# Jumlah yang Melihat Tulisan Ini : 6088

Google-2-step-verificationBerapa harga sebuah kerepotan kecil dibandingkan dengan manfaatnya demi keamanan (data) kita di Internet ? Internet tentu luas sekali, tapi saya hanya akan memfokuskan pada layanan yang diberikan oleh Google. Saya jadi terfokus pada hal ini setelah membaca sebuah cerita curhat seorang penulis senior di wired.com, Mat Honan. Tragis sekali. Semua “kehidupan digital”nya, seperti diistilahkan olehnya, jadi hancur. Data hilang, foto-foto di iCloud dihapus, akun Gmail tidak bisa dibuka, dan sebagainya.

Ada beberapa hal yang penting dipelajari semua orang dari kasus itu. Salah satunya adalah tentang Two-Step Verification pada layanan Google. Terus terang, saya baru tahu ini setelah membaca kasus itu. Saya tidak mau ini terjadi pada saya, juga pada siapapun. Oleh karena itu saya mencoba menuliskannya di sini.

Secara default, ketika kita menggunakan (salah satu) layanan Google – Gmail, misalnya – kita hanya diberi satu cara verifikasi bahwa akun itu adalah benar milik kita. Caranya tentu saja adalah dengan memasukkan username dan password. Dengan Two-Step Verification, kita diberi satu lapis security lagi, yaitu dengan menggunakan verifikasi kode yang dikirimkan ke telpon kita (yang saya pilih adalah dalam bentuk SMS).

trustedApakah ini akan harus kita lakukan lagi berulang-ulang ketika kita akan menggunakan layanan Gmail (yang saya contohkan di sini Gmail, tapi bisa berlaku untuk yang lain seperti Youtube, Google Docs, Plus, Maps, dan lain-lain). Tentu tidak. Sekali kita memverifikasi bahwa sebuah perangkat komputer itu memang milik kita dan kita akan benar-benar menggunakannya (diistilahkan dengan Trusted Computers), maka selanjutnya kita tidak perlu lagi melakukan itu selama 30 hari. Yang saya alami: cukup memasukkan username dan password saja. Karena Google menerapkan sistem Single-Sign-On, maka sekali kita Signed-On di Gmail, misalnya, kita juga akan langsung Signed-On juga di Youtube, Google Docs, dsb. Tentu saja asumsinya kita masih menggunakan browser yang sama.

Ketika kita menggunakan perangkat (atau software) lain lagi untuk mengakses email kita di Gmail, maka kita harus memasukkan password lain yang spesifik, yang di-generate oleh sebuah halaman khusus pada akun kita di Google. Misalnya saya yang biasanya membuka email melalui browser di komputer, akan mengecek email, maka email itu cukup dibuka dengan username dan password secara biasa. Sebelumnya, untuk sekali saja di awal kita akan diminta memasukkan nomor HP dan masuk ke sebuah halaman yang akan mengirimkan SMS ke HP kita. SMS itu berisi kode yang harus dimasukkan ke sebuah halaman tertentu untuk verifikasi. Kalau verifikasi lancar, maka kita bisa masuk ke Gmail kita. Nah, tapi saya juga mau mengecek email itu melalui Blackberry, maka password lama di Blackberry itu akan jadi tidak berlaku. Kita harus masuk ke sebuah halaman tertentu dan meng-generate password baru yang kita tandai/namai khusus password untuk Blackberry tersebut. Demikian pula halnya bila kita mengecek email melalui tablet, atau komputer / laptop lain, bahkan bila kita menggunakan software pengelola email, seperti Outlook Express atau Outlook (password khusus di software ini disebut application-specific password). Intinya, untuk setiap cara akses ke akun Google dengan cara yang berbeda dengan yang biasanya, dalam pengertian perangkat atau software yang digunakan, dituntut sebuah password yang spesifik, dan itu diperantarai oleh mekanisme verifikasi melalui telpon genggam.

Jelas yang langsung terbayang adalah: repot! Tapi kembali lagi dengan yang saya tulis di awal: berapa harga kerepotan itu dibanding kepentingannya ? Kadang mengecek email atau menggunakan akun pada layanan tertentu sudah sedemikian kasualnya, sehingga kita lupa untuk cermat, lupa untuk berhati-hati soal keamanannya. Dengan cara seperti itu, bila seseorang mencoba untuk membongkar password akun kita, dia tidak cukup hanya menggunakan mekanisme pengingat standard apapun yang disediakan di web (seperti nama orang tua, nama guru favorit, atau menebak digit yang kosong, atau jawaban dari pertanyaan yang kita buat sendiri. Si pembajak itu akan harus punya akses ke telpon genggam kita.

-> Ketika menulis sampai di sini, saya twitting begini : “Two-Step Verification-nya Google punya flaw juga, .. yaitu kalo HP kita hilang. Sekarang pertanyaannya, kalau HP hilang harus gimana ???” – Saya jadi terpikir betapa pentingnya telpon genggam kita. Kalau itu hilang, dan si penemu bisa tahu bahwa kita menggunakan akun Google, dan nomor telpon di situ adalah yang direferensikan pada akun tersebut, maka habislah sudah!! Tapi seorang teman dengan akun @ganagus mereply : “pakai pasca bayar Pak.. HP hilang nomor bisa di-restore kembali oleh operator..” Ah, ini pun saya baru tahu kalau bisa seperti itu!

Saya tanya itu sebelum saya melihat video penjelasan resmi dari Google tentang ini. Ternyata kalau telpon genggam kita hilang, kita bisa mengupayakan prosedur kehati-hatian lain melalui mencatat secara manual kode verifikasi yang ada atau memasukkan lebih dari satu nomor telpon. Ini videonya :

Penjelasan resmi Google tentang Two-Step Verification

OK. Jadi demikian gambarannya. Daripada saya harus menjelaskannya per langkah, silahkan tonton video di atas ini. Sangat mudah.

Bagikan pada media sosial :