Kata sandi vs otentikasi dua faktor: Mana yang lebih melindungi aset kripto Anda?
Kata sandi Anda bocor dalam pelanggaran keamanan yang tidak pernah Anda ketahui. Beberapa minggu kemudian, seseorang mencoba mengaksesnya di bursa kripto Anda, dan satu-satunya hal yang menghalangi mereka mengakses saldo Anda adalah kode enam digit yang dikirim ke ponsel Anda. Kode itu seharusnya menjadi tembok pengaman. Selama bertahun-tahun, itu sudah cukup. Perbandingan antara Passkey dan 2FA adalah perdebatan tentang apakah tembok pengaman itu masih layak dipercaya, dan jawaban jujur sangat penting bagi siapa pun yang memegang uang yang hanya bergerak satu arah. Panduan ini menjelaskan kedua metode tersebut dengan bahasa yang mudah dipahami, membandingkannya secara langsung, dan menunjukkan mengapa serangan yang benar-benar menguras akun hampir tidak melambat untuk otentikasi dua faktor tradisional.
Apa itu otentikasi dua faktor (2FA)?
Autentikasi dua faktor, terkadang ditulis 2 faktor, adalah pemeriksaan kedua yang ditambahkan ke kata sandi Anda, dan ide di baliknya cukup sederhana sehingga kebanyakan orang sudah menggunakannya tanpa berpikir. Bahkan jika seseorang mencuri faktor pertama, mereka masih membutuhkan faktor kedua sebelum dapat masuk. Para ahli keamanan cenderung mengelompokkan faktor-faktor tersebut ke dalam tiga kategori utama: sesuatu yang Anda ketahui seperti kata sandi atau PIN, sesuatu yang Anda miliki seperti ponsel atau token perangkat keras, dan sesuatu yang Anda miliki seperti sidik jari atau pemindaian wajah, dan pengaturan 2FA hanya menggabungkan dua dari tiga kategori tersebut.
Masalahnya adalah tidak semua faktor otentikasi kedua sama, dan tombol "2FA aktif" secara diam-diam menyembunyikan hal itu. Kode SMS adalah pilihan umum yang paling lemah, kode dari aplikasi otentikasi seperti Google Authenticator , biasanya TOTP yang diperbarui setiap 30 detik, jauh lebih kuat, dan kunci keamanan fisik bahkan lebih kuat lagi. Microsoft telah menyatakan bahwa mengaktifkan MFA memblokir sekitar 99,9% serangan akun otomatis, yang menunjukkan bahwa standar dasarnya bekerja dengan baik terhadap upaya massal dan mudah, dan pertanyaan yang diangkat dalam seluruh artikel ini adalah apa yang terjadi ketika penyerang sama sekali tidak mudah.
Berikut adalah urutan faktor kedua yang umum.
| Metode 2FA | Cara kerjanya | Tahan terhadap phishing? | Kelemahan utama |
|---|---|---|---|
| Kode SMS | Kode satu kali akan dikirimkan melalui SMS ke nomor Anda. | TIDAK | Pertukaran SIM, penyadapan SS7 |
| Aplikasi otentikasi (TOTP) | Memutar kode dalam sebuah aplikasi | TIDAK | Phishing relai waktu nyata |
| Dorong persetujuan | Ketuk "setujui" di ponsel Anda | TIDAK | Kelelahan MFA, pemboman mendadak |
| Kunci keamanan perangkat keras | Tombol fisik yang Anda colokkan atau tekan | Ya | Biaya, bisa hilang |
Perbedaan mendasar terletak pada baris paling bawah. Kode SMS, kode aplikasi, dan pemberitahuan push semuanya memiliki satu kelemahan, yaitu manusia dapat dibujuk untuk menyelesaikannya di situs yang salah, sedangkan kunci keamanan perangkat keras sama sekali tidak dapat dibujuk. Itulah sifat yang sama yang menjadi dasar pembuatan passkey, sehingga perbedaan sebenarnya terletak antara faktor yang rentan terhadap phishing dan faktor yang tahan terhadap phishing, bukan antara kata sandi dan faktor kedua.
Apa itu passkey, dan bagaimana cara kerja passkey?
Passkey bukanlah kode yang lebih baik; passkey adalah sepasang kunci kriptografi, dan memahami pasangan kunci tersebut adalah inti dari semuanya. Saat Anda membuat passkey untuk situs web atau aplikasi, perangkat Anda secara diam-diam menghasilkan dua nilai yang saling terkait, yaitu kunci publik dan kunci privat, menggunakan standar FIDO2 dan WebAuthn yang telah diintegrasikan oleh Apple, Google, dan Microsoft ke dalam sistem mereka sebagai tulang punggung otentikasi tanpa kata sandi.
Penggunaan kata sandi (passkey) telah berkembang pesat. Aliansi FIDO melaporkan sekitar 5 miliar kata sandi yang aktif digunakan pada Mei 2026, dengan 75% konsumen telah mengaktifkannya di setidaknya satu akun. Ini bukan lagi fitur khusus.
Proses jabat tangan kunci publik dan privat
Perbedaan antara kedua kunci inilah yang menjaga keamanan kata sandi. Bayangkan kunci publik sebagai gembok yang salinannya disimpan oleh situs web, dan kunci pribadi sebagai satu-satunya hal yang dapat membukanya, yang tersegel di dalam ponsel Anda. Saat Anda masuk, situs tersebut memberikan teka-teki sekali pakai kepada perangkat Anda untuk ditandatangani. Perangkat Anda menandatangani teka-teki tersebut dengan kunci pribadi, mengirimkan kembali jawabannya, server memeriksanya terhadap kunci publik yang sudah dimilikinya, dan Anda pun berhasil masuk. Tidak ada informasi rahasia yang pernah dikirim melalui jaringan, sehingga seseorang yang menguping di jaringan tidak memiliki apa pun untuk dicuri dan diputar ulang nanti.
Pemeriksaan biometrik atau PIN perangkat Anda membuka kunci pribadi secara lokal sehingga dapat ditandatangani. Sidik jari juga tidak pernah sampai ke server. Bandingkan itu dengan kata sandi, yang Anda berikan sepenuhnya setiap kali Anda masuk — mempercayai siapa pun di ujung lain untuk menyimpannya dengan aman.
Di mana kata sandi Anda disimpan: disinkronkan vs terikat pada perangkat
Kata sandi tersedia dalam dua jenis. Kata sandi yang disinkronkan tersimpan di pengelola kata sandi atau rantai kunci platform (milik Apple, Google, alat seperti 1Password atau Bitwarden) dan mengikuti Anda di berbagai perangkat. Kata sandi yang terikat pada perangkat, termasuk yang ada pada kunci keamanan perangkat keras, tidak pernah meninggalkan satu perangkat keras yang membuatnya. Kata sandi yang disinkronkan lebih praktis dan tetap ada meskipun ponsel hilang; kunci yang terikat pada perangkat memberikan keamanan fisik terkuat karena kunci kriptografis terpasang pada satu objek yang dapat Anda kunci di dalam laci.
Kode sandi vs otentikasi dua faktor: perbedaan utama
Cara paling mudah untuk memahami perbedaannya adalah: 2FA menambahkan satu langkah pada kata sandi, sedangkan passkey menggantikan kata sandi sepenuhnya. Setelah Anda memahaminya seperti itu, sisanya akan mudah dipahami. 2FA masih bergantung pada rahasia yang dapat diketahui dan berpotensi bocor. Passkey tidak memiliki rahasia bersama yang dapat bocor sejak awal.
Perubahan tunggal itu berdampak pada segala hal lainnya, mulai dari ketahanan terhadap phishing hingga kecepatan login. Penyedia yang menerapkan kode sandi melaporkan proses masuk yang jauh lebih cepat dan lebih berhasil daripada kata sandi yang dipasangkan dengan kode SMS, karena tidak ada yang perlu diketik dan tidak ada yang perlu ditunggu. Tabel di bawah ini menjabarkan perbedaan-perbedaan utama.
| Yang penting | Otentikasi dua faktor (kata sandi + SMS/TOTP) | Kode sandi |
|---|---|---|
| Mengganti kata sandi | Tidak, itu justru menambahnya. | Ya |
| Tahan terhadap phishing | Tidak (kode dapat diteruskan) | Ya (terikat pada domain nyata) |
| Terkena risiko pertukaran SIM | Ya, dengan SMS | TIDAK |
| Rahasia bersama untuk dicuri | Ya | TIDAK |
| Kecepatan login | Lebih lambat (ketik kode) | Lebih cepat (ketuk atau pindai) |
| Pemulihan jika perangkat hilang | Kode cadangan / SMS | Sinkronkan atau cadangkan kunci |
Apakah kata sandi itu sendiri merupakan bentuk otentikasi dua faktor (2FA) atau otentikasi multifaktor (MFA)?
Inilah nuansa yang sering membingungkan orang. Saat Anda membuka kunci sandi, dua pengecekan terjadi dalam sekejap. Anda membuktikan bahwa Anda memegang perangkat yang menyimpan kunci pribadi, dan pemindaian sidik jari atau wajah membuktikan bahwa perangkat tersebut benar-benar ada di tangan Anda. Itu adalah dua faktor dalam satu sentuhan, yang menjadikan sandi sebagai otentikasi multi-faktor. Tambahkan otentikasi dua faktor tradisional di atasnya dan Anda hanya menambahkan permintaan kedua, bukan penghalang kedua.
Inilah mengapa Badan Keamanan Siber dan Infrastruktur AS hanya menyebut FIDO2/WebAuthn dan kartu pintar PKI sebagai MFA yang benar-benar tahan terhadap phishing. Passkey bukanlah versi yang lebih lemah dari faktor kedua; passkey dirancang sebagai multi-faktor, yang digabungkan menjadi satu langkah.
Mengapa phishing dapat menembus otentikasi dua faktor (2FA) tetapi tidak kata sandi?
Phishing adalah serangan yang menentukan seluruh perdebatan ini. Laporan Investigasi Pelanggaran Data Verizon tahun 2025 menemukan bahwa kredensial yang dicuri berada di balik 22% pelanggaran dan phishing di balik 16% lainnya, jadi ini bukanlah eksploitasi yang asing, melainkan pintu masuk utama yang paling sering dilewati oleh para penyusup.
Bayangkan jebakan yang biasa terjadi. Sebuah email memperingatkan bahwa akun Anda terkunci, Anda mengklik tautan ke halaman yang tampak persis seperti akun Anda, dan Anda dengan patuh mengetikkan kata sandi dan kode enam digit dari aplikasi otentikasi Anda. Di situs asli, kode tersebut akan baik-baik saja. Namun, di salinan penyerang, mereka mengambilnya dan memutarnya ulang terhadap login asli dalam hitungan detik, dan faktor kedua yang Anda percayai telah langsung membuka jalan bagi mereka. Inilah bagian yang sering diremehkan orang. Otentikasi dua faktor (2FA) masih meminta manusia untuk menyerahkan sesuatu, dan manusia dapat dibujuk untuk melakukan hampir apa pun. Kunci sandi tidak menyerahkan apa pun. Kunci pribadi tidak dapat diketik, dibaca keras, atau ditempelkan ke formulir palsu, dan hanya berfungsi di domain persis tempat Anda membuatnya, sehingga halaman yang mirip tersebut tidak memiliki apa pun untuk dikumpulkan dan tidak ada yang dapat diputar ulang.
Penukaran SIM dan masalah kode SMS
SMS adalah titik lemah dari otentikasi dua faktor (2FA). Dalam kasus SIM swap , penyerang meyakinkan operator seluler Anda untuk memindahkan nomor Anda ke ponsel mereka, dan setiap kode yang seharusnya untuk Anda kini sampai di layar mereka. Pusat Pengaduan Kejahatan Internet FBI mencatat 982 pengaduan SIM swap dalam laporannya tahun 2024, dengan kerugian mendekati $26 juta, dan itu hanya kasus-kasus yang benar-benar dilaporkan oleh orang-orang. Pesan SMS juga dapat dicegat secara langsung melalui celah dalam protokol telekomunikasi SS7 yang sudah usang, yang membuat Anda menghadapi kenyataan yang tidak menyenangkan, bahwa setiap kode yang dikirim melalui jaringan telepon adalah kode yang dapat dialihkan secara diam-diam oleh orang lain.
Phishing OTP dan kelelahan MFA
Bahkan aplikasi otentikasi pun tidak kebal, karena penyerang menjalankan situs relay real-time yang berada di antara Anda dan login sebenarnya, menangkap TOTP Anda dan memutarnya kembali dalam jangka waktu 30 detik. Otentikasi dua faktor berbasis push memiliki mode kegagalan tersendiri yang dikenal sebagai kelelahan MFA, di mana penyerang mengirimkan spam berupa permintaan persetujuan hingga pengguna yang lelah akhirnya menekan tombol setuju hanya untuk menghentikan bunyi notifikasi. Tak satu pun dari trik ini berhasil pada passkey, karena tidak ada kode yang dapat dicegat sejak awal dan tidak ada permintaan yang dapat disetujui secara tidak sengaja.
Gunakan kata sandi pada bursa dan dompet kripto.
Di sinilah perbandingan antara kata sandi dan otentikasi dua faktor (2FA) berhenti menjadi sekadar teori, dan di sinilah sebagian besar panduan umum berhenti membahasnya. Bank dapat membatalkan transaksi penipuan. Blockchain tidak bisa. Ketika penyerang melakukan pertukaran SIM (SIM-swap) untuk masuk ke akun Anda di bursa kripto dan menarik saldo Anda, transaksi tersebut bersifat final. Laporan Kejahatan Internet FBI tahun 2025 mencatat total kerugian sebesar $20,9 miliar, dengan sekitar $11,4 miliar terkait dengan penipuan kripto, dan pengambilalihan akun merupakan bagian tetap dari kerugian tersebut.
Bursa kripto utama, termasuk Coinbase, Binance, dan Kraken, kini memungkinkan Anda melindungi akun login Anda dengan kode sandi. Mengaktifkannya akan menghapus kode SMS yang dicari oleh pelaku penipuan SIM dan menggantinya dengan kunci yang tidak dapat diakses penyerang dari negara lain.
Satu perbedaan penting, karena mudah disalahpahami. Passkey mengamankan cara Anda masuk ke akun kustodian di bursa. Ini tidak sama dengan kunci pribadi atau frasa sandi dompet kustodian Anda sendiri , dan tidak menggantikannya. Jika Anda memegang koin Anda sendiri, frasa sandi tetap menjadi kunci utama untuk dana Anda; passkey melindungi pintu bursa, bukan brankas yang Anda bawa sendiri. Memahami hal itu adalah perbedaan antara keamanan akun yang sebenarnya dan rasa aman yang palsu.
Kode sandi juga sangat cocok dipadukan dengan kontrol yang sudah diberikan oleh bursa. Aktifkan untuk login, lalu tambahkan daftar alamat penarikan yang diizinkan sehingga bahkan sesi yang dibajak pun tidak dapat mengirim dana ke dompet yang tidak dikenal tanpa periode tunggu. Kode sandi memblokir pembobolan; daftar yang diizinkan membatasi kerusakan jika ada hal lain yang lolos. Jika digunakan bersama, kode sandi dan kontrol 2FA meningkatkan keamanan jauh lebih baik daripada jika digunakan secara terpisah, dan akun Anda tidak lagi bergantung pada kode yang dapat dialihkan melalui udara ke ponsel orang asing.
Saat Anda masih membutuhkan otentikasi dua faktor tradisional.
Kode sandi belum tersedia di mana-mana, dan pilihan antara kode sandi dan otentikasi dua faktor (2FA) seringkali bergantung pada apa yang didukung oleh layanan tertentu, jadi jangan langsung mengganti faktor otentikasi kedua Anda. Aliansi FIDO mencatat lebih dari 15 miliar akun yang siap menggunakan kode sandi pada tahun 2025, namun cakupan di situs-situs kecil masih belum merata, dan banyak layanan yang Anda andalkan masih hanya menawarkan kata sandi dan kode. Untuk layanan tersebut, pertahankan 2FA Anda dan pilih versi yang lebih baik, yaitu aplikasi otentikasi daripada SMS. Pemulihan adalah tempat lain di mana kode sandi terbukti bermanfaat. Jika Anda kehilangan perangkat yang menyimpan kode sandi yang terikat pada perangkat, faktor cadangan atau serangkaian kode pemulihan yang tersimpan akan membantu Anda masuk kembali. Pengaturan yang cerdas menggunakan keduanya, dengan kode sandi di tempat yang memungkinkan, 2FA berbasis aplikasi di tempat yang tidak memungkinkan, dan rencana pemulihan yang terintegrasi di bawah keduanya.
Ada juga biaya transisi yang perlu disebutkan. Sampai sebuah situs mendukung kata sandi, Anda akan terjebak dengan opsi terkuat yang tersedia, dan untuk banyak layanan, itu masih berarti aplikasi otentikasi biasa. Anggap itu sebagai masa transisi daripada tujuan akhir, dan tinjau kembali akun penting Anda setiap beberapa bulan, karena dukungan kata sandi terus berkembang dan akun yang tidak dapat Anda lindungi musim semi lalu mungkin sekarang menawarkannya.
Cara beralih dari otentikasi dua faktor ke kata sandi.
Berpindah sistem itu seperti menaiki tangga, bukan melompat sekali jalan — dan satu-satunya aturan adalah jangan pernah menghapus jalur pemulihan Anda di tengah proses perpindahan. Berikut urutan yang masuk akal:
1. Ganti SMS dengan aplikasi otentikasi di setiap akun yang masih menggunakan kode. Hal ini saja sudah menghilangkan risiko penipuan SIM-swap.
2. Tambahkan kata sandi di tempat yang tersedia, biasanya di bawah pengaturan keamanan akun atau pengaturan masuk.
3. Simpan kata sandi di pengelola kata sandi yang tersinkronisasi atau pada kunci keamanan perangkat keras, tergantung pada seberapa banyak keamanan fisik yang Anda inginkan.
4. Siapkan satu metode otentikasi cadangan dan simpan kode pemulihan Anda di suatu tempat secara offline.
5. Hapus SMS sebagai faktor verifikasi hanya setelah kata sandi berhasil membuat Anda masuk dengan benar.
Mulailah dengan akun yang menyimpan uang atau identitas Anda: email Anda (kunci utama untuk mengatur ulang kata sandi), bursa Anda, pengelola kata sandi Anda. Lanjutkan dari sana. Seluruh migrasi dapat memakan waktu satu sore, dan sebagian besar waktunya dihabiskan untuk menunggu halaman dimuat.
Kesimpulannya: kata sandi, otentikasi dua faktor, atau keduanya?
Dalam perdebatan kode sandi vs 2FA, kode sandi menang dalam serangan yang benar-benar mengosongkan akun. Phishing dan pertukaran SIM langsung melewati kode SMS dan seringkali juga kode aplikasi, kemudian menemui hambatan dengan kode sandi. Gunakan kode sandi di mana pun ditawarkan, perlakukan sebagai default di bursa kripto mana pun, dan pertahankan 2FA berbasis aplikasi sebagai cadangan untuk semua hal yang belum kompatibel. Pertanyaan sebenarnya bukanlah mana yang harus dipercaya. Yang terpenting adalah seberapa cepat Anda dapat memindahkan akun. Mana yang akan Anda alihkan terlebih dahulu?
