1 Mengapa MFA penting
Penggunaan ulang kata sandi dan kebocoran kredensial tidak terhindarkan. Menambahkan pemeriksaan waktu nyata (kode sekali pakai, notifikasi push, kunci perangkat keras, atau biometrik) mengurangi risiko Anda secara dramatis -- terutama untuk akun admin, keuangan, dan email.
2 Metode 2FA umum
SMS (paling tidak aman)
Didukung secara luas tetapi rentan terhadap SIM swapping, intersepsi SS7, dan phishing. Gunakan SMS hanya jika tidak ada opsi yang lebih kuat.
Aplikasi pesan (WhatsApp, Telegram, dll.)
Sedikit lebih baik dari SMS karena pesan dienkripsi, tetapi masih bergantung pada nomor telepon Anda dan bisa dibajak jika akun tersebut disusupi.
Aplikasi autentikator (TOTP)
Menghasilkan kode offline setiap 30 detik dari rahasia bersama. Sangat direkomendasikan untuk sebagian besar layanan. Pilihan populer:
- Google Authenticator
- Microsoft Authenticator
- Authy
- 1Password/Bitwarden TOTP bawaan
- Duo Mobile, Aegis, 2FAS
Autentikator berbasis push
Beberapa layanan (Okta, Duo, Microsoft, Google) mengirim notifikasi push untuk menyetujui login. Praktis, tetapi waspadalah terhadap serangan kelelahan: selalu tolak permintaan yang tidak diharapkan.
Kunci keamanan perangkat keras
Perangkat FIDO2/WebAuthn seperti YubiKey, Feitian, atau SoloKeys menawarkan 2FA yang tahan terhadap phishing. Mereka memvalidasi domain sebelum menyetujui login dan juga dapat mendukung passkey dan PGP.
Autentikator platform & passkey
Terintegrasi dalam perangkat (Windows Hello, Touch ID, Face ID, passkey Android). Mereka mengandalkan WebAuthn dan sangat praktis sekaligus tetap tahan terhadap phishing.
3 Kekuatan vs. kenyamanan
| Metode | Keamanan | Kemudahan penggunaan | Risiko utama |
|---|---|---|---|
| SMS | Rendah | Sangat tinggi | SIM swap, intersepsi, email reset palsu |
| Aplikasi autentikator | Tinggi | Sedang | Kehilangan perangkat, cadangan yang hilang |
| Notifikasi push | Tinggi | Tinggi | Serangan push bombing/kelelahan |
| Kunci perangkat keras | Sangat tinggi | Sedang | Kehilangan fisik, biaya, ketersediaan port terbatas |
| Passkey/biometrik | Sangat tinggi | Sangat tinggi | Kompatibilitas layanan masih dalam tahap penerapan |
4 Praktik terbaik
- Utamakan aplikasi autentikator atau kunci perangkat keras daripada SMS.
- Daftarkan setidaknya dua faktor (perangkat cadangan atau kunci + kode pemulihan).
- Simpan kode pemulihan secara aman secara offline.
- Untuk akun bersama atau admin, wajibkan kunci perangkat keras jika memungkinkan.
- Aktifkan passkey kapan pun didukung -- mereka menyederhanakan login yang aman.
FAQ
Bagaimana jika saya kehilangan kunci perangkat keras?
Gunakan kunci cadangan atau kode pemulihan Anda. Selalu daftarkan beberapa kunci saat pengaturan agar Anda tidak terkunci.
Bagaimana cara memindahkan kode autentikator ke ponsel baru?
Authy menyinkronkan ke cloud; aplikasi lain memungkinkan Anda mengekspor atau memindai ulang kode QR. Simpan perangkat asli sampai perangkat baru dikonfirmasi.
Bisakah penyerang melakukan phishing pada kode berbasis aplikasi saya?
Ya, melalui serangan relay waktu nyata. Kunci perangkat keras dan passkey menawarkan ketahanan phishing karena mereka memverifikasi asal sebelum masuk.
Daftar periksa multifaktor
- Aktifkan 2FA di mana-mana, dimulai dengan email, perbankan, dan konsol admin cloud.
- Gunakan kata sandi unik yang kuat dan disimpan di pengelola zero-knowledge.
- Wajibkan faktor tahan phishing (kunci FIDO2) untuk peran kritis.
- Latih tim Anda untuk menolak permintaan MFA atau kode yang tidak terduga.
- Tinjau dan rotasi kode cadangan setelah respons insiden apa pun.
Penafian
password.es disediakan "apa adanya". Kami tidak menjamin ketersediaan layanan, keakuratan informasi, atau keamanan kata sandi yang dihasilkan. Pengguna tetap bertanggung jawab untuk menggabungkan 2FA dengan kebersihan kata sandi yang baik dan keamanan perangkat.