Akhir 2021, Google Bakal Aktifkan 2-Step Verification pada 150 Juta Akun Secara Otomatis

Mei lalu, Google mengumumkan rencananya untuk mengaktifkan two-step verification (2SV) secara default, sebuah fitur yang sudah mereka hadirkan dan promosikan sejak lama demi membantu meningkatkan keamanan akun masing-masing penggunanya.

2SV selama ini bersifat opsional, namun Google secara perlahan ingin menjadikannya sebagai fitur wajib. Menjelang akhir tahun nanti, Google berniat untuk mengaktifkan fitur 2SV pada 150 juta akun pengguna. Menurutnya, proteksi terkuat bisa didapat dengan menandemkan “sesuatu yang kita tahu” (seperti kata sandi) dan “sesuatu yang kita punya” (macam ponsel atau security key).

Lebih lanjut, mulai 1 November 2021, Google juga akan mewajibkan aktivasi 2SV bagi 2 juta kreator yang tergabung dalam YouTube Partner Program. Kalau 2SV belum diaktifkan, maka mereka tidak bisa mengakses YouTube Studio.

Google tidak lupa mengingatkan bahwa mereka juga punya fitur password manager yang terintegrasi ke Chrome. Jadi ketimbang membuat kata sandi yang kelewat simpel agar mudah diingat, kita bisa memanfaatkan fitur ini untuk meracik kata sandi yang kompleks, lalu menyimpannya secara aman.

Password manager bawaan Chrome ini juga tersedia di iOS, dan pengguna dapat memakainya untuk menginput kata sandi yang tersimpan (autofill) di berbagai aplikasi lain. Dalam waktu dekat, pengguna perangkat iOS juga bisa memakai fitur ini untuk meracikkan kata sandi buat berbagai aplikasi, persis seperti cara kerjanya di perangkat Android.

Terakhir, Google turut menyoroti fitur bernama Inactive Account Manager, yang sebenarnya sudah ada sejak tahun 2013. Fitur ini pada dasarnya berguna untuk menentukan nasib dari akun-akun Google yang sudah tidak kita gunakan lagi.

Anda bebas menentukan berapa lama jeda waktu sebelum akhirnya Google menandai akun Anda nonaktif; apakah 3 bulan, 6 bulan, 12 bulan, atau 18 bulan. Setelahnya, Anda bisa memilih hingga 10 orang untuk dinotifikasi ketika akun Google milik Anda sudah nonaktif, dan kalau perlu, mereka juga dapat diberi akses ke sejumlah data yang tersimpan di akun Anda.

Langkah yang terakhir adalah menentukan apakah akun Google yang nonaktif tersebut perlu dihapus secara permanen atau dibiarkan begitu saja. Penghapusan baru akan berlangsung tiga bulan setelah akun ditandai sebagai nonaktif, jadi kontak yang sudah dipilih tadi masih punya waktu untuk mengunduh konten yang tersimpan.

Sumber: 1, 2, 3. Gambar header: Solen Feyissa via Unsplash.

Google Akan Aktifkan Fitur 2-Step Verification Secara Default

Kata sandi atau password yang ideal adalah yang panjang, kompleks, tapi mudah diingat. Yang menjadi masalah, membuat beberapa password yang berbeda untuk setiap akun digital yang kita miliki tidaklah semudah yang dibayangkan. Tidak jarang pada akhirnya kita hanya menggunakan satu password yang sama untuk beberapa akun sekaligus.

Password-nya boleh panjang dan kompleks, tapi sekali saja password itu berhasil dicuri orang, maka semua akun kita pun otomatis jadi rentan diretas. Solusi yang cukup populer belakangan ini adalah menggunakan layanan password manager, sehingga tiap-tiap akun kita bisa memiliki password panjang dan kompleks yang berbeda-beda, tapi kita tidak perlu mengingat semuanya.

Namun yang namanya password, mau sekompleks dan sevariatif apapun, masih ada kemungkinan untuk dipecahkan oleh seorang hacker. Ini bukan pendapat saya, melainkan Google. Menurut Google, kita juga perlu melibatkan proses verifikasi tambahan di samping sebatas kata sandi yang kompleks.

Itulah mengapa dalam waktu dekat, Google akan mengaktifkan fitur two-step verification (2SV) secara otomatis pada setiap akun Google yang pengaturannya sudah sesuai dengan kriteria di menu Security Checkup. 2SV, sesuai namanya, mengharuskan kita melalui dua tahap verifikasi setiap kali hendak masuk ke akun masing-masing.

Langkah yang pertama sudah pasti adalah mencantumkan password itu tadi. Selanjutnya, langkah yang kedua adalah merespon notifikasi yang muncul di smartphone, membuktikan bahwa yang mengakses akun tersebut benar-benar Anda dan bukan orang lain yang tahu password Anda. Alternatifnya, smartphone tersebut juga bisa berperan sebagai kunci digital seandainya komputer yang digunakan memiliki Bluetooth. Selain perangkat Android, perangkat iOS pun juga bisa dengan bantuan aplikasi Google Smart Lock yang baru saja dirilis.

Google bilang bahwa ini merupakan langkah awal dalam visinya mengejar skenario masa depan di mana kita tidak lagi membutuhkan password sama sekali. 2-step verification dewasa ini sudah merupakan fitur yang cukup umum, jadi tidak ada salahnya untuk mengaktifkannya pada akun-akun lain yang memang mendukung fitur tersebut.

Sumber: Google.

Meninjau Penggunaan 2FA Sebagai Ikhtiar Pengamanan Akun

Jika diminta menyebutkan salah satu hal penting yang harus diperhatikan dalam perkembangan teknologi sekarang ini, keamanan harus menjadi yang pertama. Keamanan ini tak hanya tentang bagaimana mengelola layanan dan data pribadi pengguna, tetapi juga pengguna itu sendiri dalam mengamankan dirinya. Ada banyak teknologi dan pendekatan yang sudah dilakukan. Yang sedang marak di Indonesia adalah implementasi 2FA (2-factor authentication) atau dua langkah pengamanan.

Pendekatan ini biasanya menggabungkan penggunaan password dan faktor pengamanan tambahan, misalnya kode OTP (One Time Password), biometrik (scan sidik jari, wajah/muka, atau bahkan retina), atau aplikasi authenticator. 2FA dianggap lebih aman karena meminimalisir risiko kehilangan akses akun karena password tertebak.

Nyatanya di Indonesia masih ada kasus yang berhasil “menembus” keamanan 2FA menggunakan teknik yang lebih sederhana, termasuk social engineering.

Kasus yang marak dijumpai adalah memanfaatkan ketidaktahuan masyarakat tentang OTP atau token. Modus paling banyak adalah dengan berpura-pura sebagai pihak penyedia layanan kemudian meminta pengguna mengirimkan OTP atau token, kemudian mengambil alih akun. Itu mengapa di setiap OTP atau token yang terkirim lazimnya selalu ada peringatan untuk menyimpan sendiri kode tersebut.

Lebih canggih, ada juga modus yang menggunakan metode penggandaan kartu SIM atau nomor ponsel. Kasus ini pernah mencuat saat salah seorang tersangka menggandakan nomor ponsel yang kemudian digunakan untuk mengakses salah satu rekening korban melalui SMS banking.

Seiring dengan berjalannya waktu, OTP atau token digantikan dengan pengamanan biometrik. Jika ditengok dari perkembangan yang ada di Indonesia, makin banyak aplikasi finansial yang menyematkan mode keamanan biometrik untuk akses aplikasinya.

Tren penggunaan pengamanan 2FA

Hasil survei Mercator Advisory Group menyebutkan, metode biometrik untuk autentikasi lebih disukai pengguna di Amerika Serikat. Penggunaannya terus naik dari 2016 sampai dengan 2019, terutama untuk penggunaan facial recognition dan voice recognition.

Laporan lain yang diterbitkan Duo Labs (bagian dari Cisco) juga menyoroti meningkatnya pengetahuan responden (masyarakat Inggris Raya dan Amerika Serikat) tentang 2FA dan pengalaman penggunaannya.

Di tahun 2019 ada 77% yang mendengar atau setidaknya mengetahui tentang teknologi 2FA, namun hanya 53% yang menggunakan. Angka tersebut tumbuh cukup signifikan dibanding tahun 2018 di mana 44% mengetahui sementara hanya 28% yang menggunakannya.

Penggunaan SMS atau email sebagai sarana penerimaan OTP juga cukup tinggi. Masing-masing 72% dan 57%. Keduanya masih dipilih karena banyak yang merasa lebih familiar dan lebh cepat dalam hal penerimaan kode OTP dibandingkan menggunakan aplikasi authenticator, push notification, security key, atau hard token.

Di Indonesia sendiri beberapa penyedia layanan mulai mengedukasi masyarakat akan pentingnya mengaktifkan fitur 2FA ini. Tak hanya soal risiko kehilangan akun, tetapi juga tentang hal apa saja yang tidak boleh dibagikan secara gampang kepada orang lain.

Bagaimana agar pengguna tetep aman?

Untuk bisa aman dari risiko pembobolan akun, cara pertama dan utama adalah peduli dengan diri sendiri. Aktifkan 2FA untuk semua akses aplikasi atau akun jika ada. Mulai menertibkan password dengan menggantinya secara berkala dengan kombinasi yang sudah ditebak. Pertimbangkan penggunaan aplikasi password manager untuk mengelola banyak akun dan password. Jangan ragu menggunakan fitur pengamanan biometrik jika perangkat atau layanan yang digunakan sudah mendukungnya. Apa pun itu.

Pahami bahwa OTP adalah kunci penting, Sama pentingnya dengan password. Jangan pernah sekalipun memberikannya kepada orang lain, meskipun pihak penyedia layanan. Jangan ragu mengajukan blokir akun melalui jika terjadi akses mencurigakan di aplikasi. Yang terakhir, jangan gunakan satu nomor atau satu email untuk banyak aplikasi.