Transfer Google Authenticator: Migrasikan Otentikasi Dua Faktor ke Ponsel Baru
Jika Anda kehilangan ponsel yang menyimpan kode otentikasi Anda, Coinbase akan memasukkan Anda ke dalam antrian verifikasi identitas selama 48 hingga 72 jam sebelum Anda dapat melihat akun Anda kembali. Binance bisa memakan waktu seminggu. Bursa kecil mungkin membutuhkan waktu sebulan. Itulah harga yang harus dibayar untuk otentikasi yang belum dimigrasikan, dan itulah satu-satunya alasan panduan ini dibuat.
Panduan ini membahas cara menggunakan transfer Google Authenticator di iOS atau Android, baik transfer satu arah maupun dua arah, menggunakan dua metode yang benar-benar berfungsi: ekspor kode QR yang telah disertakan dengan aplikasi di ponsel Anda sejak Mei 2020, dan sinkronisasi cloud akun Google yang hadir pada April 2023 dengan peringatan keamanan yang perlu dipahami. Panduan ini juga membahas kasus panik ketika ponsel lama hilang atau dicuri, jebakan memindahkan kode 2FA ke ponsel baru, dan apa yang harus dilakukan untuk akun online bernilai tinggi di mana pemulihan tidak selalu memungkinkan. Tujuannya: memigrasikan Google Authenticator tanpa kehilangan akses ke akun Anda, lalu menjaga kode Google Authenticator Anda tetap aman.
Mengapa transfer Google Authenticator penting sebelum Anda mengganti ponsel?
Otentikasi dua faktor SMS (2FA) mati bersamaan dengan SIM. Serangan pemindahan nomor, pergantian operator, bahkan transfer eSIM yang gagal — dan kode tersebut berpindah ke ponsel orang lain. Laporan Kejahatan Internet FBI tahun 2024 mencatat 982 pengaduan pertukaran SIM dan kerugian langsung sebesar $25,98 juta (turun dari $72,65 juta pada tahun 2022, tetapi penipuan yang sama tetap menjadi jalan masuk menuju pencurian identitas dan pengurasan dompet kripto). Kode sekali pakai dari aplikasi otentikasi tersimpan di penyimpanan aman perangkat, bukan di jaringan operator, itulah sebabnya Microsoft selama bertahun-tahun dapat mengatakan bahwa mengaktifkan otentikasi dua faktor memblokir lebih dari 99,9% upaya peretasan akun otomatis.
Konsekuensinya jelas. Setiap kode tersimpan di satu ponsel. Jika ponsel jatuh ke sungai, tidak sengaja melakukan reset pabrik, atau diberikan kepada anak Anda selama "lima menit"—Anda tidak dapat mengakses akun Anda sampai Anda menyelesaikan proses pemulihan di setiap layanan. Jadi, simpan kode Anda, buat kode hanya di perangkat yang Anda kendalikan, dan anggap perpindahan ke ponsel baru sebagai perawatan rutin.
Sebelum memulai: siapkan aplikasi Google Authenticator di kedua ponsel Anda.
Sebagian besar transfer yang gagal disebabkan oleh persiapan yang terlewat, bukan karena perangkat lunak yang rusak. Tiga hal yang paling sering menggagalkannya adalah: aplikasi yang sudah usang, tidak ada set biometrik, dan Wi-Fi yang tidak stabil. Buka Google Authenticator di ponsel lama dan periksa apakah aplikasi tersebut berjalan dan menampilkan kode bergulir terbaru. Perbarui melalui Google Play (Android versi 7.0 atau lebih baru, dirilis 14 November 2024) atau App Store. Instal aplikasi Google Authenticator yang sama di ponsel baru, masuk dengan akun Google Anda seperti biasa, aktifkan biometrik — permintaan ekspor menolak untuk menampilkan QR tanpa sidik jari atau pengenalan wajah. Sambungkan kedua perangkat, hubungkan ke Wi-Fi tepercaya yang sama, dan matikan VPN apa pun.
Saat ponsel diperbarui, buat daftar setiap layanan yang terhubung ke aplikasi otentikasi. Kebanyakan orang memiliki sepuluh akun otentikasi atau lebih tanpa menyadarinya: setiap akun Google, GitHub, setiap bursa, pengelola kata sandi, konsol AWS, CMS. Tabel di bawah ini memetakan lokasi kode cadangan untuk layanan yang paling sering memblokir akses pengguna. Simpan daftar tersebut dan kata sandi yang kuat untuk setiap layanan — beberapa alur pemulihan memerlukan keduanya sebelum mereka melepaskan ikatan perangkat lama.
| Melayani | Di mana kode cadangan berada? | Catatan |
|---|---|---|
| Akun Google | myaccount.google.com → Keamanan → Verifikasi 2 Langkah | 10 kode sekali pakai |
| Microsoft | account.microsoft.com → Keamanan → Keamanan tingkat lanjut | Kode pemulihan, juga email cadangan. |
| GitHub | Pengaturan → Kata sandi dan otentikasi → Kode pemulihan | 16 kode |
| Coinbase | Pengaturan → Keamanan → Kode cadangan | Terkait dengan verifikasi identitas saat pengaturan ulang |
| Binance | Pusat Pengguna → Keamanan → Otentikasi Dua Faktor | Pemulihan akun dalam waktu 24 jam hingga 7 hari. |
| AWS | Pusat Identitas IAM → Profil pengguna | Hingga 8 perangkat MFA |
| Facebook / Instagram | Pusat Akun → Kata Sandi dan Keamanan | 10 kode pemulihan |
Ekspor dan impor: transfer Google Authenticator Anda melalui QR
Ekspor QR diluncurkan pada Mei 2020. Ini tetap menjadi cara yang direkomendasikan oleh halaman bantuan iOS Google sendiri, dan memindahkan seed untuk setiap akun yang dipilih dari satu ponsel ke ponsel lain tanpa perantara server apa pun. Tanpa cloud, tanpa akun Google.
Mulailah dari ponsel lama. Buka aplikasi dan temukan menunya — Android menempatkan tiga garis horizontal di pojok kiri atas; iPhone menempatkan tiga titik, biasanya di pojok kanan atas, meskipun beberapa versi menempatkannya di bagian bawah. Ketuk menu, pilih Transfer akun, lalu Ekspor akun. Aplikasi akan meminta sidik jari, Face ID, atau kode sandi perangkat Anda. Setelah melewati permintaan biometrik, Anda akan melihat daftar semua akun Google Authenticator di perangkat. Centang akun yang ingin Anda pindahkan (kotak tersebut menerima pilihan ganda) dan ketuk Berikutnya. Sekarang aplikasi akan menghasilkan kode QR yang berisi materi seed terenkripsi untuk hingga sepuluh akun sekaligus. Memiliki lebih dari sepuluh akun? Anda akan mendapatkan antrean kode QR, yang diberi nomor, dan aplikasi akan memberi tahu Anda kode mana yang sedang Anda lihat.
Sekarang, gunakan ponsel baru. Buka Google Authenticator, ketuk Mulai, atau tekan ikon plus di kanan bawah jika aplikasi sudah diinisialisasi. Pilih Pindai kode QR. Jika langkah impor menanyakan apakah Anda mengimpor dari akun yang sudah ada, jawab ya. Arahkan ponsel baru ke layar ponsel lama dan biarkan kamera mengunci kode QR. Perangkat baru akan menampilkan daftar setiap akun yang diimpor. Ketuk Berikutnya untuk kode QR tambahan lainnya dalam kumpulan tersebut.
Kode asli tetap tersimpan di ponsel lama. Verifikasi perangkat baru terlebih dahulu, lalu bersihkan. Buka satu layanan yang terhubung, masuk, dan periksa apakah kode verifikasi enam digit dari kode otentikator baru sesuai dengan yang diharapkan layanan tersebut. Setelah kedua layanan berhasil masuk, hapus entri dari aplikasi ponsel lama — atau, lebih baik, setel ulang perangkat lama untuk dijual kembali.
Beberapa hal bisa salah dalam praktiknya. Transfer Android ke Android hampir selalu lancar. Transfer Android ke iPhone terkadang gagal menampilkan beberapa akun setelah impor, terutama ketika langkah pemindaian kode QR mengkodekan lebih dari lima entri; kurangi ukuran batch dan coba lagi. Transfer iPhone ke Android terkadang macet di layar ekspor karena implementasi iOS Google tertinggal dari Android; jika itu terjadi, paksa keluar aplikasi, buka kembali, dan mulai ekspor lagi. VPN di salah satu perangkat juga dapat merusak pemindaian karena pembatasan kamera di beberapa klien VPN. Nonaktifkan VPN untuk transfer. Kode transfer yang terdapat dalam QR dibatasi waktu, jadi jika jam ponsel baru tidak sinkron, Anda mungkin melihat kode yang tidak valid setelah impor — buka menu aplikasi dan ketuk Koreksi waktu untuk kode untuk menyinkronkan ulang jam perangkat.
Sinkronkan kode Google Authenticator dengan akun Google Anda.
Sinkronisasi cloud, yang ditambahkan pada 24 April 2023 dengan versi 6.0 di Android dan 4.0 di iOS, adalah metode yang praktis. Setelah diaktifkan, setiap kode yang Anda tambahkan atau hapus akan muncul di semua ponsel yang masuk ke akun Google yang sama, tanpa kode QR. Untuk sebagian besar login biasa, inilah yang diinginkan orang.
Peringatan keamanan ini perlu diperhatikan. Dalam waktu 48 jam setelah peluncuran April 2023, para peneliti keamanan di Mysk Inc. menunjukkan bahwa lalu lintas yang membawa seed TOTP ke server Google tidak dienkripsi ujung-ke-ujung (end-to-end encrypted). Google secara publik berkomitmen untuk menambahkan enkripsi ujung-ke-ujung "di kemudian hari," tetapi hingga saat penulisan ini, sinkronisasi hanya dilindungi oleh enkripsi sisi server Google sendiri, yang berarti Google sendiri secara teknis dapat membaca seed tersebut. Untuk akun Spotify atau Twitter, itu adalah kompromi yang dapat diterima dibandingkan dengan kehilangan akses. Untuk pengelola kata sandi utama atau bursa kripto kustodian, saya lebih memilih metode QR dan menerima hambatan tersebut.
Untuk mengaktifkan sinkronisasi, buka Google Authenticator di ponsel lama, ketuk avatar atau ikon profil di pojok kanan atas, dan masuk dengan akun Google yang ingin Anda gunakan sebagai cadangan. Indikator awan hijau akan muncul di sebelah setiap entri yang disinkronkan. Buka aplikasi yang sama di ponsel baru, masuk dengan akun Google yang sama, dan kode akan muncul dalam beberapa detik. Tidak ada kode QR yang perlu dipindai dan tidak ada permintaan biometrik.
Jika Anda menginginkan transfer Google Authenticator yang hampir tanpa hambatan, sinkronisasi adalah jawabannya — tetapi gunakan hanya untuk akun bernilai rendah jika Anda tidak mempercayai desain tanpa enkripsi ujung ke ujung (end-to-end). Pertahankan kunci akses bernilai tinggi (perbankan, kripto, GitHub yang penting) terikat pada satu perangkat melalui ekspor QR, atau pindahkan seluruhnya ke kata sandi atau kunci perangkat keras. Lembar fakta MFA tahan phishing CISA tahun 2022, yang ditegaskan kembali pada tahun 2024, menempatkan kunci perangkat keras FIDO2 di atas metode TOTP apa pun.
Siapkan Google Authenticator di perangkat baru tanpa ponsel lama.
Jika ponsel lama sudah hilang, dicuri, atau rusak total, tidak satu pun metode di atas yang berfungsi, karena semuanya membutuhkan perangkat sumber. Tidak ada jalur "pemulihan dari cloud" kecuali Anda mengaktifkan sinkronisasi sebelum kehilangan. Berikut ini adalah satu-satunya pilihan, dan prosesnya lambat.
Untuk setiap layanan yang terhubung, Anda perlu masuk dengan cara lain dan menghubungkan kembali 2FA ke ponsel baru secara individual. Kode cadangan adalah cara tercepat untuk memulihkan akun Anda: Google mengeluarkan sepuluh kode cadangan sekali pakai dari akun Google Anda selama pengaturan 2FA, GitHub mengeluarkan enam belas, sebagian besar bursa mengeluarkan delapan hingga dua belas. Jika Anda menyimpannya di pengelola kata sandi atau mencetaknya, gunakan salah satunya untuk masuk, lalu langsung ke pengaturan Keamanan, hapus ikatan otentikator lama dari perangkat lain, dan pasangkan ponsel baru dengan memindai kode QR baru untuk mengirimkan kode tersebut ke akun Google Anda lagi.
Jika Anda tidak memiliki kode cadangan, Anda akan mengalami proses yang lambat. Dokumen Bantuan Coinbase menyebutkan waktu 48 hingga 72 jam untuk pengaturan ulang 2FA, lebih lama lagi jika verifikasi identitas diaktifkan. Beberapa bank memerlukan kunjungan langsung ke cabang. Pelajarannya: siapkan Google Authenticator dengan kode cadangan yang terikat pada pengelola kata sandi pada hari pertama Anda mengaktifkannya, dan cetak salinan kertas yang disimpan di tempat yang tidak terdapat ponsel Anda. Bagaimanapun, simpan daftar periksa nama pengguna dan email pemulihan untuk setiap akun online yang dilindungi oleh Authenticator.
Pindahkan kode 2FA antara Android dan iPhone tanpa kehilangan akses.
Migrasi lintas platform adalah tempat berkumpulnya sebagian besar thread bantuan. Transfer Google Authenticator berfungsi dua arah di iOS dan Android, tetapi dua mode kegagalan sering terjadi. Yang pertama adalah pemindaian QR ekspor berhasil dan perangkat baru hanya menampilkan sebagian kecil akun. Ini hampir selalu merupakan batasan sepuluh akun per QR yang muncul secara diam-diam, terutama ketika aplikasi iOS menghasilkan QR. Kurangi ekspor menjadi lima akun sekaligus. Yang kedua adalah menu ekspor yang menampilkan "tidak ada akun untuk diekspor" di iOS meskipun kode jelas sedang berjalan. Perbaikan pada build 2026 adalah memperbarui ke versi TestFlight atau App Store terbaru, menutup paksa aplikasi, dan mematikan serta menghidupkan kembali pengaturan biometrik perangkat sekali.
Ambil tangkapan layar setiap kode QR ekspor sebelum memindainya — di perangkat kedua, atau cetaklah. Perangkat apa pun dapat memindai kode QR untuk mengimpor, tetapi Google tidak mengizinkan Anda membuat ulang ekspor yang sama, jadi tangkapan layar yang bersih adalah perbedaan antara lima menit pekerjaan dan kepanikan seperti yang dijelaskan di atas. Baik Anda melakukan migrasi di iOS atau Android, menyimpan tangkapan layar kode QR tersebut dengan aman (dalam catatan pengelola kata sandi terenkripsi) adalah jaminan termurah yang bisa Anda dapatkan.
Gunakan akun Google Authenticator dengan bursa kripto dan Web3.
Pengambilalihan akun di bursa atau dompet kripto pada dasarnya tidak dapat dibatalkan: begitu dana berpindah, dana tersebut hilang. Kode otentikasi adalah standar minimum, dan laporan Microsoft tentang peningkatan 146% dari tahun ke tahun dalam serangan phishing pihak ketiga hingga tahun 2024 berarti bahkan TOTP saja tidak cukup. Kampanye AiTM "kode etik" Mei 2026 menyerang lebih dari 35.000 pengguna di 13.000 organisasi di 26 negara — penyerang memproksi halaman login yang sah, menangkap kode TOTP secara real-time, dan mencuri cookie sesi sebelum pengguna menyadarinya. Ikat kunci perangkat keras (YubiKey atau yang serupa) ke akun Google utama terlebih dahulu, kemudian lapisi dengan Otentikasi di sisi bursa, dan nonaktifkan SMS 2FA segera setelah Otentikasi dipastikan berfungsi. Angka IC3 FBI tahun 2024 menunjukkan total kerugian kejahatan siber mencapai $16,6 miliar, dan pengaduan terkait kripto terus meningkat setiap tahunnya.
Penyedia layanan pembayaran kripto layak mendapatkan perlakuan yang sama seperti bursa kripto. Plisio, misalnya, mendukung TOTP untuk akun pedagang, dan mengikatnya melalui Google Authenticator (atau aplikasi yang kompatibel dengan TOTP lainnya) melindungi dasbor yang mengontrol transaksi keluar. Saat bermigrasi ke ponsel baru, perlakukan dasbor gerbang pembayaran sama seperti dompet digital: hanya ekspor QR, tanpa sinkronisasi cloud, kode cadangan baru dibuat dan disimpan setelah perpindahan.
Alternatif aplikasi Google Authenticator yang patut dipertimbangkan
Runtuhnya Authy mengubah peta pasar. Pada 19 Maret 2024, Twilio menghentikan aplikasi desktop Authy beberapa bulan lebih cepat dari tanggal Agustus yang awalnya diumumkan. Kemudian pada Juli 2024, penyerang mencuri 33.420.546 nomor telepon Authy melalui API yang tidak terautentikasi, dan Twilio mengkonfirmasi pelanggaran tersebut. Dua serangan dalam empat bulan. Pengguna Authy berpencar.
| Aplikasi | Sinkronisasi cloud | Sinkronisasi E2EE | Platform | Sumber terbuka |
|---|---|---|---|---|
| Google Authenticator | Ya (sejak 2023) | Tidak (hanya sisi server) | iOS, Android | TIDAK |
| 2FAS | Ya (opsional) | Ya | iOS, Android, peramban | Ya |
| Perlindungan | Tidak (hanya cadangan lokal) | Tidak tersedia | Android | Ya |
| Ente Auth | Ya | Ya | iOS, Android, desktop | Ya |
| Microsoft Authenticator | Ya | Ya | iOS, Android | TIDAK |
| Aplikasi Kata Sandi iOS 18 | Gantungan Kunci iCloud | Ya | iOS, macOS | TIDAK |
Apple melakukan sesuatu yang diam-diam perlu diketahui pada September 2024. iOS 18 memisahkan iCloud Keychain ke dalam aplikasi Kata Sandi khusus yang secara bawaan menghasilkan kode TOTP, mengisi otomatis di Safari, dan sinkronisasi dengan enkripsi ujung-ke-ujung. Bagi pengguna Apple saja, ini menghilangkan kebutuhan akan aplikasi otentikasi terpisah sama sekali. Bagi yang lain, tabel di atas adalah daftar singkatnya.
Simpan kode Google Authenticator Anda dengan aman setelah transfer.
Lakukan langkah-langkah berikut segera setelah impor selesai. Masuk ke setidaknya tiga layanan terpenting yang terhubung dari ponsel baru dan konfirmasikan bahwa kode berfungsi — dan bahwa layar utama aplikasi otentikasi menampilkan setiap akun yang Anda harapkan. Buat ulang kode cadangan di setiap layanan yang baru saja Anda pindahkan; simpan di pengelola kata sandi dan di atas kertas, di tempat yang berbeda. Hapus data di ponsel lama melalui Find My iPhone atau Android Find My Device sebelum memberikannya kepada orang lain. Untuk akun Google utama, tambahkan passkey atau kunci keamanan perangkat keras, sehingga bahkan ponsel lain dengan aplikasi Otentikasi Anda saja tidak cukup. Pengaturan berlapis itulah yang menghentikan kampanye AiTM yang telah dilacak Microsoft hingga tahun 2026. Lebih penting lagi, itulah yang mengubah transfer Google Authenticator berikutnya menjadi pekerjaan lima belas menit, bukan kepanikan.
