Bayangkan rumah dengan dua kunci di pintu yang sama. Maling yang berhasil menyalin satu kunci tetap tidak bisa masuk, karena masih ada satu kunci lagi yang dia tidak punya. Verifikasi dua langkah bekerja persis seperti itu untuk akunmu.
Dengan password saja, satu kebocoran sudah cukup untuk membobol akun. Dengan verifikasi dua langkah, password yang bocor belum cukup. Penyerang masih butuh satu hal lagi yang ada di tanganmu, dan biasanya di situ usahanya berhenti.
Verifikasi dua langkah, sering disingkat 2FA, adalah lapisan keamanan tambahan saat login. Setelah memasukkan password, kamu diminta membuktikan identitas sekali lagi lewat sesuatu yang cuma kamu yang punya.
Bentuknya bisa beberapa macam. Yang paling umum adalah kode yang dikirim ke nomor HP-mu. Ada juga kode dari aplikasi authenticator yang berganti setiap beberapa detik, dan ada kunci fisik yang ditancapkan ke perangkat. Intinya sama: login butuh dua hal, bukan satu.
Password punya kelemahan mendasar. Ia bisa ditebak, bisa bocor lewat situs lain yang kebobolan, atau bisa kamu ketik tanpa sadar di situs palsu. Begitu password ada di tangan orang lain, akunmu terbuka lebar.
Di sinilah verifikasi dua langkah jadi penyelamat. Walau password sudah jatuh ke tangan yang salah, penyerang tetap berhenti di langkah kedua karena dia tidak pegang HP-mu. Banyak upaya pembobolan gagal persis di titik ini, dan korbannya bahkan tidak pernah tahu kalau passwordnya sebenarnya sudah bocor.
Kalau cuma sempat mengamankan satu akun, dahulukan email. Email adalah pintu untuk mereset password akun lain. Begitu email aman, akun-akun yang tersambung ke email itu ikut lebih terlindungi.
Langkahnya mirip di hampir semua layanan, walau nama menunya beda-beda. Begini gambaran umumnya:
Soal kode cadangan, ini sering dilupakan tapi penting. Kode cadangan dipakai kalau kamu kehilangan akses ke HP, misalnya hilang atau ganti nomor. Simpan di tempat yang aman dan tidak online, supaya kamu tidak terkunci dari akunmu sendiri.
Kalau ada pilihan, aplikasi authenticator lebih disarankan daripada SMS. Kode lewat SMS masih bisa dicegat lewat trik pengambilalihan nomor, sementara kode dari aplikasi tersimpan di perangkatmu dan tidak lewat jaringan seluler.
Tapi jangan jadikan ini alasan untuk menunda. Verifikasi lewat SMS tetap jauh lebih baik daripada tidak ada lapisan kedua sama sekali. Yang penting kamu menyalakannya hari ini, dan bisa meningkatkan metodenya nanti.
Verifikasi dua langkah mungkin terasa sedikit merepotkan di awal, butuh beberapa detik tambahan tiap login. Tapi detik-detik itu yang menutup celah paling sering dipakai untuk membobol akun. Sebuah pertukaran yang sangat sepadan.