Hampir semua akun online yang Anda miliki dijaga oleh satu hal yang sama: password. Selama password yang dimasukkan benar, sistem menganggap orang yang masuk adalah Anda. Cara ini sederhana dan sudah dipakai puluhan tahun, tetapi menyimpan satu kelemahan mendasar.
Password hanyalah sebuah pengetahuan, dan pengetahuan bisa disalin tanpa meninggalkan jejak. Ketika password Anda bocor lewat kebocoran database sebuah layanan, atau berhasil ditebak lewat serangan brute force, Anda tidak kehilangan apa pun secara fisik. Password itu masih ada di kepala Anda, dan tidak ada tanda sedikit pun bahwa orang lain kini memilikinya juga.
Dari keterbatasan inilah lahir gagasan faktor kedua. Selain meminta sesuatu yang Anda ketahui, sistem juga meminta bukti atas sesuatu yang Anda miliki. Google Authenticator adalah bentuk paling umum dari bukti kepemilikan tersebut. Artikel ini membahas cara kerjanya, cara memakainya, dan batas perlindungannya: apa yang sebenarnya dijaga aplikasi ini, dan apa yang tidak.
Google Authenticator Adalah Aplikasi Pembuat Kode Sekali Pakai
Google Authenticator adalah aplikasi gratis buatan Google yang menghasilkan kode verifikasi enam digit dan berganti otomatis setiap 30 detik. Kode itu berperan sebagai faktor kedua saat Anda login: setelah password diterima, layanan meminta kode yang sedang tampil di aplikasi tersebut.
Aplikasi ini adalah salah satu penerapan dari autentikasi dua faktor atau two-factor authentication, yang di Akun Google disebut Verifikasi 2 Langkah. Bentuknya bisa bermacam-macam — kode SMS, notifikasi, sidik jari — dan aplikasi authenticator hanyalah salah satunya.
Google merilisnya pada 20 September 2010. Pada awalnya kode programnya terbuka untuk umum, namun versi yang beredar sekarang sudah tertutup, dengan rilis open source terakhir pada 2020. Satu aplikasi bisa menampung banyak akun sekaligus, dari email, media sosial, sampai akun exchange kripto.
Perlu diperhatikan sejak awal, aplikasi ini tidak terbatas untuk layanan Google saja. Google Authenticator mengikuti standar terbuka bernama TOTP, sehingga layanan mana pun yang memakai standar sama bisa dipasangkan dengannya.
Cara Kerja Google Authenticator: Kenapa Kodenya Berubah Tiap 30 Detik
Di sinilah letak salah paham yang paling sering terjadi. Banyak yang mengira kode enam digit itu dikirim Google ke HP Anda, seperti halnya SMS. Kenyataannya tidak. Kode itu tidak pernah dikirim ke mana pun — HP Anda menghitungnya sendiri.
Bayangkan dua buah kalkulator yang benar-benar identik, satu di tangan Anda dan satu lagi di ruang server layanan. Keduanya sudah diisi satu angka rahasia yang sama persis, dan keduanya membaca jam yang sama. Bila keduanya diminta menghitung dengan rumus yang sama pada detik yang sama, hasilnya pasti sama, tanpa perlu saling berkirim pesan sama sekali. Ketika Anda mengetikkan angka yang muncul di kalkulator Anda, server hanya membandingkannya dengan angka yang baru saja ia hitung sendiri.
Angka rahasia tadi disebut secret key, dan itulah isi sebenarnya dari kode QR yang Anda pindai saat pertama kali memasang. Panjangnya 80 bit, dan ditampilkan sebagai deretan huruf-angka berformat Base32 bila Anda memilih memasukkannya secara manual. Sekali dipindai, kunci itu tersimpan di HP Anda dan tidak pernah dikirim ulang.
Bahan kedua adalah waktu. Standar yang dipakai bernama TOTP (Time-based One-Time Password), yang didokumentasikan sebagai RFC 6238 oleh IETF pada 2011. Aturannya mengambil jumlah detik sejak 1 Januari 1970, lalu membaginya dengan 30 dan membuang sisanya. Hasil pembagian itulah yang dicampur dengan secret key memakai fungsi HMAC-SHA1, dan enam digit terakhirnya ditampilkan sebagai kode Anda.
Karena pembaginya 30 detik, hasil hitungan hanya berubah setiap 30 detik pula. Itu sebabnya kode Anda bertahan sebentar lalu berganti, dan itu pula sebabnya kode lama langsung hangus.
Alur kerja Google Authenticator: scan QR menaruh secret key di ponsel dan server, keduanya menghitung kode lalu dicocokkan.
Pahami satu kalimat ini dan sisa artikel akan terasa jauh lebih masuk akal. Yang berharga adalah secret key di balik kode QR, bukan enam digit yang tampil di layar. Digit itu hanya turunan yang hangus dalam setengah menit.
Fungsi Google Authenticator dan Kenapa Lebih Aman daripada OTP SMS
Fungsi Google Authenticator adalah memastikan bahwa yang login bukan sekadar orang yang tahu password Anda, melainkan orang yang sedang memegang HP Anda. Dibandingkan kode OTP yang dikirim lewat SMS, keunggulannya berasal langsung dari mekanisme yang baru kita bahas.
- Tidak ada yang bisa dicegat di jalan: Kode SMS harus melintasi jaringan operator sebelum sampai ke HP Anda, dan segala sesuatu yang melintas bisa dibelokkan. Kode TOTP tidak melintasi apa pun karena dihitung di tempat.
- Kebal terhadap pembajakan nomor: Pada penipuan SIM swap, pelaku membujuk gerai operator agar memindahkan nomor Anda ke kartu SIM miliknya. Setelah itu semua SMS Anda mengalir ke tangannya. Google Authenticator tidak terikat ke nomor telepon, sehingga kartu SIM pelaku tidak menghasilkan apa-apa.
- Berjalan tanpa sinyal dan tanpa internet: Aplikasi hanya membutuhkan secret key dan jam, dan keduanya sudah ada di HP Anda. Kode tetap muncul di pesawat, di basement, atau saat kuota habis.
Perbedaan ini bukan sekadar teori. Riset Google bersama New York University yang dipublikasikan pada Mei 2019 mengukur efektivitas berbagai metode dalam menahan pembajakan akun. Kode SMS ke nomor pemulihan berhasil memblokir 100% serangan bot otomatis dan 96% phishing massal, tetapi hanya 76% pada serangan yang menyasar korban tertentu secara khusus. Sisa 24% itulah celah yang ditutup dengan memindahkan faktor kedua dari SMS ke aplikasi authenticator.
Perbandingan OTP SMS yang rawan dicegat di jaringan operator dengan kode Google Authenticator yang dihitung di ponsel.
Cara Menggunakan Google Authenticator dari Awal
Pemasangan hanya perlu dilakukan sekali per akun. Contoh berikut memakai Akun Google, namun alurnya nyaris sama di layanan lain.
Langkah #1: Pasang aplikasinya
Unduh Google Authenticator dari Google Play Store untuk Android atau App Store untuk iPhone. Pastikan penerbitnya Google LLC, karena banyak aplikasi tiruan dengan nama dan logo yang mirip.
Langkah #2: Buka setelan Verifikasi 2 Langkah
Masuk ke pengaturan keamanan Akun Google Anda, buka Verifikasi 2 Langkah, lalu pilih Siapkan pengautentikasi. Layanan akan menampilkan sebuah kode QR di layar.
Langkah #3: Pindai kode QR
Di aplikasi Authenticator, ketuk tombol tambah lalu pilih pindai kode QR, dan arahkan kamera ke layar tersebut. Nama akun akan langsung muncul di daftar beserta kode enam digit yang berjalan.
Kalau kamera gagal membaca kode QR, hampir semua layanan menyediakan tautan kecil semacam "tidak bisa memindai" yang menampilkan secret key dalam bentuk teks. Pilih opsi memasukkan kunci secara manual di aplikasi, lalu ketikkan deretan huruf tersebut. Hasilnya identik.
Langkah #4: Konfirmasi dan simpan kode cadangan
Ketikkan kode yang sedang tampil ke kolom konfirmasi. Setelah diterima, layanan biasanya menawarkan sederet kode cadangan sekali pakai. Simpanlah, karena bagian inilah yang paling sering dilewati dan paling menyakitkan saat dibutuhkan.
Perlu diketahui, Google tidak menyediakan aplikasi Authenticator resmi untuk komputer. Bila Anda mencari Google Authenticator untuk PC, yang tersedia adalah ekstensi browser buatan pihak ketiga yang memakai standar TOTP yang sama. Menyimpan secret key di komputer yang sama dengan tempat Anda mengetik password membuat faktor kedua kehilangan sebagian besar maknanya, jadi pertimbangkan baik-baik.
Saat Kode Selalu Ditolak: Jam HP Anda yang Melenceng
Keluhan "kode Google Authenticator salah terus" hampir tidak pernah disebabkan aplikasi yang rusak. Penyebabnya ada pada bahan kedua tadi: jam.
Bila jam di HP Anda meleset beberapa menit dari jam server, kedua belah pihak sedang menghitung untuk potongan waktu yang berbeda. Hasilnya pasti tidak cocok, meskipun secret key-nya sama persis. RFC 6238 sebenarnya menyarankan server memberi toleransi, umumnya satu sampai dua potongan 30 detik ke belakang, atau sekitar satu setengah menit. Lewat dari itu, kode Anda dianggap keliru.
Perbaikannya sederhana. Aktifkan pengaturan tanggal dan waktu otomatis di HP Anda, sehingga jam disinkronkan ke server waktu jaringan. Di Android, aplikasi Authenticator juga memiliki opsi koreksi waktu di menu pengaturannya, yang menyelaraskan jam internal aplikasi tanpa mengubah jam sistem. Setelah itu kode akan langsung diterima.
Alasan yang sama menjelaskan mengapa kode berhenti bekerja setelah Anda mengubah zona waktu secara manual, misalnya untuk mengakali jadwal sebuah aplikasi.
Ganti HP atau HP Hilang: Siapkan Sebelum Terjadi
Inilah bagian yang paling menentukan, dan paling sering diabaikan sampai terlambat. Karena secret key tersimpan di HP Anda, HP yang lenyap berarti secret key yang lenyap.
Ada tiga jalur pengaman, dan sebaiknya Anda tidak bergantung pada satu saja.
Tiga jalur pengaman Google Authenticator sebelum ponsel hilang: sinkronisasi Akun Google, transfer akun, dan kode cadangan.
- Sinkronisasi ke Akun Google: Sejak April 2023, Authenticator bisa menyalin daftar akun Anda ke Akun Google. Login di HP baru, dan semua kode muncul kembali. Praktis, dengan catatan penting yang dibahas di section berikutnya.
- Transfer akun secara langsung: Di HP lama, buka menu Transfer akun lalu Ekspor akun. Aplikasi menampilkan kode QR yang dipindai dari HP baru lewat menu Impor akun. Cara ini memindahkan kunci tanpa melibatkan server mana pun.
- Kode cadangan dari tiap layanan: Deretan kode sekali pakai yang ditawarkan saat pemasangan. Inilah satu-satunya jalur yang tetap bekerja meskipun HP Anda hilang bersama seluruh isinya.
Simpan kode cadangan di tempat yang bukan HP itu sendiri: dicetak dan disimpan di laci, atau di dalam password manager di perangkat lain. Menyimpan kode cadangan sebagai screenshot di galeri HP yang sama sama saja dengan menaruh kunci cadangan rumah di dalam rumah yang terkunci.
Bila HP Anda sudah hilang tanpa persiapan apa pun, yang tersisa adalah jalur pemulihan masing-masing layanan. Untuk akun yang sudah tersinkron ke Akun Google, hapus perangkat lama dari daftar perangkat akun Anda. Untuk yang tidak tersinkron, Anda harus mendatangi setiap layanan satu per satu untuk melepas Authenticator lama. Sebagian layanan akan meminta verifikasi identitas yang memakan waktu berhari-hari.
Kelemahan dan Pertimbangan Google Authenticator
Aplikasi ini menutup celah yang nyata, namun ada empat hal yang perlu Anda ketahui apa adanya.
- Tidak melindungi Anda dari phishing: Ini yang paling penting. Kode TOTP tidak terikat ke alamat website mana pun, sehingga siapa pun yang memegangnya dalam 30 detik bisa memakainya. Pada phising modern, situs palsu meneruskan password dan kode Anda ke situs asli secara langsung saat itu juga, lalu mencuri sesi login yang terbuka. Anda merasa gagal login, padahal pelaku sudah masuk. Karena alasan inilah lembaga seperti CISA dan NIST tidak menggolongkan TOTP sebagai metode yang tahan phishing.
- Sinkronisasi cloud belum terenkripsi ujung ke ujung: Saat fitur ini dirilis pada April 2023, peneliti keamanan Mysk menemukan lalu lintasnya tidak memakai enkripsi ujung ke ujung. Artinya secret key Anda terbaca oleh Google. Sampai artikel ini ditulis, penyempurnaan tersebut belum dirilis. Alasan Google sendiri masuk akal. Christiaan Brand dari Google menyatakan enkripsi ujung ke ujung memberi perlindungan tambahan, tetapi dengan konsekuensi pengguna bisa terkunci permanen dari akunnya. Inilah dua sisi yang harus Anda timbang: kepraktisan melawan kerahasiaan.
- Kode QR ekspor tidak dienkripsi: Kode QR dari menu Ekspor akun hanya melakukan pengkodean, bukan penyandian. Isinya bisa dibongkar kembali menjadi daftar secret key mentah memakai alat yang beredar bebas. Artinya satu foto layar dari QR tersebut membocorkan kunci seluruh akun Anda sekaligus. Jangan pernah memotretnya, menyimpannya, apalagi mengirimkannya ke siapa pun.
- Tidak menolong bila HP sudah disusupi: Bila perangkat Anda terinfeksi malware yang mampu membaca isi aplikasi, secret key bisa diambil. Sejak saat itu pelaku menghasilkan kode yang sama persis seperti Anda.
Poin pertama layak diulang dengan gamblang, karena banyak orang merasa kebal setelah mengaktifkan aplikasi ini. Google Authenticator melindungi Anda dari orang yang mencuri password, bukan dari Anda sendiri yang mengetikkan kode di situs palsu.
Alternatif Google Authenticator yang Layak Dipertimbangkan
Sebelum melihat pilihannya, ada baiknya menempatkan Google Authenticator di antara metode lain. Tabel berikut merangkum empat hal yang paling menentukan dalam pemakaian sehari-hari.
| Metode | Tahan situs palsu? | Butuh internet? | Rawan pembajakan nomor? | Risiko terkunci |
|---|---|---|---|---|
| OTP lewat SMS | Tidak | Ya, butuh sinyal seluler | Ya | Rendah |
| Aplikasi authenticator (TOTP) | Tidak | Tidak | Tidak | Tinggi bila tanpa kode cadangan |
| Passkey | Ya | Tidak | Tidak | Sedang, tergantung sinkronisasi |
Kolom pertama menjelaskan mengapa passkey layak dikejar untuk akun bernilai tinggi. Kolom terakhir menjelaskan mengapa kode cadangan bukan pelengkap opsional bagi pengguna authenticator.
Semua aplikasi authenticator memakai standar TOTP yang sama. Yang membedakan adalah urusan pencadangan dan kenyamanan.
- Microsoft Authenticator atau Authy: Sesama aplikasi TOTP dengan pencadangan yang lebih matang. Pilihan wajar bila Anda pernah kehilangan akses saat berganti HP.
- Password manager dengan TOTP bawaan: Menyatukan password dan kode di satu tempat sehingga praktis. Namun keduanya lalu terkunci di balik satu master password, dan faktor kedua kehilangan sifat terpisahnya.
- Passkey: Mengikat tanda tangan kriptografinya ke alamat website, sehingga menolak bekerja di situs palsu. Inilah metode yang benar-benar tahan phishing.
Rekomendasi konkretnya begini. Untuk akun sehari-hari, Google Authenticator sudah memadai selama kode cadangan tersimpan di luar HP. Untuk akun yang memegang uang atau identitas utama Anda, aktifkan passkey bila layanannya sudah menyediakan. Posisikan authenticator sebagai cadangan.
Pertanyaan Seputar Google Authenticator
Apakah Google Authenticator butuh internet? Tidak. Kode dihitung dari secret key dan jam yang sudah ada di HP Anda, sehingga tetap muncul tanpa sinyal maupun kuota. Internet hanya dibutuhkan oleh layanan tempat Anda login.
Kenapa satu aplikasi bisa dipakai untuk banyak akun? Karena tiap akun menitipkan secret key-nya sendiri saat pemasangan. Aplikasi menyimpan semuanya berdampingan dan menghitung kode terpisah untuk masing-masing.
Apakah kode Google Authenticator bisa dilihat di laptop? Tidak ada aplikasi resmi untuk komputer. Yang ada adalah ekstensi browser pihak ketiga berbasis TOTP, dan menaruhnya di perangkat yang sama dengan tempat Anda mengetik password mengurangi manfaat faktor kedua.
Bagaimana kalau HP saya hilang? Gunakan kode cadangan dari tiap layanan, atau login ke Akun Google di HP baru bila kode Anda sudah tersinkron. Tanpa keduanya, Anda harus menempuh pemulihan akun di masing-masing layanan.
Apa bedanya dengan kode OTP dari SMS? Kode SMS dikirim melalui jaringan operator sehingga bisa dibelokkan lewat pembajakan nomor, sedangkan kode authenticator dihitung di HP Anda dan tidak pernah dikirim ke mana-mana.
Kesimpulan
Google Authenticator adalah aplikasi yang menghitung kode enam digit dari dua bahan yang dimiliki bersama oleh HP Anda dan server. Dua bahan itu adalah secret key hasil pindai kode QR dan jam saat ini. Karena tidak ada yang dikirim, kode tersebut berjalan tanpa internet dan kebal terhadap pembajakan nomor telepon.
Aplikasi ini layak diaktifkan pada akun apa pun yang Anda pedulikan, dengan dua syarat yang jangan ditawar. Simpan kode cadangan di luar HP tersebut, dan sadari bahwa perlindungannya berhenti di depan situs palsu. Untuk akun yang paling berharga, passkey adalah langkah berikutnya yang lebih tepat.
Semoga artikel ini membantu.




