Bitcointalk Sekarang ada OTP -2FA

[blue Snow]

Ane cukup kaget barusan mau login BTT sekarang sudah ada OTP



Untuk pengaturannya ada di seting profil, penampakannya seperti ini



Sejauh ini ane belum mencobanya. Tapi kelihatannya menarik sebagai security tambahan akun forum kita.

selamat mencoba

[1714797379]

1714797379

[1714797379]

1714797379

[1714797379]

1714797379

[BABY SHOES]

theymos tadi malam mengumumkan bahwa 2FA telah di tambahkan ke Bitcointalk (2FA added) - PowerGlove yang mengerjakan tugas ini.

Ane juga belum mencoba gan pake fitur 2FA ini yag ada di bitcointalk, tapi orang orang di sana mungkin sudah mencoba dengan tingkat keamanan akun menggunakan 2FA.

So 2FA does not provide any protection in case of a compromised email

Jadi ini maksud nya 2FA tidak memberikan keamanan apapun bila email disusupi, kalau misalkan email yang di daftar di bitcointalk kita dihack maka tetapi bisa jebol dong 2FA nya?

[armanda90]

Fitur yang sangat membantu sekali saya rasa agar ke depan tidak ada lagi kasus hack akun, cuman untuk OTP 2FA apakah bisa direset via email jika nantinya Hp yang kita gunakan hilang akses dengan 2FA. Banyak hal yang perlu dipersiapkan bagi siapapun yang ingin mencoba fitur ini dan pastikan harus benar-benar menyimpan semua data back up nya karena belum ada rule atau solusi saat applokasi 2FA kereset apakah bisa mencoba via fitur email atau tidak?

Biasanya di exchange market baik lokal ataupun luar saat fiture akses 2FA hilang kita diwajibkan untuk sinkron data dengan cara melakukan KYC ulang, apakah ada update sekaligus dengan pengumuman 2FA dan cara mengatasinya jika suatu saat nanti akses ke aplikasi 2FA yang kita gunakan hilang baik aplikasinya terhapus atau Hp rusak.

[Husna QA]

Ane cukup kaget barusan mau login BTT sekarang sudah ada OTP -snip-

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Saya sendiri belum tahu persis apakah code tersebut tetap tidak berubah ataukah bisa berubah-ubah ketika proses aktif-non aktif fitur 2FA sebagaimana fitur 2FA yang biasanya ada di exchange.

So 2FA does not provide any protection in case of a compromised email

Jadi ini maksud nya 2FA tidak memberikan keamanan apapun bila email disusupi, kalau misalkan email yang di daftar di bitcointalk kita dihack maka tetapi bisa jebol dong 2FA nya?

Itu kalau agan atau orang lain berusaha masuk melalui fitur "Forgot your password?", dimana ada opsi untuk me-remove fitur 2FA.

If you use the forgotten-password function, then there's an option to remove the 2FA. So 2FA does not provide any protection in case of a compromised email. Make sure that your email address is secure. If you don't want to set an email address, use something like yourUserName@invalid.bitcointalk.org; don't use a random nonsense email like y@x.com, since somebody might create that domain/email.

Pertanyaannya cukup kritis, jika demikian untuk apa ada fitur 2FA di Bitcointalk?

Menurut saya itu untuk menambah lapisan keamanan akun. Jika sebelumnya ketika seseorang mengetahui password dari akun user tertentu, maka dia bisa langsung login; Nah sekarang dengan mengaktifkan fitur 2FA dia mesti meng-input kode acak yang dihasilkan dari 2FA tersebut juga; Jika tidak, maka dia harus melewati fitur Forgot your password? yang mana ini berarti dia juga harus punya akses email user yang akunnya akan diambil alih.

Maka dari itu email yang digunakan untuk registrasi perlu dilengkapi 2FA juga untuk pengamanan tambahan. Dan agar lebih aman lagi untuk antisipasi jika semua lapisan keamanan tersebut bisa dijebol, maka agan perlu stake bitcoin address di Bitcointalk untuk keperluan recovery.

[retreat]

Fitur OTP 2FA adalah salah satu fitur keamanan yang paling saya tunggu di forum ini, karena melihat keamanan dari akun di forum ini itu cukup riskan untuk di bobol oleh orang yang tidak bertanggung jawab. Dengan fitur ini setidaknya orang tidak bisa sembarangan untuk login dan mengganti password dari akun kita karena kode  OTP 2FA ada di perangkat kita.
Hal mengenai fitur OTP 2FA yang bisa dihapus melalui fitur "Forgot your password?" itu seharusnya tidak terlalu masalah. Selama kita menjaga agar email yang kita gunakan itu tetap secure dan tidak diretas, saya rasa akan sangat susah bagi orang untuk meretas akun forum kita.

[masulum]

-snip-
Hal mengenai fitur OTP 2FA yang bisa dihapus melalui fitur "Forgot your password?" itu seharusnya tidak terlalu masalah. Selama kita menjaga agar email yang kita gunakan itu tetap secure dan tidak diretas, saya rasa akan sangat susah bagi orang untuk meretas akun forum kita.

makanya sangat tidak dianjurkan untuk menggunakan kombinasi password yang sama untuk banyak akun. ketika seseorang berhasil meretas satu akun, anggap saja akun FB yang berhasil di retas, artinya peretas sudah mengetahui password/mengubah password, sehingga ia dapat melihat informasi akun, jika ada email di dalamnya, maka hacker akan berasumsi password email yang ada pada akun tersebut adalah sama dengan yang digunakan fi FB. kebanyakan hal seperti ini yang terjadi, sehingga ketika kehilangan akun sosial media, korban kehilangan akun email maupun akun lainnya, karena ia menggunakan password yang sama untuk semua akunnya dengan alasan agar mudah diingat.

[Husna QA]

Barusan saya coba fitur 2FA Bitcointalk.
Berikut ini beberapa langkah penggunaan fitur 2FA di Bitcointalk (bagi user yang baru registrasi di forum atau user lain yang mungkin belum mengetahui caranya):

- Ketika Login, masukkan data atau opsi yang tersedia, sementara OTP dikosongkan ketika belum mengaktifkan fitur 2FA.

  

- Langkah berikutnya masuk ke menu Profile -> Modify Profile -> Account Related Settings

  

- Aktifkan opsi pada pertanyaan Enable two-factor authentication? sehingga muncul tanda centang.

- Buka aplikasi 2FA di smartphone atau PC (seperti Google Authenticator, Authy, atau aplikasi lain yang semisalnya),
  Add a code/Add Account dengan men-scan QR Code atau menginput manual kode Shared secret yang ada di profil akun Bitcointalk (nantinya muncul nama akun sesuai user ID, BTCT:u***).

- Isi Confirmation OTP dengan kode acak yang didapat dari aplikasi 2FA sebelumnya.

- Untuk menyimpan perubahan pada settingan profil akun, isi Current Password kemudian klik tombol Change profile.

- Ketika 2FA sudah diaktifkan, maka settingan di Profile berubah seperti berikut ini:

  

Catatan:
- Simpan Shared secret (Base32) dan QR Code ditempat aman dan jangan di bagikan ke orang lain.
- Shared secret dan QR Code berganti baru (di reset) ketika men-disable 2FA yang telah dibuat sebelumnya kemudian mengaktifkan kembali 2FA baru.

[AprilioMP]

Ane cukup kaget barusan mau login BTT sekarang sudah ada OTP

-snip-

Untuk pengaturannya ada di seting profil, penampakannya seperti ini

Saya kaget juga barusan pas login akun.
Langsung menuju profil dan membuka bagian Account Related Settings di profil, ternyata ada pembaharuan keamanan yang luar bisa menurut saya.

Kemudian, saya pergi ke board Meta untuk melihat informasi yang akurat mengenai pembaharuan ini dan ternyata theymos sudah mengumumkannya kemarin dengan judul topik 2FA added.
Mengenai 2FA pada akun bitcointalk.org berdasarkan topik milik theymos, benar memang bahwa ahli SMF yang bernama PowerGlove pernah mengusulkan ini dan saya pernah membacanya.

Tapi, om kenapa kode Shared secret nya dibiarkan dapat terlihat untuk umum? bukankah itu code rahasia seperti yang dikatakan om Husna QA pada diskusi ini.

Memang forum ini luar biasa. Saya dapat mengambil pelajaran bahwa sesuatu yang bersifat open source sangat besar manfaatnya. Siapa saja dapat membagikan ide untuk dipertimbangkan selama ide tersebut bermanfaat.

@theymos dan @PowerGlove hebat sekali.

[Renampun]

fitur 2fa sungguh membantu untuk meningkatkan keamanan akun dan juga menghindari kemungkinan masuk dalam jebakan phising, meksipun begitu saya belum berani mencoba menggunakan 2fa karena selama ini saya melihat akun BTT saya cukup terjaga keamanannya.

makanya sangat tidak dianjurkan untuk menggunakan kombinasi password yang sama untuk banyak akun. ketika seseorang berhasil meretas satu akun, anggap saja akun FB yang berhasil di retas, artinya peretas sudah mengetahui password/mengubah password, sehingga ia dapat melihat informasi akun, jika ada email di dalamnya, maka hacker akan berasumsi password email yang ada pada akun tersebut adalah sama dengan yang digunakan fi FB. kebanyakan hal seperti ini yang terjadi, sehingga ketika kehilangan akun sosial media, korban kehilangan akun email maupun akun lainnya, karena ia menggunakan password yang sama untuk semua akunnya dengan alasan agar mudah diingat.

biasanya yang begini begini cewek sih gan, alasan nya sih bukan hanya karena ingin mudah diingat namun beberapa cewek sengaja membuat password yang gampang di ingat pasangannya juga (sharing akun an password), saya punya 4 password yang berbeda beda dan saya akan menggunakannya random paa akun akun sosial media atau lainnya, saya tidak mau hanya menggunakna satu password saja, resiko di retas sangat besar.

[liuka]

Pertanyaannya cukup kritis, jika demikian untuk apa ada fitur 2FA di Bitcointalk?

Menurut saya itu untuk menambah lapisan keamanan akun. Jika sebelumnya ketika seseorang mengetahui password dari akun user tertentu, maka dia bisa langsung login; Nah sekarang dengan mengaktifkan fitur 2FA dia mesti meng-input kode acak yang dihasilkan dari 2FA tersebut juga; Jika tidak, maka dia harus melewati fitur Forgot your password? yang mana ini berarti dia juga harus punya akses email user yang akunnya akan diambil alih.

Maka dari itu email yang digunakan untuk registrasi perlu dilengkapi 2FA juga untuk pengamanan tambahan. Dan agar lebih aman lagi untuk antisipasi jika semua lapisan keamanan tersebut bisa dijebol, maka agan perlu stake bitcoin address di Bitcointalk untuk keperluan recovery.

Sepertinya tambahan fitur otp 2FA memang sangat di perlukan untuk menjaga akun kita agar tetap aman dari para hacker karena akan menyulitkan seseorang untuk menembus akun kita jika kita mengaktifkan 2FA. saya pikir langkah yang sudah om jelaskan di thread ini cukup bermanfaat bagi member yang ingin mengaktifkan fitur 2FA. 2FA cukup terbukti untuk bisa mengamankan akun kita karena kode di dalammya sulit di tebak oleh hacker. theymos mampu menghadirkan fitur ini tentu saja sebuah langkah maju bagi para pengguna forum untuk dapat menjaga akun mereka dengan sebaik mungkin. banyak kasus dimana akun di hack dan ini solusi yang cukup tepat untuk semua pengguna untuk mengaktifkan fitur 2Fa. cukup tepat bila mana email yang kita pakai juga di aktifkan fitur 2fa dan tentu keamanannya mungkin sudah masuk 90% cukup aman.

[Husna QA]

-snip-

-snip-
Tapi, om kenapa kode Shared secret nya dibiarkan dapat terlihat untuk umum? bukankah itu code rahasia seperti yang dikatakan om Husna QA pada diskusi ini.[/color]

Bisa jadi lupa atau karena untuk sekedar contoh.
Baiknya memang dibuat samar karena itu termasuk informasi rahasia, dan pada panduan penggunaan diatas saya sudah coba edukasi buat yang lain yang ingin mengaktifkan 2FA agar menyimpan code nya dengan aman.

Sebagaimana yang telah saya coba sebelumnya, kode 2FA bisa di reset ketika mengaktifkan ulang 2FA yang baru. Jadi screenshot yang ditampilkan OP tidak bisa lagi digunakan ketika beliau meresetnya; Dengan kata lain tidak mengapa kalau screenshot kode di OP hanya untuk contoh, bukan untuk digunakan.

[Chikito]

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Mungkin kalau untuk sekedar contoh atau untuk sharing knowledge sih boleh saja, soalnya ketika saya coba barusan, Shared secret (Base32) dan QR Code itu akan berubah atau regenarate yang baru ketika kita refresh page login-nya juga. Ya mudah-mudahan saja OP tidak pakai code yang disharing di atas saja.

By the way untuk seting OTP ini user baru mesti menyelesaikan registrasi terlebih dahulu baru bisa seting OTP, kalau sekalian langsung di regisrasi sih tidak bisa, ya sama kayak registrasi exchange, gambling atau website lainnya.

[Husna QA]

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Mungkin kalau untuk sekedar contoh atau untuk sharing knowledge sih boleh saja, soalnya ketika saya coba barusan, Shared secret (Base32) dan QR Code itu akan berubah atau regenarate yang baru ketika kita refresh page login-nya juga. Ya mudah-mudahan saja OP tidak pakai code yang disharing di atas saja.

By the way untuk seting OTP ini user baru mesti menyelesaikan registrasi terlebih dahulu baru bisa seting OTP, kalau sekalian langsung di regisrasi sih tidak bisa, ya sama kayak registrasi exchange, gambling atau website lainnya.

Ya, postingan tersebut ketika saya belum mencobanya:

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Saya sendiri belum tahu persis apakah code tersebut tetap tidak berubah ataukah bisa berubah-ubah ketika proses aktif-non aktif fitur 2FA sebagaimana fitur 2FA yang biasanya ada di exchange.

Namun setelah mencobanya, code tersebut bisa di-reset: https://bitcointalk.org/index.php?topic=5478851.msg63368620#msg63368620
Dan tepat diatas postingan agan Chikito, saya juga menyatakan ini:

-snip-

-snip-
Tapi, om kenapa kode Shared secret nya dibiarkan dapat terlihat untuk umum? bukankah itu code rahasia seperti yang dikatakan om Husna QA pada diskusi ini.

Bisa jadi lupa atau karena untuk sekedar contoh.
Baiknya memang dibuat samar karena itu termasuk informasi rahasia, dan pada panduan penggunaan diatas saya sudah coba edukasi buat yang lain yang ingin mengaktifkan 2FA agar menyimpan code nya dengan aman.

Sebagaimana yang telah saya coba sebelumnya, kode 2FA bisa di reset ketika mengaktifkan ulang 2FA yang baru. Jadi screenshot yang ditampilkan OP tidak bisa lagi digunakan ketika beliau meresetnya; Dengan kata lain tidak mengapa kalau screenshot kode di OP hanya untuk contoh, bukan untuk digunakan.

[Luzin]

Namun setelah mencobanya, code tersebut bisa di-reset: https://bitcointalk.org/index.php?topic=5478851.msg63368620#msg63368620
Dan tepat diatas postingan agan Chikito, saya juga menyatakan ini:

Ya dulu kayaknya saya sempet pengen kayak OTP gini berlaku di Bitcointalk dan akhirnya ada juga. Sesudah baca ini, tadi malam langsung saya aktifin, coba juga untuk reset atau disable lagi. Semoga bisa meminimalisir pencurian akun. Tapi setelah saya aktifin,ada beberapa fitur yang belum maksimal seperti bisa log out otomatis jika akun itu dibuka di device lain.

[Husna QA]

-snip-

Ya dulu kayaknya saya sempet pengen kayak OTP gini berlaku di Bitcointalk dan akhirnya ada juga. Sesudah baca ini, tadi malam langsung saya aktifin, coba juga untuk reset atau disable lagi. Semoga bisa meminimalisir pencurian akun. Tapi setelah saya aktifin,ada beberapa fitur yang belum maksimal seperti bisa log out otomatis jika akun itu dibuka di device lain.

Apakah akun yang sedang login di device lain tersebut masih settingan lama ketika agan mensetting 2FA pada perangkat yang lain, atau sudah sama-sama login menggunakan OTP pada beberapa device tersebut? Saya belum coba compare lagi dengan login di lebih dari satu device ketika sudah menggunakan 2FA.

Sebelum ada fitur 2FA, ketika login pada dua perangkat atau dua browser berbeda masih bisa dijalankan keduanya, kemudian jika pada salah satunya di logout maka di device yang lain, akunnya ikut logout otomatis juga.

[icalical]

Sempat ngikutin ribut-ributnya di Meta, https://bitcointalk.org/index.php?topic=5457330.msg62449855#msg62449855

Banyak yang menentang juga soalnya pada bilang kalau 2FA tu tambah ribet tapi tambahan keamanannya gak sebanding, tapi kalau menurutku asal ada opsi buat pengguna buat mengaktifkan atau menonaktifkan harusnya udah jadi fitur yang bagus. Kalau yang gak mau ribet dan merasa gak nambah keamanan bisa dimatiin. Kalau memang merasa perlu di pakai.

Kalau aku sih belum nyoba karena selalu pakai perangkat dan jaringan pribadi dan jarang buka website aneh aneh, dan phising. Kalau buat yang sering pakai perangkat umum atau kantor, atau pakai wifi di fasilitas umum mungkin bakal merasa perlu buat pencegahan aja.

Mending ada tapi gak butuh, daripada pas butuh tapi gak ada.

[PytagoraZ]

Ane cukup kaget barusan mau login BTT sekarang sudah ada OTP

Wah udah ada OTP gan? ane belom pernah logout jadi gatau ada ke ginian. Btw OTP kadang-kadang jadi masalah juga kalo lama ga aktif dan lupa nyimpen kunci OTPnya bakalan tiwas ga bisa login. Btw apakah ada alternatif lain saat kita kehilangan OTP? apa sig message bisa juga untuk claim akun saat kondisi seperti ini terjadi?

[Husna QA]

Sempat ngikutin ribut-ributnya di Meta, https://bitcointalk.org/index.php?topic=5457330.msg62449855#msg62449855

Banyak yang menentang juga soalnya pada bilang kalau 2FA tu tambah ribet tapi tambahan keamanannya gak sebanding, tapi kalau menurutku asal ada opsi buat pengguna buat mengaktifkan atau menonaktifkan harusnya udah jadi fitur yang bagus. Kalau yang gak mau ribet dan merasa gak nambah keamanan bisa dimatiin. Kalau memang merasa perlu di pakai.

Kalau aku sih belum nyoba karena selalu pakai perangkat dan jaringan pribadi dan jarang buka website aneh aneh, dan phising. Kalau buat yang sering pakai perangkat umum atau kantor, atau pakai wifi di fasilitas umum mungkin bakal merasa perlu buat pencegahan aja.

Mending ada tapi gak butuh, daripada pas butuh tapi gak ada.

Sederhananya tinggal dimanfaatkan saja fungsi enable/disable 2FA nya. Karena member di Bitcointalk juga beragam, ada yang membutuhkan fitur tersebut ada juga yang tidak.
Dan lagi fitur 2FA ini juga merupakan tambahan pengaman saja; Pengamanan utama akun menurut saya tetap ada pada Bitcoin atau PGP signature yang sebelumnya terasosiasi dengan akun, yang mana salah satu diantaranya merupakan syarat untuk proses recovery akun.

Wah udah ada OTP gan? ane belom pernah logout jadi gatau ada ke ginian. Btw OTP kadang-kadang jadi masalah juga kalo lama ga aktif dan lupa nyimpen kunci OTPnya bakalan tiwas ga bisa login. Btw apakah ada alternatif lain saat kita kehilangan OTP? apa sig message bisa juga untuk claim akun saat kondisi seperti ini terjadi?

Kalau agan kehilangan aplikasi untuk akses kode OTP, alternatifnya bisa menggunakan fitur "Forgot your password?", nantinya ada opsi untuk meremove 2FA; Pastikan agan masih memiliki akses ke email yang digunakan saat registrasi di Bitcointalk.

[Luzin]

Apakah akun yang sedang login di device lain tersebut masih settingan lama ketika agan mensetting 2FA pada perangkat yang lain, atau sudah sama-sama login menggunakan OTP pada beberapa device tersebut? Saya belum coba compare lagi dengan login di lebih dari satu device ketika sudah menggunakan 2FA.

Masih seting lama mungkin om, tapi memang saya semenjak seting belum log out si om, saya pake 2 laptop 1 HP. Ketika saya buka lewat laptop 1nya dan HP masih aja stay login. Saya pikir akan otomatis terseting om.

Sebelum ada fitur 2FA, ketika login pada dua perangkat atau dua browser berbeda masih bisa dijalankan keduanya, kemudian jika pada salah satunya di logout maka di device yang lain, akunnya ikut logout otomatis juga.

Saya malah tidak memperhatikan untuk masalah ini. Tapi mungkin karena saya memakai 3 device dan jarang log out kalau ga pas membersihkan history dan cache.

[Chikito]

ada beberapa fitur yang belum maksimal seperti bisa log out otomatis jika akun itu dibuka di device lain.

Setahu saya fitur tambahan ini hanya untuk 2fa saja, sedangkan untuk logout secara otomatis jika membuka akun di web lain itu tentu akan berbeda lagi update-annya. Namun jika sampeyan cukup risih akan keamanan ini, bisa diseting di browser dengan meng-enable-kan "Clear cookies and site data when you quit the browser", jadi ketika sampeyan tutup browser akan diminta login lagi dengan providing 2fa kembali, hal ini berlaku untuk browser lain jika diaktifkan juga.

Pakai cara logout (opsi husna di atas) setiap selesai nge-forum juga bagus, nanti di setiap browser yang masih terbuka akan terlogout semua. Namun, kalau untuk yang mudah lupa seperti saya ini (langsung main tutup browser saja), ya gak bisa. Jadi, kalau saya, ya pakai opsi dengan men-seting "Clear cookies and site data when you quit the browser" di opsi browser yang saya pakai sekarang.

[blue Snow]

Kalau boleh saran, informasi mengenai Shared secret (Base32) dan QR Code pada screenshot diatas sebaiknya di sensor (dan kalau bisa dihapus di image hosting-nya juga), karena itu termasuk informasi rahasia milik agan.

Terima kasih atas sarannya. Saat ini ane belum mau mencoba dan di Saat bersamaan ane nulis thread ini, ane juga sudah ubah semua detil dan refresh page ke code yang baru untuk mencobanya, namun ane disable lagi, takut report nanti jika login di hp harus buka aplikasi secara bersamaan.

Kalau aku sih belum nyoba karena selalu pakai perangkat dan jaringan pribadi dan jarang buka website aneh aneh, dan phising. Kalau buat yang sering pakai perangkat umum atau kantor, atau pakai wifi di fasilitas umum mungkin bakal merasa perlu buat pencegahan aja.

Ane juga belum nyoba gan, sejauh ini ane merasa aman-aman saja tidak pakai OTP. toh kalau memang bermasalah, ane juga sudah sign message yang bisa ane buktikan kalau akun ane kena hack.

[Luzin]

Setahu saya fitur tambahan ini hanya untuk 2fa saja, sedangkan untuk logout secara otomatis jika membuka akun di web lain itu tentu akan berbeda lagi update-annya. Namun jika sampeyan cukup risih akan keamanan ini, bisa diseting di browser dengan meng-enable-kan "Clear cookies and site data when you quit the browser", jadi ketika sampeyan tutup browser akan diminta login lagi dengan providing 2fa kembali, hal ini berlaku untuk browser lain jika diaktifkan juga.

Ternyata memang ketika kemaren saya belum coba log out salah satu device yang lain masih tetap posisi sig in. Hari ini coba log out salah satu dan coba sig in dengan fitur sudah ada OTP ternyata device lain otomatis log out juga.
 

Pakai cara logout (opsi husna di atas) setiap selesai nge-forum juga bagus, nanti di setiap browser yang masih terbuka akan terlogout semua. Namun, kalau untuk yang mudah lupa seperti saya ini (langsung main tutup browser saja), ya gak bisa. Jadi, kalau saya, ya pakai opsi dengan men-seting "Clear cookies and site data when you quit the browser" di opsi browser yang saya pakai sekarang.

Ya om, selama ini saya fitur clear cookies nya manual saja. Jadi ini mungkin bisa jadi alternatif baru clear otomatis dan untuk keamanan juga.

[bayu7adi]

Ane juga belum nyoba gan, sejauh ini ane merasa aman-aman saja tidak pakai OTP. toh kalau memang bermasalah, ane juga sudah sign message yang bisa ane buktikan kalau akun ane kena hack.

Staking address BTC yang udah di sign dan ter-verified oleh member lain sepertinya jadi kunci keamanan tertinggi disini. Itu artinya meskipun akun kita di retas, dan 2FA nya sudah diaktifkan peretas, kemungkinan kita masih bisa recover akun menggunakan address BTC yang sudah kita sign message.

Buat yang belum sign message bisa ke mari : Stake your Bitcoin address here

Untuk fitur 2FA ini ane lebih menganggapnya sebagai lapisan lain untuk memastikan yang bisa login ke akun kita masing-masing adalah diri kita sendiri (asalkan device yang berisi kode autentifikasinya masih ada ditangan kita). Ane ngerasa ini update yang bagus, karena selama ini ane belum pernah kejadian peretasan akun ane yang udah diaktifkan 2FA nya.

Meski belum mencoba mengaktifkannya hingga tulisan ini ane buat, tapi sepertinya fitur ini bakal ane aktifkan sebelum tahun baru 2024.

[yudi09]

Sejauh ini ane belum mencobanya. Tapi kelihatannya menarik sebagai security tambahan akun forum kita.

selamat mencoba

Penerapan 2FA pada akun bitcointalk sangat berguna. Saya sudah menerapkannya untuk akun saya. Penerapan 2FA ini akan membuat akun kita mendapatkan keamanan ekstra dari kejadian peretasan akun.
Diantara teman yang berpendapat akan merepotkan saat kehilangan shared secret kode (Base 32), menurut saya ini dapat disimpan dengan baik seperti menjaga seed phrase atau private key alamat wallet Bitcoin ditempat yang bisa kita jangkau.

[Husna QA]

-snip-
Diantara teman yang berpendapat akan merepotkan saat kehilangan shared secret kode (Base 32), menurut saya ini dapat disimpan dengan baik seperti menjaga seed phrase atau private key alamat wallet Bitcoin ditempat yang bisa kita jangkau.

Ya bisa juga diperlakukan sama dengan menyimpan private key;
Dan pada aplikasi authenticator-nya juga cari yang sudah support backup*. Jadi ketika kehilangan kode Shared secret ataupun bahkan kehilangan aplikasi authenticator, masih bisa di-restore. Setelah aplikasi 2FA nya pulih, tinggal di disable fitur 2FA di Bitcointalk untuk me-reset dan mendapatkan kembali QR code Share secret yang baru.

*Contoh, Google authenticator juga sekarang sudah dilengkapi fitur backup "Cloud syncing":

[yudi09]

-snip-

Ya bisa juga diperlakukan sama dengan menyimpan private key;
Dan pada aplikasi authenticator-nya juga cari yang sudah support backup*. Jadi ketika kehilangan kode Shared secret ataupun bahkan kehilangan aplikasi authenticator, masih bisa di-restore. Setelah aplikasi 2FA nya pulih, tinggal di disable fitur 2FA di Bitcointalk untuk me-reset dan mendapatkan kembali QR code Share secret yang baru.

*Contoh, Google authenticator juga sekarang sudah dilengkapi fitur backup "Cloud syncing":

Benar. Synchronize dengan akun gmail aktif untuk jaga-jaga ketika lupa diperlukan untuk dilakukan bagi yang belum melakukannya.
Bagi teman yang masih memikirkan kehilangan shared secret kode (Base 32), melakukan sinkronisasi kode 2FA yang sudah terpasang di aplikasi authenticator menjadi pilihan dan alternatif sebelum nanti melakukan langkah yang telah disampaikan menurut saya sudah sangat tepat selain menyimpan kode base32 di tempat yang terjangkau.

[blue Snow]

Benar. Synchronize dengan akun gmail aktif untuk jaga-jaga ketika lupa diperlukan untuk dilakukan bagi yang belum melakukannya.
Bagi teman yang masih memikirkan kehilangan shared secret kode (Base 32), melakukan sinkronisasi kode 2FA yang sudah terpasang di aplikasi authenticator menjadi pilihan dan alternatif sebelum nanti melakukan langkah yang telah disampaikan menurut saya sudah sangat tepat selain menyimpan kode base32 di tempat yang terjangkau.

Kalau ane sampai sekarang masih pakai aplikasi 2fa yang back up-nya pakai nomor telepon (Authy), disamping cukup efektif (bisa digunakan tanpa internet, lewat SMS), Authy juga cukup mudah ketika mau ganti HP atau jika kita kehilangan akses gadget. Sedangkan back up email, kalau di ane jelas tidak bisa, soalnya semua email ane perlu 2fa ketika login, jadi ya nanti jelas bingung kalau back up emailnya pakai gmail, tapi gmailnya pakai 2fa jika nanti hp hilang atau ke reset.

[Husna QA]

-snip- Sedangkan back up email, kalau di ane jelas tidak bisa, soalnya semua email ane perlu 2fa ketika login, jadi ya nanti jelas bingung kalau back up emailnya pakai gmail, tapi gmailnya pakai 2fa jika nanti hp hilang atau ke reset.

Pada pengaturan security gmail setahu saya ada beberapa opsi untuk sign in yang bisa digunakan selain menggunakan authenticator (semisal HP dan nomor SIM Card-nya hilang atau aplikasi 2FA-nya ke reset).



Jadi kalaupun aplikasi Authenticator seperti keluaran Google backupnya ke Google Cloud, sementara akses ke Cloud tersebut tidak bisa karena aplikasi authenticator-nya hilang, maka agan bisa sign in menggunakan cara lain seperti opsi di atas.

Dan mungkin ini juga jadi saran agar pengamanan akun Google nya tidak dibatasi hanya dengan satu 2FA saja, tapi juga ditambahkan dengan opsi sign in/recovery lain.

Intinya 2FA dari akun Bitcointalk bisa di backup entah itu dengan cara menyimpan manual kode Shared secret/QR Code atau otomatis melalui fitur yang disediakan aplikasi authenticator.

[abhiseshakana]

-snip- Sedangkan back up email, kalau di ane jelas tidak bisa, soalnya semua email ane perlu 2fa ketika login, jadi ya nanti jelas bingung kalau back up emailnya pakai gmail, tapi gmailnya pakai 2fa jika nanti hp hilang atau ke reset.

Pada pengaturan security gmail setahu saya ada beberapa opsi untuk sign in yang bisa digunakan selain menggunakan authenticator (semisal HP dan nomor SIM Card-nya hilang atau aplikasi 2FA-nya ke reset).



Jadi kalaupun aplikasi Authenticator seperti keluaran Google backupnya ke Google Cloud, sementara akses ke Cloud tersebut tidak bisa karena aplikasi authenticator-nya hilang, maka agan bisa sign in menggunakan cara lain seperti opsi di atas.

Dan mungkin ini juga jadi saran agar pengamanan akun Google nya tidak dibatasi hanya dengan satu 2FA saja, tapi juga ditambahkan dengan opsi sign in/recovery lain.

Kalo memang hanya menggunakan 1 device saja (smartphone) memang agak riskan menyimpan semua data-data penting termasuk back-up email dan 2FA dalam device tersebut. Kekhawatiran paling utama adalah kehilangan atau rusak. Untuk pengamanan ekstra saran dari agan Husna saya kira cukup efektif untuk mengantisipasi hal-hal yang tidak diinginkan, namun kalo agan memiliki PC ada baiknya juga menyimpan back-up pada PC tersebut. Selain itu agan juga bisa meng-install 2FA App pada PC sebagai opsi alternatif (Contoh : https://chromewebstore.google.com/search/Authenticator)

[TopT3ns]

-snip-

~Snip

Kalo memang hanya menggunakan 1 device saja (smartphone) memang agak riskan menyimpan semua data-data penting termasuk back-up email dan 2FA dalam device tersebut. Kekhawatiran paling utama adalah kehilangan atau rusak. Untuk pengamanan ekstra saran dari agan Husna saya kira cukup efektif untuk mengantisipasi hal-hal yang tidak diinginkan, namun kalo agan memiliki PC ada baiknya juga menyimpan back-up pada PC tersebut. Selain itu agan juga bisa meng-install 2FA App pada PC sebagai opsi alternatif (Contoh : https://chromewebstore.google.com/search/Authenticator)

Sepertinya namanya file digital pasti akan rentan terhadap virus atau mungkin juga ketika instal ulang dan lain sebagainya yang menyebabkan file tersebut hilang, karena sejauh ini PC terkadang masih bisa di tembus dengan mudah tanpa sepengetahuan pemiliknya, saya lebih menyarankan untuk mencetak lalu di laminasi dan di simpan jadi satu di tempat penyimpanan berharga seperti sertifikat dan lainnya, memang cara ini sangat kuno namun cukup efektif ketika kejahatan digital lebih tinggi dan mudah menyerang dan saya lebih menyukai cara ini karena lebih simple dan tentu saja ketika ada sesuatu yang terjadi kepada kita maka orang terdekat kita masih bisa akses dan paham dengan cara menggunakannya, Percaya tidak percaya banyak aset yang di simpan dalam bentuk digital setelah pemiliknya meninggal tidak ada yang bisa akses dan akhirnya aset tersebut tidak bisa digunakan sama sekali.

[Husna QA]

-snip-

Sepertinya namanya file digital pasti akan rentan terhadap virus atau mungkin juga ketika instal ulang dan lain sebagainya yang menyebabkan file tersebut hilang, karena sejauh ini PC terkadang masih bisa di tembus dengan mudah tanpa sepengetahuan pemiliknya, saya lebih menyarankan untuk mencetak lalu di laminasi dan di simpan jadi satu di tempat penyimpanan berharga seperti sertifikat dan lainnya, memang cara ini sangat kuno namun cukup efektif ketika kejahatan digital lebih tinggi dan mudah menyerang dan saya lebih menyukai cara ini karena lebih simple dan tentu saja ketika ada sesuatu yang terjadi kepada kita maka orang terdekat kita masih bisa akses dan paham dengan cara menggunakannya, Percaya tidak percaya banyak aset yang di simpan dalam bentuk digital setelah pemiliknya meninggal tidak ada yang bisa akses dan akhirnya aset tersebut tidak bisa digunakan sama sekali.

Perihal pilihan metode penyimpanan backup mana yang sekiranya lebih aman, entah itu menggunakan media elektronik dalam bentuk file digital ataupun manual, menurut opini saya bahasannya sudah lebih spesifik dari tema thread ini yang lebih ke fitur baru berupa 2FA di akun Bitcointalk.

Oh ya, Shared secret/QR code yang tertera di settingan profile akun Bitcointalk bisa berganti ketika page website di reload/refresh. Jadi jika OP belum mengaktifkan fitur 2FA, maka screenshot kode yang ada di post pertama bisa diganti ketika browser di refresh, dengan kata lain kode yang tertera tersebut sudah tidak berlaku.

[erep]

-snip- Sedangkan back up email, kalau di ane jelas tidak bisa, soalnya semua email ane perlu 2fa ketika login, jadi ya nanti jelas bingung kalau back up emailnya pakai gmail, tapi gmailnya pakai 2fa jika nanti hp hilang atau ke reset.

Pada pengaturan security gmail setahu saya ada beberapa opsi untuk sign in yang bisa digunakan selain menggunakan authenticator (semisal HP dan nomor SIM Card-nya hilang atau aplikasi 2FA-nya ke reset).

Jadi kalaupun aplikasi Authenticator seperti keluaran Google backupnya ke Google Cloud, sementara akses ke Cloud tersebut tidak bisa karena aplikasi authenticator-nya hilang, maka agan bisa sign in menggunakan cara lain seperti opsi di atas.

Dan mungkin ini juga jadi saran agar pengamanan akun Google nya tidak dibatasi hanya dengan satu 2FA saja, tapi juga ditambahkan dengan opsi sign in/recovery

Dari beberapa solusi yang telah dijelaskan agan @Husna di atas, solusi paling efektif menurut saya yaitu recovery menggunakan email/akun utama yang tidak status login di device manapun karena penggunaan email tersebut hanya diprioritaskan untuk segala pemulihan gmail, jadi jika terjadi kasus diatas seperti kehilangan hp, simcard hilang, 2FA kode private tidak tersimpan secara manual serta tidak ada file digital tersimpan pada PC maka dapat dipulihkan menggunakan dengan cara recovery email ke akun utama. Saya pernah mengalami hal yang sama beberapa tahun lalu karena ponsel lama saya hilang dan menyebabkan kehilangan semua data, tapi setelah saya melakukan recovery dengan email pemulihan maka semua data saya telah kembali, tapi dengan catatan semua data harus tersinkron otomatis ke backup seperti data 2FA, data chrome (pass, bookmark, history) dan data lainnya.

[yudi09]

Benar. Synchronize dengan akun gmail aktif untuk jaga-jaga ketika lupa diperlukan untuk dilakukan bagi yang belum melakukannya.
Bagi teman yang masih memikirkan kehilangan shared secret kode (Base 32), melakukan sinkronisasi kode 2FA yang sudah terpasang di aplikasi authenticator menjadi pilihan dan alternatif sebelum nanti melakukan langkah yang telah disampaikan menurut saya sudah sangat tepat selain menyimpan kode base32 di tempat yang terjangkau.

Kalau ane sampai sekarang masih pakai aplikasi 2fa yang back up-nya pakai nomor telepon (Authy), disamping cukup efektif (bisa digunakan tanpa internet, lewat SMS), Authy juga cukup mudah ketika mau ganti HP atau jika kita kehilangan akses gadget. Sedangkan back up email, kalau di ane jelas tidak bisa, soalnya semua email ane perlu 2fa ketika login, jadi ya nanti jelas bingung kalau back up emailnya pakai gmail, tapi gmailnya pakai 2fa jika nanti hp hilang atau ke reset.

Tidak masalah juga sih gan jika mau backup 2FA pakai nomor telepon bila masih bisa dioperasikan dengan cara yang efektif. Mau backup menggunakan email juga efektif. Dapat disimpulkan keduanya punya kelebihan dan kekurangan, tergantung pada kita yang menggunakan yang mana antara keduanya.

Kalau ane pribadi lebih efektif backup pakai email meski ada koneksi internet dengan penjelasan yang sulit untuk ane jelaskan, tapi pada intinya nyaman pakai email ketimbang nomor hape.

Kalau ane katakan pengguna yang backupnya pakek nomor telepon, versi ane kekurangannya terletak saat lupa isi ulang pulsa secara rutin bisa tidak dapat digunakan lagi itu kartu. Ane akui kebiasaan kita yang sering online dengan koneksi wifi.
Kembali lagi bagaimana nyaman kita saja dalam memilih keduanya.

[Husna QA]

Dari beberapa solusi yang telah dijelaskan agan @Husna di atas, solusi paling efektif menurut saya yaitu recovery menggunakan email/akun utama yang tidak status login di device manapun karena penggunaan email tersebut hanya diprioritaskan untuk segala pemulihan gmail, jadi jika terjadi kasus diatas seperti kehilangan hp, simcard hilang, 2FA kode private tidak tersimpan secara manual serta tidak ada file digital tersimpan pada PC maka dapat dipulihkan menggunakan dengan cara recovery email ke akun utama. Saya pernah mengalami hal yang sama beberapa tahun lalu karena ponsel lama saya hilang dan menyebabkan kehilangan semua data, tapi setelah saya melakukan recovery dengan email pemulihan maka semua data saya telah kembali, tapi dengan catatan semua data harus tersinkron otomatis ke backup seperti data 2FA, data chrome (pass, bookmark, history) dan data lainnya.

Nah, cara yang digunakan agan erep di atas saya kira bisa dilakukan dengan menggunakan satu email utama untuk proses recovery dari email lainnya.
Saya juga menggunakan email utama untuk recovery namun email tersebut juga digunakan untuk daftar ke berbagai situs website; Sebaiknya seperti diatas tidak digunakan untuk sign up di aplikasi lain.

Namun perlu sedikit menjadi catatan terutama untuk pengguna GMail, harus rajin-rajin dibuka; Karena setahu saya beberapa waktu lalu ada kebijakan penghapusan akun yang tidak aktif selama kurun waktu tertentu.

Btw, untuk aplikasi authenticator, saya pribadi menggunakan Authy (utama) karena selain di versi mobile ada juga versi desktop-nya dan Google Authenticator (alternatif).

Untuk akun Bitcointalk barusan sudah saya setting enable fitur 2FA melalui PC (pada test sebelumnya sudah di disable sehingga kali ini menggunakan code yang baru); Dan sebagaimana yang disebutkan sebelumnya maka status login akun pada perangkat lain menjadi otomatis logout.

[merekamo]

Fitur yang sangat membantu sekali saya rasa agar ke depan tidak ada lagi kasus hack akun, cuman untuk OTP 2FA apakah bisa direset via email jika nantinya Hp yang kita gunakan hilang akses dengan 2FA. Banyak hal yang perlu dipersiapkan bagi siapapun yang ingin mencoba fitur ini dan pastikan harus benar-benar menyimpan semua data back up nya karena belum ada rule atau solusi saat applokasi 2FA kereset apakah bisa mencoba via fitur email atau tidak?

Biasanya di exchange market baik lokal ataupun luar saat fiture akses 2FA hilang kita diwajibkan untuk sinkron data dengan cara melakukan KYC ulang, apakah ada update sekaligus dengan pengumuman 2FA dan cara mengatasinya jika suatu saat nanti akses ke aplikasi 2FA yang kita gunakan hilang baik aplikasinya terhapus atau Hp rusak.

Bener memang 2fa itu terutama di exchange bagus buat security. Apalagi untuk akun btt, mungkin ada banyak kasus hack akun. Tapi buat saya saya fitur ini tidak perlu juga karena cukup dengan email dan kalaupun saya pasang contoh kasus hape mati bisa recovery lewat email mungkin. Karena pada pemakaian pun kadang saya sering pake lewat hape juga buat postingan. Yang penting emailnya akun jangan dipakai buat yang lain cukup buat akun forum aja, jadi aman. 

[yudi09]

-snip- ... Tapi buat saya saya fitur ini tidak perlu juga karena cukup dengan email dan kalaupun saya pasang contoh kasus hape mati bisa recovery lewat email mungkin. Karena pada pemakaian pun kadang saya sering pake lewat hape juga buat postingan. Yang penting emailnya akun jangan dipakai buat yang lain cukup buat akun forum aja, jadi aman. 

Saya menganggap tingkat keamanan yang lebih pada akun bitcointalk sangat penting implementasinya gan. 2FA pada akun bitcointalk diakui sangat penting oleh mayoritas bitcoiner forum dengan pengetahuan yang lebih mumpuni dibandingkan agan dan saya.
Menyamakan kegunaan 2FA pada exchage dengan 2FA pada akun bitcointalk rasanya beda menurut saya.

Melakukan recovery lewat email bisa tapi peduli apa pihak exchange dengan keamaan akun pengguna.
Keamanan terletak pada kita masing-masing sih dalam menjaganya, tapi tidak boleh disepelekan juga termasuk keamanan akun bitcointalk.