Dalam beberapa tahun terakhir, istilah “faktor kedua” telah berubah menjadi label pemasaran. Secara formal memang ada, tetapi dalam praktiknya sering kali tidak memberikan perlindungan nyata.
Jika akun Anda masih dilindungi oleh kode SMS atau kode dari aplikasi perpesanan, anggap saja bahwa pada kenyataannya Anda tidak memiliki faktor kedua.
Mari kita jelaskan alasannya.
Mengapa SMS tidak lagi dianggap sebagai perlindungan
SMS bukanlah mekanisme keamanan. SMS adalah peninggalan dari era telekomunikasi. Sistem ini tidak pernah dirancang sebagai saluran yang aman.
Masalah utama:
1. Penggantian kartu SIM bukanlah hal langka
Penerbitan ulang kartu SIM melalui rekayasa sosial adalah prosedur yang umum. Dokumen identitas, “kesalahan operator”, atau akses orang dalam sering kali sudah cukup.
Hasilnya: nomor telepon berada di tangan penyerang, begitu juga dengan kode.
2. SS7 dan infrastruktur telekomunikasi
Jaringan pensinyalan dirancang puluhan tahun yang lalu. Penyadapan pesan SMS dimungkinkan tanpa akses fisik ke telepon.
3. Operator sebagai satu titik kegagalan
Masalah roaming, pemblokiran, atau gangguan teknis dapat membuat Anda tidak bisa masuk ke akun Anda.
4. Tidak ada enkripsi
Pesan SMS disimpan dan dikirimkan dalam bentuk teks terbuka. Di mana, berapa lama, dan oleh siapa pesan tersebut diproses — Anda tidak memiliki kendali.
Kesimpulan: SMS adalah faktor kenyamanan, bukan faktor keamanan.
Aplikasi perpesanan sebagai pengganti SMS — justru lebih buruk
Upaya untuk “meningkatkan” SMS dengan menggunakan aplikasi perpesanan adalah contoh klasik peningkatan semu.
Untuk menerima enam digit kode, Anda diminta untuk:
- memasang aplikasi yang berat,
- mengaitkan nomor telepon,
- menyerahkan metadata,
- bergantung pada koneksi internet,
- mempercayai kode sumber tertutup.
Hal ini memperluas permukaan serangan, bukan menguranginya.
Dari sudut pandang keamanan, ini tidak masuk akal.
Dari sudut pandang privasi, ini bahkan berbahaya.
Apa yang secara mendasar diubah oleh TOTP
TOTP bukanlah produk dan bukan pula merek. TOTP adalah standar terbuka (RFC 6238).
Gagasan utamanya:
👉 kode tidak dikirim dari luar — kode dihitung secara lokal.
Dampaknya dalam praktik:
- Tidak ada saluran transmisi → tidak ada yang bisa disadap
- Dapat berfungsi secara luring → tidak bergantung pada operator atau layanan
- Tidak ada nomor telepon → keterkaitan dengan identitas menjadi lebih kecil
- Model ancaman yang dapat diprediksi → kriptografi, bukan “komputasi awan”
Server dan perangkat Anda hanya melakukan perhitungan yang sama dengan mengetahui:
- rahasia bersama;
- waktu saat ini.
Keduanya tidak saling berkomunikasi. Di situlah letak kekuatannya.
Hal penting yang hampir tidak pernah dibahas
1. Yang melindungi bukan kodenya, melainkan rahasianya
Enam digit hanyalah representasi.
Jika kunci rahasia bocor, TOTP pada dasarnya tidak lagi ada.
Oleh karena itu:
- kode QR berarti kunci,
- tangkapan layar berarti potensi kompromi,
- penyimpanan di komputasi awan berarti risiko.
Jika rahasia bocor, lakukan pengaturan ulang autentikasi dua faktor tanpa ragu.
2. TOTP tidak melindungi dari phishing berbasis perantara
Ini adalah keterbatasan mendasar dari kelas mekanisme ini.
Jika:
- Anda memasukkan kode di situs palsu,
- penyerang segera menggunakannya di situs asli,
TOTP tidak dapat berbuat apa pun.
Oleh sebab itu:
- masuk hanya melalui penanda halaman atau pengelola kata sandi;
- lakukan verifikasi domain secara ketat;
- tidak ada “pesan mendesak” yang menjadi alasan untuk memasukkan kode.
3. Cadangan bukan pilihan, melainkan kewajiban
Kehilangan telepon tanpa kode cadangan berarti kehilangan akun.
Aturannya sederhana:
- kode cadangan harus dituliskan;
- simpan secara luring atau di pengelola kata sandi;
- jangan bergantung pada “nanti saja”.
Apa yang sebaiknya digunakan pada tahun dua ribu dua puluh lima
Pilihan minimum yang masuk akal
- Aegis untuk Android: perangkat lunak sumber terbuka, cadangan lokal yang dienkripsi
- TOTP bawaan pada sistem iOS atau pada pengelola kata sandi — masih dapat diterima
Gunakan dengan hati-hati
- Google Authenticator dengan sinkronisasi komputasi awan
(kompromi akun berarti kehilangan semua faktor)
Lebih baik daripada TOTP
- WebAuthn, Passkeys, dan FIDO2
Ketahanan terhadap phishing sudah menjadi bagian dari desainnya.
TOTP adalah dasar. Passkeys adalah langkah berikutnya.
Ringkasan
- SMS sudah mati sebagai faktor keamanan
- Aplikasi perpesanan adalah pemasaran yang menyamar sebagai perlindungan
- TOTP adalah tingkat minimum yang dapat diterima, bukan “opsi lanjutan”
- Risiko utama berasal dari disiplin pengguna, bukan dari algoritma
- Masa depan ada pada autentikasi yang tahan terhadap phishing
Jika suatu layanan pada tahun dua ribu dua puluh lima tidak menawarkan TOTP atau WebAuthn, itu adalah tanda bahaya, bukan “karakteristik produk”.
Catatan tambahan.
Jika Anda menjelaskan hal ini kepada anggota keluarga atau pengguna nonteknis, pastikan mereka:
- menuliskan rahasia atau kode cadangan,
- menghilangkan telepon sebagai satu-satunya titik kegagalan.
Jika tidak, akhirnya akan berujung pada dukungan pelanggan, urusan administratif, dan hilangnya akses.
