode cadangan di catatan tidak terenkripsi pada perangkat yang sama dengan autentikator Anda.
  4. Pertimbangkan kunci keamanan perangkat keras untuk akun paling penting Anda — email, perbankan, penyimpanan cloud, dan pengelola kata sandi. YubiKey 5 NFC ($50) bekerja dengan USB-A, USB-C, dan NFC, mencakup hampir setiap perangkat. Daftarkan dua kunci per akun sehingga Anda memiliki cadangan.
  5. Audit secara teratur akun mana yang memiliki 2FA diaktifkan. Gunakan pengelola kata sandi untuk melacak. Urutan prioritas: email, layanan perbankan dan keuangan, penyimpanan cloud, media sosial, situs belanja dengan metode pembayaran tersimpan, dan akun pekerjaan atau profesional apa pun.

Cara Menyiapkan 2FA

Menyiapkan 2FA membutuhkan kurang dari lima menit per akun. Berikut adalah proses untuk 2FA berbasis aplikasi autentikator, yang merupakan metode yang direkomendasikan untuk kebanyakan orang:

  1. Buka pengaturan keamanan:Navigasikan ke pengaturan keamanan akun Anda. Cari "Autentikasi Dua Faktor," "Verifikasi 2 Langkah," atau "Keamanan Login." Di Google, buka myaccount.google.com > Security > 2-Step Verification. Di Apple, buka Settings > [Nama Anda] > Sign-In & Security.
  2. Pilih metode 2FA:Pilih metode 2FA Anda. Pilih "Authenticator App" untuk keseimbangan terbaik antara keamanan dan kemudahan. Instal aplikasi TOTP jika Anda belum memilikinya — Google Authenticator, Authy, atau Ente Auth semuanya merupakan pilihan yang solid. Authy dan Ente Auth menawarkan cadangan cloud terenkripsi untuk kode Anda.
  3. Pindai kode QR:Pindai kode QR yang ditampilkan di layar dengan aplikasi autentikator Anda. Aplikasi akan menghasilkan kode 6 digit yang menyegarkan setiap 30 detik. Masukkan kode saat ini untuk memverifikasi pengaturan berfungsi dengan benar.
  4. Simpan kode cadangan:Simpan kode cadangan Anda segera. Sebagian besar layanan menyediakan kode pemulihan sekali pakai yang memungkinkan Anda mendapatkan kembali akses jika Anda kehilangan perangkat autentikator. Simpan di pengelola kata sandi, cetak, atau tulis dan simpan di tempat aman terpisah dari perangkat Anda. Tanpa kode cadangan, kehilangan ponsel dapat mengunci Anda secara permanen dari akun.

Pertanyaan yang Sering Diajukan

Inilah mengapa kode cadangan sangat penting. Ketika Anda menyiapkan 2FA, sebagian besar layanan menyediakan kode pemulihan — kode sekali pakai yang melewati 2FA. Gunakan satu untuk mendapatkan kembali akses, lalu siapkan 2FA lagi di perangkat baru Anda. Jika Anda menggunakan Authy atau Ente Auth, kode Anda dicadangkan dalam penyimpanan cloud terenkripsi dan dapat dipulihkan di perangkat baru. Google Authenticator sekarang juga mendukung cadangan cloud. Jika Anda tidak memiliki kode cadangan dan tidak ada metode pemulihan, Anda harus melalui proses pemulihan akun layanan, yang dapat memakan waktu berhari-hari atau berminggu-minggu dan memerlukan verifikasi identitas.

Mutlak ya. Meskipun memiliki kerentanan terhadap SIM swapping dan serangan SS7, SMS 2FA memblokir sebagian besar serangan otomatis. Penelitian Google menunjukkan bahwa ia menghentikan 100% bot otomatis dan 96% phishing massal. Model ancaman realistis untuk kebanyakan orang tidak termasuk SIM swapping yang ditargetkan — itu terutama risiko untuk target bernilai tinggi seperti pemegang kripto dan tokoh publik. Jika layanan hanya menawarkan SMS 2FA, aktifkan. 2FA apa pun secara dramatis lebih baik daripada tidak ada 2FA.

Tidak ada metode 2FA yang 100% tidak dapat dipecahkan, tetapi kesulitannya sangat bervariasi. Kode SMS dapat dicegat melalui SIM swapping. Kode TOTP dapat di-phishing secara real-time dengan serangan canggih yang merelai kode ke halaman login asli. Namun, kunci keamanan perangkat keras yang menggunakan FIDO2 tahan phishing berdasarkan desain — kunci memverifikasi domain situs web secara kriptografi, membuat phishing tidak mungkin. Passkeys mewarisi perlindungan yang sama. Untuk sebagian besar orang, 2FA berbasis TOTP memberikan perlindungan yang lebih dari cukup terhadap ancaman realistis.

Idealnya ya, tetapi prioritaskan secara strategis. Akun email Anda paling kritis — itu adalah mekanisme pemulihan untuk semua yang lain. Selanjutnya, aktifkan 2FA pada layanan perbankan dan keuangan, penyimpanan cloud (Google Drive, iCloud, Dropbox), media sosial, akun apa pun dengan informasi pembayaran tersimpan, dan pengelola kata sandi Anda. Akun sekali pakai prioritas rendah tanpa data pribadi dapat dilewati jika Anda kewalahan, tetapi tujuannya harus 2FA di mana-mana.

Kunci keamanan perangkat keras (YubiKey, Google Titan) yang menggunakan standar FIDO2/WebAuthn adalah bentuk 2FA yang paling aman yang tersedia. Mereka tahan phishing berdasarkan desain, memerlukan kepemilikan fisik, dan tidak memiliki kode untuk dicegat atau direlai. Passkeys menawarkan keamanan serupa dengan kenyamanan tambahan sinkronisasi cloud. Aplikasi autentikator TOTP adalah pilihan terbaik berikutnya — secara signifikan lebih aman daripada SMS. SMS adalah 2FA terlemah tetapi masih jauh lebih baik daripada autentikasi hanya dengan kata sandi.

Ya, itu adalah maksud desainnya. Passkeys menggabungkan kata sandi dan faktor kedua menjadi satu langkah autentikasi tahan phishing. Alih-alih mengetik kata sandi dan kemudian memasukkan kode, Anda cukup mengautentikasi dengan sensor biometrik atau PIN perangkat Anda. Kriptografi FIDO2 yang mendasari menyediakan keamanan yang lebih kuat daripada kata sandi + TOTP digabungkan. Namun, adopsi passkey masih berkembang — belum semua layanan mendukungnya. Dalam periode transisi, terus gunakan 2FA tradisional (aplikasi autentikator atau kunci perangkat keras) pada layanan yang belum mendukung passkeys.