Membandingkan Tiga Aplikasi 2FA

Catatan selepas mencoba tiga aplikasi 2 langkah pengamanan untuk mencari tahu kelebihan dan kekurangannya.

Kalian harusnya sudah tahu tentang 2 Factor Authenticator, atau pengamanan dua langkah. Atau kalian belum tahu? Baiklah, mungkin memang saya harus mengulangnya sedikit. Pengamanan dua langkah adalah tambahan pengamanan untuk akun kita selain kata sandi. Jadi ketika akan masuk ke dalam akun, selain memasukkan kata sandi kita butuh kode atau token yang didapatkan dari pengaman tambahan. Analoginya seperti pintu dengan dua kunci.

Ada beberapa pilihan pengamanan dua langkah. Ada SMS, ada lewat WhatsApp, ada lewat aplikasi, dan ada yang menggunakan security key. Banyak “orang pintar” yang tidak menyarankan menggunakan SMS dan WhatsApp karena dua itu masih sangat rentan untuk disalip atau diambil oleh orang lain. Kalian tahu ramai-ramai kasus modus pengambilalihan akun lewat APK berkedok kode pengiriman paket atau undangan pernikahan? Dua modus itu adalah upaya untuk mengambil alih OTP atau kode pengamanan dua langkah.

Hal lain yang tidak disarankan adalah security key. Kenapa tidak disarankan? Karena mahal. Security key berbentuk seperti sebuah benda kecil yang kadang mirip dengan USB drive. Harganya lumayan, dari Rp.700an ribu sampai lebih dari Rp.1 juta. Selain itu, security key juga tidak disarankan untuk mereka yang teledor. Karena bentuknya kecil, bisa dengan gampang tercecer dan kalau sudah seperti itu, maka tentu saja kita akan sulit mangakses akun kita.

Harganya lumayan kan?

Maka dari itu, cara pengamanan dua langkah yang disarankan adalah menggunakan 2 factor authenticator apps atau aplikasi dua langkah pengamanan.

Cara Kerja

Bagaimana alat ini bekerja? Mudah saja. Bisa dengan cara manual, bisa dengan otomatis. Dengan cara manual, di website atau aplikasi yang kita buka di laptop atau di PC, kita masuk ke bagian keamanan > pengamanan dua langkah (atau semacamnya), pilih aplikasi pengamanan dua langkah dan sebuah barcode akan muncul. Lalu dari aplikasi 2FA yang sudah diinstal kita bisa memindai (scan) barcode yang ada di layar.

Kalau memasang 2FA di aplikasi di handphone, biasanya caranya lebih mudah. Dengan catatan aplikasi 2FA yang kita pasang ada di handphone yang sama. Ketika memilih opsi 2FA maka otomatis aplikasi tersebut akan mengarah ke aplikasi 2FA yang ada di handphone.

Aplikasi Apa yang Bagus?

Ada banyak aplikasi 2FA yang bisa digunakan. Beberapa yang paling banyak digunakan adalah Google Authenticator, Microsoft Authenticator, ESET Authenticator, atau Duo. Mana yang paling bagus? Susah menentukannya karena masing-masing punya kelebihan dan kekurangannya.

Mencoba Tiga Aplikasi 2FA

Kebetulan saya baru saja mencoba tiga aplikasi 2FA, yaitu: Google Authenticator, 2FAS Autthenticator, dan Duo. Masing-masing menurut saya ada kelebihan dan kekurangannya. Coba saya ceritakan di sini ya.

Google Authenticator

Kelebihan:

  • Ringan dan mudah digunakan
  • Ukuran fail kecil (5,7 MB)
  • Bisa digunakan secara luring (tanpa akses internet)
  • Tidak membutuhkan nomor telepon atau alamat email
  • Menyediakan opsi transfer akun ke perangkat lain atau dari perangkat lain

Kekurangan:

  • Bukan open source
  • Tidak menyediakan opsi backup sehingga bila perangkat berganti atau hilang, kita akan kesulitan
  • Daftar token yang tersimpan tidak bisa diurutkan menurut abjad atau dikelompokkan
  • Aplikasi tidak bisa dikunci sehingga bisa diakses orang lain

 

Authy Authenticator

Kelebihan:

  • Tampilan ringan dan mudah digunakan
  • Bisa digunakan secara luring tanpa internet
  • Menyediakan opsi backup dan bisa dibuka di perangkat lain
  • Menyediakan pengamanan akun, bisa menggunakan PIN bisa menggunakan biometrics
  • Aplikasi bisa dikunci sehingga tidak mudah dibuka oleh orang lain

Kekurangan:

  • Bukan open source
  • Ukuran fail lumayan besar (25 MB)
  • Masih menggunakan nomor telepon atau email untuk mendaftar
  • Tidak menyediapan opsi transfer token dari aplikasi 2FA lain
  • Menyediakan opsi widget hanya untuk pengguna Android
  • Tidak menyediakan opsi mengelompokkan token

 

2FAS Authenticator

Kelebihan:

  • Open source
  • Ukuran fail tidak terlalu besar (12MB)
  • Tidak harus menggunakan nomor telepon atau alamat email untuk mendaftar
  • Menyediakan opsi backup baik ke Google Drive maupun backup lokal di perangkat
  • Menyediakan opsi enkripsi untuk perangkat. Baik di Google Drive maupun di backup lokal di perangkat
  • Menyediakan opsi transfer token dari aplikasi 2FA lain
  • Menyediakan opsi widget untuk Android dan iOS
  • Menyediakan pengamanan akun, bisa menggunakan PIN bisa maupun biometrics
  • Daftar token yang tersimpan bisa diurutkan sesuai abjad, atau dikelompokkan dalam folder
  • Aplikasi bisa dikunci, jadi tidak bisa dibuka oleh orang lain.
  • Bisa dioperasikan secara luring (tanpa internet)

Kekurangan:

  • Tidak menyediakan opsi backup di aplikasi cloud lain selain Google Drive
  • Belum benar-benar teruji karena masih terhitung baru

Nah terlihat kan bagaimana perbandingan antara ketiga aplikasi 2FA di atas? Kalau melihat kelebihannya, maka kelihatan kalau 2FAS Authenticator masih yang terbaik. Tapi, ini tentu bukan hasil final yang bisa bertahan selamanya. Bisa jadi besok justru 2FAS baru terungkap kalau punya banyak kekurangan. New York Times sendiri mendapuk Authy sebagai aplikasi 2FA terbaik di tahun 2022 menurut mereka setelah mengetes beberapa aplikasi 2FA.

Tapi buat saya sendiri, untuk saat ini saya memindahkan semua token yang sebelumya tersimpan di Google Authenticator ke 2FAS Authenticator. Entah sampai kapan. Bagaimana dengan kalian? [dG]