[Newbie][Edukasi] Perbedaan Alur Kerja Otentikasi Tradisional, 2FA dan 2SV

[Luzin]

Latar Belakang
Perkembangan zaman era digital dengan internet memberikan begitu besar manfaat. Perubahan sistem memberikan efisiensi dalam berbagai hal. Adopsi layanan online/social media menggunakan data diri, password, email, no telepon, semakin banyak dan menjadi kebutuhan pokok untuk saat ini. Namun dibalik semua efisiensi melalui layanan online ini sejatinya ada sebuah bahaya yang sedang mengintai kita. Kasus seperti pencurian data rahasia, pencurian password, pencurian asset sudah banyak terjadi  dan ini merugikan kita. Untuk meminimalisir itu semua kita sewajarnya teliti dan memerlukan pencegahan dini melalui digital security yang mengacu pada berbagai cara untuk melindungi akun internet komputer dan file dari pengguna luar yang tidak bertanggung jawab. Salah satu cara adalah menambahkan lapisan keamanan otentikasi seperti 2FA atau 2SV.  Namun untuk menerapkan ini sebaiknya perlu memahami tata kerja system digital security yang saat ini banyak digunakan.

Tujuan
Memberikan pemahaman cara kerja lapisan kemanan tambahan dalam system otentikasi bagi akun digital khususnya dalam dunia cryptocurency dan trading untuk meminimalisir kerugian.  Seperti kegiatan dalam crypto tak lepas dari yang namanya akun exchange, wallet yang harus kita berikan keamanan berlapis atau otentifikasi tambahan. Untuk itu saya menulis tread ini untuk megedukasi saya sendiri dan teman teman yang belum paham mengenai langkah bagaimana layanan otentikasi kemanan tambahan bekerja baik berupa yang tradisional, 2fa atau 2SV.  

Isi
Merujuk pada beberapa  akun exchange, social media, dan beberapa akun yang memerlukan otentikasi dalam melakukan login ada beberapa perbedaan yang sering sekali saya amati. Dari sini bisa disimpulkan bahwa ada perbedaan mendasar dalam sistem otentikasi keamanan pada beberapa akun yang saya buat.

1. Sistem kemanan tradisional
Sistem ini tidak menggunakan lapisan otentifikasi tambahan, hanya menggunakan username/akun alamat email kombinasi pasword. Dengan itu anda sudah bisa masuk pada akun anda. Ini digunakan pada akun yang biasanya tidak berhubungan dengan asset, atau akun media social yang tidak membutuhkan prifasi tinggi seperti facebook, ig atau twitter.

Sumber Gambar: https://paul.reviews/content/images/2014/10/understandingAuth_revised.jpg

Ketika akan login anda diminta memasukan username dan pasword apabila sesuai dengan database maka anda langsung bisa masuk ke akun anda.

2. Sistem Otentikasi 2fa
Sistem ini yang menggunakan proses verifikasi kepemilikikan memakai OTP(one time password) otentifikasi tambahan, atau biasa kita sebut 2fa. Jadi dalam system otentikasi disini memerlukan 2 kata sandi pertama username password kemudian kode sandi atau token dari perangkat lain. Perangkat lain ini bisa bwerwujud Yubikey, GA/ Authy dll.

Sumber Gambar: https://paul.reviews/content/images/2014/10/understandingAuth_revised.jpg

Ketika akan login anda diminta memasukan Username dan password apabila sesuai dengan database maka anda diminta memasukan kode/ sandi dari perangkat lain jika valid maka anda bisa masuk akun anda. Sistem keamanan ini biasanya diterapkan dalam Web Exchange, ada juga missal di beberapa online shop.

3. Sistem Otentikasi 2SV
Ini hampir mirip dengan system 2fa tapi sistem ini menggunakan verifikasi ganda yaitu username dan pasword ditambah kode yang dikirimkan kepada pengguna di luar jalur.

Sumber Gambar: https://paul.reviews/content/images/2014/10/understandingAuth_revised.jpg

Ketika akan login anda diminta memasukan Username dan password apabila valid kita akan mendapatkan OTP melalui email atau sms(biasanya berbentuk tautan) jika valid anda diminta memasukan kode GA/Yubikey  valid sukses login. Kalau di exchange saya pikir seperti TRIV, namun kadang diindodax, bittrex ketika ip kita terdeteksi berubah dari terkahir kali login atau oleh system dianggap berbahaya maka kita biasa dikirim email otentikasi. Namun dari system otentikasi tambahan itu semua penggunaannya menjadi pilihan anda artinya anda dapat mengatur sesuai keinginan dan kenyamanan anda. Anda bisa mengaktifkan atau menonaktifkan dalam pengaturan akun anda.

Kesimpulan
Dari sistem otentikasi diatas saya pikir beberapa exchange ataupun akun lainya telah memberikan alternative lapisan keamanan bagi akun kita. Untuk itu sewajarnya kita memaksimalkan fitur itu untuk mengamankan asset, data dari dari para pihak yang tidak bertanggung jawab. Selanjutnya menurut hemat saya mengenai sistem 3 otentikasi diatas dari segi keamanannya 2SV menjadi lapisan otentikasi paling aman walaupun terlihat harus membutuhkan beberapa step lebih panjang.

Maaf om jika pemahaman saya masih sangat dangkal dan pemahaman saya yang salah. Masukan saran sangat saya butuhkan untuk kesempurnaan pengetahuan saya dan tread yang saya buat ini.

Sumber:
- https://en.m.wikipedia.org/wiki/Digital_security
- https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/
- https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference
- https://en.wikipedia.org/wiki/Multi-factor_authentication#Inherent_factors

[1713860985]

1713860985

[joniboini]

Yang 2SV itu kok ane gagal paham. Bedanya sama 2FA di mana kalau menurut OP? Kok kayaknya sama aja perlu otentikasi tambahan selain password. Dua-duanya kan juga verifikasi ganda (password dan OTP). Mengenai beda IP dan butuh konfirmasi lagi itu menurut ane adalah step verifikasi tambahan tapi tetep make 2FA atau mungkin cuma konfirmasi ke e-mail aja tanpa perlu masukin random code. "Faktor tunggal" yang dimaksud itu apaan?

[Luzin]

Yang 2SV itu kok ane gagal paham. Bedanya sama 2FA di mana kalau menurut OP? Kok kayaknya sama aja perlu otentikasi tambahan selain password. Dua-duanya kan juga verifikasi ganda (password dan OTP). Mengenai beda IP dan butuh konfirmasi lagi itu menurut ane adalah step verifikasi tambahan tapi tetep make 2FA atau mungkin cuma konfirmasi ke e-mail aja tanpa perlu masukin random code.

Saya memperoleh bacaan mengenai ini 2SV, yang saya pahami itu 2 step verifikasi (2SV) selain melalui username pasword, ada lagi 2 step yang harus dilakukan yaitu otentikasi dikirimkan oleh server melalui email/sms jika valid kemudian diminta kode 2fa. Jadi stepnya agak lebih panjang. Apakah ini bukan otentikasi yang dikirim ke email?  Itu sepemahaman saya om mohon diluruskan jika saya keliru.

"Faktor tunggal" yang dimaksud itu apaan?

Maaf om pasword username. Terimakasih saya revisi.

[abhiseshakana]

2. Sistem Otentikasi 2fa
Sistem ini yang menggunakan proses verifikasi kepemilikikan memakai OTP(one time password) otentifikasi tambahan, atau biasa kita sebut 2fa. Jadi dalam system otentikasi disini memerlukan 2 kata sandi pertama username password kemudian kode sandi atau token dari perangkat lain. Perangkat lain ini bisa bwerwujud Yubikey, GA/ Authy dll.

2FA adalah metode autentifikasi (verifikasi) yang menggunakan kombinasi 2 faktor yang berbeda, dan salah satunya tidak harus memakai OTP. Mungkin karena mayoritas 2FA salah satu faktor verifikasinya banyak yang menggunakan OTP (sms, token, app, dll) makanya ada beberapa orang yang menyimpulkan jika 2FA selalu identik dengan OTP.

[joniboini]

Saya memperoleh bacaan mengenai ini 2SV, yang saya pahami itu 2 step verifikasi (2SV) selain melalui username pasword, ada lagi 2 step yang harus dilakukan yaitu otentikasi dikirimkan oleh server melalui email/sms jika valid kemudian diminta kode 2fa. Jadi stepnya agak lebih panjang. Apakah ini bukan otentikasi yang dikirim ke email?  Itu sepemahaman saya om mohon diluruskan jika saya keliru.

Ane juga bukan ahlinya di bidang ini gan, santai saja. Itu ane nanya beneran bukan sedang menguji layaknya dosen waktu sidang skripsi.

Jadi dari pemahaman agan, mirip dengan gimana Indodax, Triv atau exchange lain ngirimin link login dulu itu juga tetep otentikasi, kalau gitu kenapa namanya jadi 2SV? Bedanya verifikasi sama otentikasi apaan memangnya? Masak hanya gara-gara lebih panjang prosesnya terus namanya berubah gan kalau esensinya sama.

[abhiseshakana]

Konsep antara 2FA dan 2SV terlihat sama, terlebih jika salah satu model autentifikasi yang digunakan berkaitan dengan OTP (karena keduanya sama-sama memiliki waktu yang sudah ditentukan untuk bisa melakukan proses verifikasi, dan jika batas waktu ini telah lewat maka code tersebut sudah tidak bisa digunakan lagi).

Perbedaan akan kelihatan jika pada 2FA tidak menggunakan model autentifikasi OTP. Contoh menggunakan kombinasi Password dan biometric, maka dalam proses verifikasi ini 2 model autentifikasi yang digunakan benar-benar mutlak ditangan pengguna dan tidak tergantung pada pihak ke-3 (yang mengirimkan code OTP).

Jadi klo saya simpulkan perbedaan dari keduanya hanya terletak pada 2 model autentifikasi yang digunakan, tetapi dari konsep dan cara kerjanya memiliki kesamaan.

[Luzin]

Jadi dari pemahaman agan, mirip dengan gimana Indodax, Triv atau exchange lain ngirimin link login dulu itu juga tetep otentikasi, kalau gitu kenapa namanya jadi 2SV? Bedanya verifikasi sama otentikasi apaan memangnya? Masak hanya gara-gara lebih panjang prosesnya terus namanya berubah gan kalau esensinya sama.

Untuk 2SV sepemahaman ane lihat di diagaram ini pakai 2FA + 1 step verification, artinya username pasword>valid>1Step verifikasi>valid>2fa>valid>sukses, disini ada satu step verifikasi yang hanya dimiliki server dan dikirimkan kepada kita untuk validasi, sedangkan untuk 2fa username pasword>valid>2fa>valid>sukses, Cara kerja 2FA itu kalau tidak keliru mencocokan kedua kodenya user dan server,  2FA itu kedua belah pihak memiliki sandi yg sama persis.
Sedangkan untuk nama saya juga tidak tau pasti bisa di namai 2SV anggapan ane ya cuma ada 1 step perbedaan yang perlu di jalankan.  Itu saja sih om setahu ane.

[Rengga Jati]

Dari thread ini, saya jadi penasaran juga perbedaan antara 2FA (Two-factor authentication) dan 2SV (two-step verification). Jadi, sengaja berselancar di google untuk mempelajari lebih lanjut. Karena, saya juga malah baru tahu tentang istilah 2SV. Baca sekilas dari thread ini, awalnya saya kira juga sama, ternyata ada sedikit perbedaan.

Ini saya dapat dari beberapa sumber dan berdasarkan sepenangkapan saya, (tapi mohon untuk dikoreksi jika ternyata ada kekeliruan penafsiran.),

Tujuan 2FA dan 2SV adalah sama, yaitu keduanya membantu para user untuk memperkuat keamanan akun. Di sini, saya juga baru tahu jika faktor otentikasi berasal dari 3 jenis berikut: faktor pengetahuan ("something you know"), faktor kepemilikan ("something you have"), dan faktor bawaan ("something you are").

1. 2SV: ekspansi dari single-factor authentication (SFA)
Single-factor (username+password) -> kemudian + kode yang dikirim ke out-of-band* pengguna (contoh, kode yang dikirimkan ke SMS, melalui panggilan telepon, email, atau saluran komunikasi lainnya)
Mekanismenya yaitu: Step pertama yaitu verifikasi dengan single factor dan jika valid, maka akan mengirim kode (OTP) ke pengguna (bisa berupa SMS, panggilan, email dalam jangka waktu tertentu). Jadi, kode itu dikirimkan ke SMS, panggilan, email bukan generating sendiri).
Contoh:

Image diambil dari www.grahamcluley.com

2. 2FA
Single-factor (username+password) + kode yang dihasilkan oleh hardware / software lain atau smart card (something you have). Jadi, kodenya tidak dikirimkan oleh sistem dari login single-faktor, tetapi generated code. Atau bisa juga Single-factor (username+password) + something you are (bisa menggunakan pemindaian sidik jari, mata, dan lainnya).
Mekanismenya: Pengguna memasukkan 2 faktor verifikasi yang berbeda dan masing-masing memiliki kredensial mereka sendiri yang terpisah.
Sebagai contoh 2FA: single faktor + Google Authetificator (di sini, GA dianggap termasuk dalam something you have, karena GA akan menghasilkan kode (generating code), bukan menerima kiriman kode dari sistem login single faktor. Smart cards dan Yubikeys juga tergolong dalam 2FA.

Sebenarnya, bagan paling lengkap bisa dilihat dari sumber https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/, namun saya sendiri agak bingung dalam membacanya.
Sehingga saya kutipkan dari komentar serta jawaban di website tersebut untuk mempermudah:

1. just a password is traditional;
2. Using a password + google authenticator app on your smartphone is true 2FA (because the code is calculated locally);
3. Using a password + SMS code is 2SV with a single channel;

Ketiga komentar tersebut diiyakan oleh si penulis Paul Moore.


*out-of-band" (dalam istilah otentifikasi): adalah proses otentikasi yang memanfaatkan saluran komunikasi yang terpisah dari saluran komunikasi utama dari dua entitas yang mencoba membuat koneksi terotentikasi. Bentuk contoh autentikasi OOB termasuk kode yang dikirim ke perangkat seluler melalui SMS, otentikasi melalui saluran suara, kode yang dikirim ke aplikasi seluler tertentu, melalui email, dan saluran komunikasi lainnya

Sumber:
https://security.stackexchange.com/questions/41939/two-step-vs-two-factor-authentication-is-there-a-difference
https://www.grahamcluley.com/factor-authentication-2fa-versus-step-verification-2sv/
https://paul.reviews/the-difference-between-two-factor-and-two-step-authentication/
https://lifehacker.com/the-difference-between-two-factor-and-two-step-authenti-1787159870
https://doubleoctopus.com/security-wiki/authentication/out-of-band-authentication/

---------------------------------------
#edited berdasarkan saran dari suhu @joniboini

[joniboini]

Single-factor (username+password) -> kemudian + kode yang dikirim ke out-of-band pengguna.

Ini masalah minor tapi sepertinya perlu dibahas nih. Kalau bisa agan-agan ketika menuliskan istilah yang asing (dan susah menemukan padanannya di bahasa Indonesia dikasih penjelasannya. Misalnya out-of-band itu, ane ketika baca jadi agak kagok dan mikir-mikir maksudnya apaan.

Kalau yang dimaksud out-of-band adalah e-mail, sms, dst, bisa langsung disebutin saja contohnya, atau kalau mau tertib, jelasin maksud term out-of-band setelah kalimat di atas.

Ternyata kategorisasi di industrinya begitu ya, soalnya kalau ane nyebut password dan kode sms termasuk 2FA juga karena dasar asumsinya beda. Menarik".

[abhiseshakana]

Untuk 2SV sepemahaman ane lihat di diagaram ini pakai 2FA + 1 step verification, artinya username pasword>valid>1Step verifikasi>valid>2fa>valid>sukses, disini ada satu step verifikasi yang hanya dimiliki server dan dikirimkan kepada kita untuk validasi, sedangkan untuk 2fa username pasword>valid>2fa>valid>sukses

2SV bukan 2FA + 1 step verification, tetapi yang benar SFA (1FA) + 1 step verification ... Jadi mekanismenya Username >> Password (SFA) >> Valid >> 1 step verification >> Valid >> Success

Cara kerja 2FA itu kalau tidak keliru mencocokan kedua kodenya user dan server,  2FA itu kedua belah pihak memiliki sandi yg sama persis.

Untuk poin ini bisa juga dianggap sebagai pembeda antara 2FA dengan 2SV, dimana pada 2FA jika ada kecocokan code (key, token, pin, dll) antara pengguna dan server maka proses autentifikasi dinyatakan sukses. Sedangkan pada 2SV pengguna harus menunggu code yang dikirimkan oleh server (ibarat mau membuka pintu baru bisa dilakukan jika kuncinya ada).

[joniboini]

Sedangkan pada 2SV pengguna harus menunggu code yang dikirimkan oleh server (ibarat mau membuka pintu baru bisa dilakukan jika kuncinya ada).

Tapi kebanyakan layanan (setidaknya yang ane tau) menyebut pengiriman kode tambahan untuk login ini (bukan verifikasi login dari IP baru) dengan nama 2FA. Namanya antara lain '2FA by e-mail', SMS 2FA dst. Kadang disejajarkan dengan opsi semacam Google Authenticator atau Aegis dst. Jadi kayaknya penggunaan term ini kadang tergantung siapa yang menjalankan layanan ya.

[Luzin]

2SV bukan 2FA + 1 step verification, tetapi yang benar SFA (1FA) + 1 step verification ... Jadi mekanismenya Username >> Password (SFA) >> Valid >> 1 step verification >> Valid >> Success

Oke om terimakasih pembenaranya,
Pemikiran ane sebelumnya , misal si pengguna memiliki akun dan dia menggunakan 2fa (GA/AUTHY) dan 1 verifikasi baru dinamakan 2SV. Apabila dasar 2SV itu dikirim melalui out band yang notabene kode itu hanya diketahui oleh server maka itu salah. Karena seperti yang dikatakan om joni 2fa bisa dilakukan by email,by sms, (misal di akun eobot, binance) tergantung pengaturan. Maka itu ketika pemikiran awal 2SV itu mekanismenya pasword username+2SV(1step )+2fa(Ga,authy,dll) mirip dengan indodax a/bittrex ketikata beda ip.

[abhiseshakana]

Tapi kebanyakan layanan (setidaknya yang ane tau) menyebut pengiriman kode tambahan untuk login ini (bukan verifikasi login dari IP baru) dengan nama 2FA. Namanya antara lain '2FA by e-mail', SMS 2FA dst. Kadang disejajarkan dengan opsi semacam Google Authenticator atau Aegis dst. Jadi kayaknya penggunaan term ini kadang tergantung siapa yang menjalankan layanan ya.

Mungkin hanya penyebutan istilah saja sih gan, karena autentifikasi menggunakan OTP (via email/sms) juga merupakan bagian mekanisme dari 2SV dan 2FA dan klo dilihat dari sejarahnya dimana tekhnologi 2FA jauh lebih muda (baru) daripada 2SV, sehingga banyak orang yang menganggap jika 2FA adalah versi upgrade dari 2SV.

Jika dilihat dari mekanismenya 2SV bisa dianggap sebagai 2FA, sedangkan 2FA tidak selalu 2SV (jika salah satu model autentifikasinya tidak menggunakan pengiriman OTP dari server).

[masulum]

Sederhananya:

2SV adalah kita akan diminta untuk membuktikan bahwa kita adalah benar-benar pemilik akun yang mana untuk mengakses akun yang akan kita buka harus mendapatkan persetujuan yang dikirmkan pada device yang sebelumnya sudah menjadi device yang masuk pada daftar device terpercaya. Atau apapun yang merupakan sesuatu yang kita miliki/percayai sebelumnya seperti email.

Contoh, kita memiliki akun Google yang sudah aktif pada handphone, dan kita mengaktifkan 2SV pada akun kita, maka ketika kita membuka akun Gmail di laptop/smartphone (untuk pertama kali/setelah clear history browser), kita membutuhkan verifikasi tersebut. Contoh implementasi 2SV



Apa yang disebutkan oleh mas Luzin yang mencontohkan akun Indodax ketika kita dikirimi email verifikasi saat login beda IP sudah sesuai dengan contoh implementasi 2SV.

Perlu diketahui pula, tidak semua perusahaan menjalankan 2SV+2FA secara bersamaan seperti pada Indodax. Kebanyakan akan memilih 1 cara, entah cukup dengan 2SV atau dengan 2FA saja.

Menurut pandangan perusahaan IT:

Google: 2SV = 2FA/MFA(multi-factor authentication) ( ref: https://support.google.com/a/answer/175197?hl=en&ref_topic=2759193)
Apple: 2SV≠ 2FA (ref: https://support.apple.com/en-us/HT204152)

Ini merupakan pemahaman saya, koreksi jika salah  

[turkandjaydee]

Perlu diketahui pula, tidak semua perusahaan menjalankan 2SV+2FA secara bersamaan seperti pada Indodax. Kebanyakan akan memilih 1 cara, entah cukup dengan 2SV atau dengan 2FA saja.

Kenapa perusahaan tersebut tidak menjalankan 2SV+2FA secara bersamaan? Apakah sudah pasti karena masalah dana pembuatannya atau ada faktor penting lainnya yang mungkin belum saya ketahui?

Lalu berdasarkan pengalaman, saya lebih banyak melihat situs2 yang menggunakan 2FA saja daripada yang menggunakan 2SV (saya tidak ingat pernah melihat situs yang begini ).
Jadi sepertinya 2FA lebih diprioritaskan.

[abhiseshakana]

Kenapa perusahaan tersebut tidak menjalankan 2SV+2FA secara bersamaan? Apakah sudah pasti karena masalah dana pembuatannya atau ada faktor penting lainnya yang mungkin belum saya ketahui?

Karena kebijakan tersebut memang mutlak ditangan masing-masing perusahaan, dan saya rasa hal ini tidak ada kaitannya dengan permasalahan "dana". Mungkin pertimbangan pertama ada kaitannya dengan masalah tingkat keamanan dan efisiensi, dimana dalam hal ini 2FA dianggap lebih aman daripada 2SV dan mekanisme 2FA sendiri bisa menggantikan peran 2SV yang notabene tekhnologinya lebih tua.

Lalu berdasarkan pengalaman, saya lebih banyak melihat situs2 yang menggunakan 2FA saja daripada yang menggunakan 2SV (saya tidak ingat pernah melihat situs yang begini ).
Jadi sepertinya 2FA lebih diprioritaskan.

Seperti yang saya singgung diatas ... Tekhnologi 2FA lebih baru dan memiliki tingkat keamanan yang lebih bagus daripada 2SV. Ketergantungan pengguna 2SV terhadap layanan server dalam mengirimkan OTP terkadang membuat proses autentifikasi tidak bisa dilakukan dengan cepat (pada saat terjadi delay atau ada masalah pada jaringan pengiriman). Ditambah lagi muncul momok "SIM Swap" yang pada akhirnya menjadikan 2SV memiliki celah untuk diterobos oleh orang-orang yang tidak bertanggung jawab.

[joniboini]

Kenapa perusahaan tersebut tidak menjalankan 2SV+2FA secara bersamaan? Apakah sudah pasti karena masalah dana pembuatannya atau ada faktor penting lainnya yang mungkin belum saya ketahui?

Layanan perbankan, aplikasi fintech mobile dsj banyak juga kok yang make 2SV. Coba saja agan download aplikasi fintech semacam apps reksadana, maka registrasi awal agan akan bertemu dengan 2SV. Simply karena mereka ingin memastikan agan memang orang beneran dan karena tidak mungkin 2FA dipakai pada tahap ini. Jadi ya balik lagi seperti yang udah disinggung, kebutuhan dan konteksnya kayak gimana. Tidak sering agan temui di situs" industri yang agan pake bukan berarti di industri lain juga begitu.

* Ane menyebut 2SV dan 2FA sesuai dengan asumsi yang muncul dari diskusi" terakhir di post di atas.

[masulum]

pertanyaan dari mas @turkandjaydee sudah mendapatkan penjelasan dari mas @abhiseshakana ya. dan memang benar dalam memutuskan untuk menggunakan 2SV atau 2FA ini bukanlah karena masalah dana. Saya ingin menambahkan, dalam pengembangannya, implementasi 2SV dan 2FA ini bisa dilakukan dengan membuat program secara internal dari tim developer mereka sendiri. sedangkan 2FA implementasinya juga bisa dilakukan oleh programmer perusahaan dengan berbagai macam open source atau dari tutorial coding  yang dapat diimplementasikan oleh tim programmer di perusahaan tersebut atau programmer yang dimiliki sudah paham cara implementasinya dari pengalaman sebelumnya. Jadi sangat jelas bukan karena dana.

Mengapa cenderung memilih salah satu dan kenapa exchange menggunakan keduanya? Menurut pendapat saya, tim membuat sistem keamanan berlapis ini karena apa yang ada pada akun tersebut merupakan aset dari para penggunanya. Mereka tentu tidak ingin mengambil risiko jika hanya menerapkan satu metode keamanan saja. Dari sisi pengguna juga demikian, mereka yang ingin akunnya lebih aman, tentu akan mengaktifkan 2FA sebagai tambahan keamanan pada akunnya.

Secara default dari beberapa perusahaan dan layanan menerapkan 2SV. kemudian, memberikan opsi kepada pengguna untuk menambahkan 2FA (atau metode sebaliknya). Jadi, ini akan lebih baik untuk pengguna dan sebagai upaya pemberi layanan untuk menawarkan layanan yang lebih aman buat penggunanya sehingga layanan tersebut memiliki 2SV+2FA secara bersamaan.

[turkandjaydee]

pertanyaan dari mas @turkandjaydee sudah mendapatkan penjelasan dari mas @abhiseshakana ya. dan memang benar dalam memutuskan untuk menggunakan 2SV atau 2FA ini bukanlah karena masalah dana. Saya ingin menambahkan, dalam pengembangannya, implementasi 2SV dan 2FA ini bisa dilakukan dengan membuat program secara internal dari tim developer mereka sendiri. sedangkan 2FA implementasinya juga bisa dilakukan oleh programmer perusahaan dengan berbagai macam open source atau dari tutorial coding  yang dapat diimplementasikan oleh tim programmer di perusahaan tersebut atau programmer yang dimiliki sudah paham cara implementasinya dari pengalaman sebelumnya. Jadi sangat jelas bukan karena dana.

Maaf tapi menurut saya ini agak kurang pas gan, karena kalau itu sudah menyangkut jobdesk dari programmer berarti itu juga secara tidak langsung menyangkut dana gan karena programmer pasti mendapat bayaran. Entah itu gaji untuk programmer internal ataupun honor untuk programmer outsource.

Yang benar-benar memang bukan karena dana itu kalau memang seperti jawaban dari agan @abhiseshakana yaitu dari segi keamanannya.

(...)
Mungkin pertimbangan pertama ada kaitannya dengan masalah tingkat keamanan dan efisiensi, dimana dalam hal ini 2FA dianggap lebih aman daripada 2SV dan mekanisme 2FA sendiri bisa menggantikan peran 2SV yang notabene tekhnologinya lebih tua.

Seperti yang saya singgung diatas ... Tekhnologi 2FA lebih baru dan memiliki tingkat keamanan yang lebih bagus daripada 2SV. Ketergantungan pengguna 2SV terhadap layanan server dalam mengirimkan OTP terkadang membuat proses autentifikasi tidak bisa dilakukan dengan cepat (pada saat terjadi delay atau ada masalah pada jaringan pengiriman). Ditambah lagi muncul momok "SIM Swap" yang pada akhirnya menjadikan 2SV memiliki celah untuk diterobos oleh orang-orang yang tidak bertanggung jawab.

Tapi mungkin SIM Swap tidak akan terlalu menjadi masalah ya, kecuali pihak operator selulernya yang kurang ketat. Karena kalau menyangkut masalah nomor dibutuhkan KTP dan kehadiran secara langsung (pengalaman saya dengan Telkomsel).

Saya lihat contoh kasusnya terjadi pada pengguna Indosat, dan seharusnya pihdak Indosat juga langsung berbenah diri.

Layanan perbankan, aplikasi fintech mobile dsj banyak juga kok yang make 2SV. Coba saja agan download aplikasi fintech semacam apps reksadana, maka registrasi awal agan akan bertemu dengan 2SV. Simply karena mereka ingin memastikan agan memang orang beneran dan karena tidak mungkin 2FA dipakai pada tahap ini. Jadi ya balik lagi seperti yang udah disinggung, kebutuhan dan konteksnya kayak gimana.
(...)

Yahh setelah ane baca2 lebih lanjut memang hal ini seperti area abu2, karena bahkan sudah diberitahukan kalau pihak google menganggapnya sama.
Jadi ya lebih baik saya lewati saja pembahasan perbandingan ini.

[anu1908]

setelah saya pahami , menurut saya bisa melalui 2 step vetivikasi dan otentifikasi gan

ya memang bisa. kan ga ada yang bilang ga bisa. bahkan udah dicontohin kan itu seperti misalnya di bidang fintech.

rata-rata apps fintech pake dua hal itu sekaligus, walau untuk login lebih sering cuma nambahin 2fa. tapi kalau agan ganti ip/registrasi/ganti hp, biasanya bakal dimintai kode yang dikirimin via sms ke nomor terdaftar, dan setelah itu ngaktifin 2fa. exchange pun demikian.