Fortalive

Home » Apa Itu Two-Factor Authentication (2FA) dan Cara Mengaktifkannya

Apa Itu Two-Factor Authentication (2FA) dan Cara Mengaktifkannya

Ilustrasi bergaya flat menampilkan smartphone dengan layar login dua langkah, kode OTP, perisai keamanan, dan ikon gembok sebagai simbol two-factor authentication 2FA
    Ringkasan (TL;DR)
    • 2FA (Two-Factor Authentication) adalah lapisan keamanan kedua setelah password. Kamu butuh dua bukti identitas untuk bisa masuk ke akun.
    • Microsoft melaporkan bahwa lebih dari 99,9% akun yang dibobol tidak menggunakan 2FA. Setelah Google mewajibkan 2FA untuk 150 juta pengguna, pembajakan akun turun lebih dari 50%.
    • Ada 4 jenis 2FA: SMS/WhatsApp (paling umum, tapi paling lemah) · Aplikasi authenticator (direkomendasikan) · Biometrik · Hardware security key (paling kuat).
    • Aktifkan sekarang di 5 platform ini: Gmail/Google · WhatsApp · Instagram · TikTok · mobile banking.
    • Aplikasi authenticator terbaik yang gratis: Google Authenticator dan Microsoft Authenticator.
    • Satu peringatan penting: Simpan kode cadangan (backup codes) di tempat aman. Kalau HP hilang tanpa kode ini, kamu bisa kehilangan akses ke akunmu.

    Lebih dari 99,9% akun yang berhasil dibobol tidak menggunakan 2FA. Data tersebut bukan estimasi, melainkan angka resmi dari laporan keamanan Microsoft.1

    Artinya sederhana: password yang kuat saja tidak cukup. Password bisa bocor dari kebocoran database platform yang kamu pakai, dari serangan phishing, atau dari malware yang merekam ketikanmu.

    Begitu password di tangan peretas, satu-satunya yang menghentikan mereka adalah lapisan kedua yang hanya ada secara fisik di HP-mu.

    Dalam enam bulan terakhir, lebih dari dua belas pembaca Fortalive menghubungi kami setelah akun WhatsApp atau Instagram mereka dibobol. Dari semua kasus itu, tidak satu pun yang sudah mengaktifkan 2FA sebelum kejadian.

    Artikel ini menjelaskan apa itu 2FA, mana jenis yang paling aman, dan panduan langkah demi langkah untuk mengaktifkannya di platform yang paling sering kamu pakai di Indonesia.

    Apa Itu Two-Factor Authentication (2FA)?

    Two-Factor Authentication, atau dalam bahasa Indonesia disebut Autentikasi Dua Faktor, adalah metode keamanan yang meminta kamu memberikan dua bukti identitas berbeda sebelum bisa masuk ke sebuah akun.

    Selama ini, login hanya mengandalkan satu faktor: password. Masalahnya, password bisa dicuri lewat phishing, bocor dari database, atau ditebak.

    Dengan 2FA, peretas yang sudah punya passwordmu masih butuh satu hal lagi yang hanya ada padamu, dan itu jauh lebih sulit didapat.

    Tiga Kategori Faktor Autentikasi

    Sistem 2FA selalu menggabungkan dua dari tiga kategori ini:

    KategoriArtinyaContoh
    Sesuatu yang kamu tahuInformasi yang hanya kamu ketahuiPassword, PIN
    Sesuatu yang kamu milikiPerangkat atau benda fisikHP, token fisik
    Sesuatu yang melekat padamuCiri biologis unik milikmuSidik jari, wajah

    Password adalah “sesuatu yang kamu tahu.” Kode OTP yang dikirim ke HP adalah “sesuatu yang kamu miliki.” Kombinasi keduanya adalah 2FA.

    Perbedaan 2FA dan MFA

    2FA adalah bentuk paling umum dari MFA (Multi-Factor Authentication). MFA mencakup penggunaan dua faktor atau lebih.

    Jadi semua 2FA adalah MFA, tapi tidak semua MFA terbatas pada dua faktor saja. Untuk pengguna biasa, 2FA sudah lebih dari cukup.

    Kenapa 2FA Sangat Penting?

    Password Saja Tidak Cukup Lagi

    Seperti yang sudah dibahas di artikel Cara Membuat Password yang Kuat, 80% kebocoran data berawal dari password yang lemah atau didaur ulang.

    Tapi bahkan password yang kuat sekalipun bisa bocor melalui:

    • Kebocoran database platform yang kamu pakai (bukan salahmu)
    • Serangan phishing yang berhasil mengelabui kamu
    • Malware yang merekam ketikan keyboard (keylogger)
    • Aksi SIM swap, di mana peretas memindahkan nomormu ke SIM mereka

    Dalam semua skenario itu, password sudah tidak berguna lagi. 2FA adalah jaring pengaman yang tetap memberi perlindungan meski password sudah dikompromikan.

    Data Bicara

    Microsoft melaporkan bahwa lebih dari 99,9% akun yang dibobol tidak menggunakan 2FA.1

    Setelah Google mewajibkan verifikasi dua langkah bagi sekitar 150 juta pengguna pada 2021, terjadi penurunan lebih dari 50% dalam jumlah akun yang dibajak di kelompok pengguna tersebut.

    Di Indonesia, situasinya mendesak. BSSN mencatat lebih dari 26 juta serangan siber sepanjang 2024, dengan phishing sebagai modus terbanyak.2

    Sementara itu, tingkat adopsi 2FA di kalangan pengguna Indonesia masih sangat rendah, di bawah 40% di kalangan milenial.3

    4 Jenis 2FA: Mana yang Paling Aman?

    Perbandingan empat jenis two-factor authentication: SMS, aplikasi authenticator, biometrik, dan hardware security key diurutkan dari lemah ke kuat
    SMS adalah cara paling mudah, tapi bukan yang paling aman. Aplikasi authenticator adalah titik kompromi terbaik untuk kebanyakan orang.

    Tidak semua 2FA diciptakan sama. Ini perbandingan dari yang paling lemah ke yang paling kuat:

    1. 2FA via SMS atau WhatsApp

    Cara kerjanya: setelah memasukkan password, kamu menerima kode 6 digit lewat SMS atau pesan WhatsApp ke nomormu.

    Kelebihan: Mudah, tidak perlu aplikasi tambahan, hampir semua platform mendukungnya.

    Kekurangan: Rentan terhadap serangan SIM swap, di mana peretas meyakinkan operator seluler untuk memindahkan nomormu ke SIM mereka sehingga semua kode OTP masuk ke tangan mereka.

    Juga rentan terhadap serangan real-time phishing, di mana kode yang baru kamu masukkan langsung diteruskan oleh peretas ke platform asli.

    Kesimpulan: Jauh lebih baik dari tidak ada 2FA sama sekali. Tapi kalau platform mendukung opsi lain, pilih yang lebih kuat.

    2. 2FA via Aplikasi Authenticator (Direkomendasikan)

    Cara kerjanya: aplikasi di HP-mu menghasilkan kode 6 digit yang berubah setiap 30 detik.

    Kode ini dibuat secara lokal di HP-mu tanpa perlu koneksi internet, dan tidak melewati jaringan operator seluler.

    Kelebihan: Tidak rentan SIM swap karena tidak melewati operator. Bekerja tanpa sinyal. Lebih sulit diintersep. Ini adalah metode yang direkomendasikan oleh para pakar keamanan.4

    Kekurangan: Butuh install aplikasi tambahan. Kalau HP hilang tanpa backup kode, kamu bisa kehilangan akses ke semua akun yang terdaftar.

    Aplikasi yang tersedia:

    • Google Authenticator — gratis, ringan, tersedia di Android dan iOS
    • Microsoft Authenticator — gratis, bisa backup ke cloud, tersedia di Android dan iOS
    • Authy — gratis, punya fitur backup terenkripsi, direkomendasikan untuk yang sering ganti HP

    Kesimpulan: Pilihan terbaik untuk mayoritas pengguna.

    3. 2FA via Biometrik

    Cara kerjanya: sidik jari atau face recognition di HP atau laptop kamu digunakan sebagai faktor kedua.

    Kelebihan: Sangat nyaman, tidak perlu ingat kode apapun, tidak bisa dicuri dari jarak jauh.

    Kekurangan: Biasanya hanya tersedia sebagai metode tambahan, bukan pengganti kode OTP. Efektivitasnya bergantung pada kualitas sensor perangkat.

    Kesimpulan: Bagus sebagai pelengkap, bukan pengganti aplikasi authenticator.

    4. Hardware Security Key

    Cara kerjanya: sebuah perangkat fisik berbentuk seperti flashdisk kecil yang kamu tancapkan ke USB atau tap ke HP saat login.

    Kelebihan: Paling kuat dari semua metode. Tidak bisa dipalsukan, tidak rentan phishing sama sekali karena kunci memverifikasi domain secara otomatis.

    Kekurangan: Harus dibeli (harga mulai dari sekitar Rp 300.000), tidak semua platform mendukungnya, dan kamu butuh dua buah untuk cadangan.

    Kesimpulan: Untuk pengguna biasa tidak wajib, tapi kalau kamu menyimpan data atau aset digital yang sangat bernilai, ini standar tertinggi yang tersedia.

    Sudah tahu mana jenis 2FA yang paling sesuai untukmu? Berikut cara mengaktifkannya, langsung di platform yang paling sering kamu pakai sehari-hari.

    Panduan Aktivasi 2FA: 5 Platform Paling Populer di Indonesia

    Langkah-langkah berikut sudah kami verifikasi langsung pada bulan April 2026 di Android dan browser Chrome.

    UI platform bisa berubah sewaktu-waktu, tapi alurnya umumnya tetap sama. Kalau ada perbedaan tampilan, cari menu “Keamanan” atau “Pengaturan Akun” sebagai titik awal.

    Gmail / Akun Google

    Akun Google adalah kunci semua layanan Google-mu: Gmail, Google Drive, Google Pay, dan lainnya. Ini akun yang paling wajib dilindungi 2FA.

    Langkah aktivasi:

    1. Buka myaccount.google.com di browser
    2. Pilih menu Keamanan di panel kiri
    3. Scroll ke bagian “Cara Anda login ke Google”
    4. Klik Verifikasi 2 Langkah
    5. Klik Mulai dan ikuti instruksinya
    6. Pilih metode: SMS (untuk mulai), lalu tambahkan aplikasi authenticator sebagai metode utama
    7. Simpan kode cadangan yang diberikan Google di tempat aman5

    Tips: Setelah mengaktifkan via SMS, masuk kembali ke pengaturan dan tambahkan Google Authenticator sebagai metode kedua. Jadikan authenticator sebagai metode utama untuk keamanan lebih kuat.

    WhatsApp

    Akun WhatsApp yang dibobol bisa digunakan untuk menipu semua kontakmu dan meminta uang atas namamu.

    Hal ini adalah salah satu modus yang paling banyak terjadi di Indonesia.

    Langkah aktivasi:

    1. Buka WhatsApp → ketuk ikon titik tiga (⋮) di pojok kanan atas
    2. Pilih PengaturanAkunVerifikasi dua langkah
    3. Ketuk Aktifkan
    4. Buat PIN 6 digit yang mudah kamu ingat tapi sulit ditebak orang lain
    5. Masukkan alamat email cadangan, sangat direkomendasikan agar bisa reset PIN kalau lupa6
    6. Ketuk Simpan

    Perhatian: WhatsApp 2FA menggunakan PIN, bukan kode OTP. Kamu akan diminta memasukkan PIN ini secara berkala untuk memastikan kamu mengingatnya.

    Instagram

    Akun Instagram yang dibobol sering langsung dijual atau digunakan untuk menyebarkan penipuan. Ribuan akun Instagram Indonesia diretas setiap tahunnya.

    Langkah aktivasi:

    1. Buka Instagram → ketuk ikon Profil di pojok kanan bawah
    2. Ketuk ikon menu (☰) di pojok kanan atas
    3. Pilih Pengaturan dan aktivitasPusat Akun
    4. Pilih Kata sandi dan keamananAutentikasi dua faktor
    5. Pilih akun Instagram-mu
    6. Pilih metode: Aplikasi Autentikasi (lebih aman) atau SMS
    7. Kalau pilih aplikasi authenticator: scan QR code yang muncul dengan Google Authenticator atau Microsoft Authenticator
    8. Masukkan kode 6 digit dari aplikasi untuk konfirmasi6

    TikTok

    Langkah aktivasi:

    1. Buka TikTok → ketuk ikon Profil di pojok kanan bawah
    2. Ketuk ikon tiga garis (☰) di pojok kanan atas
    3. Pilih Pengaturan dan privasiKeamanan & Izin
    4. Ketuk Verifikasi 2 Langkah
    5. Pilih minimal dua metode verifikasi: Telepon, Email, atau Pengautentikasi
    6. Ikuti instruksi untuk setiap metode yang dipilih7

    Mobile Banking (BCA, BRI, Mandiri, BNI)

    Setiap aplikasi mobile banking punya mekanisme keamanan berbeda, tapi umumnya sudah mengaktifkan 2FA secara otomatis melalui:

    • PIN transaksi (6 digit)
    • Token (fisik atau digital)
    • OTP via SMS saat login dari perangkat baru

    Yang perlu kamu pastikan:

    • Nomor HP yang terdaftar di bank selalu aktif dan dalam kendalimu
    • Aktifkan notifikasi SMS/email untuk setiap transaksi
    • Jangan pernah memberikan kode OTP kepada siapapun, termasuk yang mengaku petugas bank
    • Kalau HP hilang, segera hubungi bank untuk blokir akses mobile banking

    Semua langkah di atas baru setengah pekerjaan. Ada satu hal yang hampir selalu dilewatkan saat mengaktifkan 2FA, dan justru ini yang paling sering menyebabkan orang terkunci dari akun mereka sendiri.

    Hal Kritis yang Sering Diabaikan: Kode Cadangan

    Ilustrasi pentingnya menyimpan kode cadangan backup codes 2FA di tempat aman seperti password manager atau dokumen fisik
    Kode cadangan adalah satu-satunya jalan masuk kalau HP hilang dan aplikasi authenticator tidak bisa diakses. Tanpanya, proses pemulihan akun bisa gagal total.

    Ketika kamu mengaktifkan 2FA dengan aplikasi authenticator, platform biasanya memberikan kode cadangan (backup codes), biasanya 8–10 kode angka yang bisa dipakai satu kali kalau kamu tidak bisa mengakses aplikasi authenticator.

    Kalau HP kamu hilang, rusak, atau direset tanpa menyimpan kode ini, kamu tidak bisa masuk ke akunmu, bahkan sebagai pemilik asli akun tersebut.

    Proses pemulihan akun bisa sangat lama dan tidak selalu berhasil.

    Cara menyimpan kode cadangan dengan benar:

    1. Screenshot kode cadangan saat pertama kali ditampilkan
    2. Simpan di cloud storage terenkripsi (Google Drive dengan 2FA aktif)
    3. Atau cetak dan simpan secara fisik di tempat aman
    4. Jangan simpan hanya di HP yang sama — kalau HP itu yang hilang, kode ikut hilang

    Untuk pengguna yang memakai password manager seperti Bitwarden atau 1Password, kamu bisa menyimpan kode cadangan langsung di dalam password manager.

    Belum punya password manager? Baca: 5 Password Manager Terbaik untuk Pengguna Indonesia

    Produk yang Mendukung Keamanan Akunmu Lebih Lanjut

    2FA melindungi akses login. Tapi malware dan link phishing bisa mencuri kredensialmu sebelum kamu sempat login, dan di situ 2FA tidak bisa berbuat apa-apa.

    Tim Fortalive menguji ketiga antivirus berikut selama 30 hari untuk memastikan fitur anti-phishing dan anti-keylogger-nya bekerja seperti yang diklaim, sebelum memasukkannya ke daftar ini.

    ProdukFitur RelevanPlatformHarga Mulai
    Bitdefender Total SecurityAnti-phishing, Anti-keylogger, Password Manager bawaanAndroid, iOS, Windows, Mac~Rp 150.000/tahun
    Norton 360Dark Web Monitoring, Password Manager, Anti-phishingAndroid, iOS, Windows, Mac~Rp 200.000/tahun
    AvastLink Scanner, Email Shield, Password ProtectionAndroid, iOS, Windows, MacGratis (basic)

    Harga dapat berubah. Cek halaman resmi masing-masing untuk harga terkini.

    Bitdefender Total Security juga menyertakan password manager bawaan, jadi kamu mendapat dua fitur sekaligus: perlindungan real-time dari ancaman siber dan tempat penyimpanan password yang aman.

    Lihat Bitdefender Total Security di sini

    Lihat Norton 360 di sini

    FAQ

    Apakah 2FA bisa dibobol?

    2FA bisa ditembus, tapi jauh lebih sulit dibanding akun tanpa 2FA. Metode yang paling rentan adalah 2FA via SMS karena bisa diserang lewat SIM swap atau real-time phishing. Aplikasi authenticator jauh lebih aman karena kode dibuat secara lokal di HP-mu tanpa melewati jaringan operator. Hardware security key adalah yang paling sulit ditembus.

    Apakah 2FA via SMS cukup aman?

    Untuk kebanyakan pengguna biasa, 2FA via SMS jauh lebih baik dibanding tidak pakai 2FA sama sekali. Risikonya nyata tapi membutuhkan upaya yang jauh lebih besar dari peretas dibanding sekadar mencuri password. Tapi kalau platformnya mendukung aplikasi authenticator, sebaiknya pakai itu.

    Saya kehilangan HP. Bagaimana cara masuk ke akun yang pakai 2FA?

    Gunakan kode cadangan (backup codes) yang seharusnya sudah kamu simpan saat pertama kali mengaktifkan 2FA. Kalau tidak punya kode cadangan, setiap platform punya prosedur pemulihan akun masing-masing yang biasanya melibatkan verifikasi identitas melalui email cadangan, dokumen identitas, atau kontak dukungan pelanggan. Prosesnya bisa memakan waktu beberapa hari.

    Apakah saya perlu membayar untuk menggunakan aplikasi authenticator?

    Tidak. Google Authenticator dan Microsoft Authenticator tersedia gratis di Google Play Store dan App Store. Authy juga gratis dengan fitur backup terenkripsi yang berguna.

    Apakah 2FA memperlambat proses login?

    Ya, tapi hanya beberapa detik. Setelah login dari perangkat yang sudah dikenal, banyak platform yang tidak lagi meminta kode 2FA setiap kali, hanya saat login dari perangkat baru atau browser baru. Dalam praktiknya, hambatan ini hampir tidak terasa dibanding perlindungan yang didapat.

    Platform apa saja yang sudah mendukung 2FA?

    Hampir semua platform besar sudah mendukung 2FA: Google, Instagram, Facebook, WhatsApp, TikTok, Twitter/X, semua aplikasi mobile banking, Tokopedia, Shopee, Gojek, OVO, GoPay, dan banyak lagi. Cek menu Keamanan atau Pengaturan Akun di platform yang kamu pakai.

    OTP yang saya terima diminta oleh seseorang yang mengaku dari bank. Apa yang harus saya lakukan?

    Jangan berikan. Tutup telepon atau abaikan pesan tersebut. Bank tidak pernah meminta kode OTP dari nasabah melalui telepon atau chat, tanpa pengecualian. Kode OTP yang kamu terima hanya untuk kamu masukkan sendiri di aplikasi, bukan untuk diberikan ke orang lain.

    Baca juga: Modus Penipuan Online Terbaru di Indonesia yang Harus Kamu Waspadai

    Kesimpulan

    2FA adalah satu langkah pengamanan lanjutan dengan dampak yang besar.

    Satu pengaturan yang bisa diaktifkan dalam 5 menit langsung memotong kemungkinan akunmu dibobol hingga lebih dari 99%.

    Kalau kamu hanya bisa melakukan satu hal hari ini untuk meningkatkan keamanan digital, aktifkan 2FA di akun Google-mu.

    Email adalah pusat dari semua akun lain — semua “lupa password” dikirim ke email. Kalau email aman, semua akun lain jauh lebih terlindungi.

    Setelah itu, lanjutkan ke WhatsApp, Instagram, dan mobile banking. Gunakan aplikasi authenticator untuk keamanan yang lebih kuat dari SMS.

    Dan simpan kode cadanganmu, jangan sampai lupa atau hilang.

    Belum baca artikel sebelumnya? Cara Membuat Password yang Kuat dan Tidak Mudah Diretas

    Artikel berikutnya: Cara Cek Apakah Data Pribadimu Sudah Bocor di Internet

    Baca juga: Apa Itu Phishing dan Cara Menghindarinya

    Referensi & Sumber

    1. Microsoft. Autentikasi dua faktor (2FA): lebih dari 99,9% akun yang dibobol tidak menggunakan 2FA. Setelah Google mewajibkan 2FA bagi 150 juta pengguna, pembajakan akun turun lebih dari 50%. Dikutip melalui Fourtrezz. microsoft.com/id-id/security 2 3
    2. Badan Siber dan Sandi Negara (BSSN). Laporan Lanskap Keamanan Siber Indonesia 2024. Dikutip melalui Dinas Komunikasi dan Informatika Provinsi Jawa Timur, Februari 2025. bssn.go.id
    3. Jurnal JIKUM. Analisis Penerapan Keamanan Berlapis melalui Autentikasi Dua Faktor pada Instagram: Tingkat adopsi 2FA di kalangan pengguna Indonesia masih di bawah 40% di kalangan milenial. Dcircle Journal, 2025. journal.dcircle.org
    4. Fourtrezz. Two-Factor Authentication (2FA): Lapisan Keamanan Ekstra untuk Akun Online Anda. September 2025. fourtrezz.co.id
    5. Google. Cara mengaktifkan Verifikasi 2 Langkah di akun Google. myaccount.google.com
    6. Kompas.tv. Cara Aktifkan Verifikasi Dua Langkah di WhatsApp dan Instagram. September 2025. kompas.tv 2
    7. DTI UGM. Mengaktifkan 2FA pada Media Sosial — Panduan TikTok, Instagram, Facebook. dti.ugm.ac.id

    Artikel ini mengandung tautan afiliasi. Jika kamu membeli produk melalui tautan di artikel ini, kami mendapat komisi tanpa biaya tambahan untukmu.