Topic: [Diskusi] Pencurian Kode Aplikasi Google Authenticator (Read 1045 times)

Namun jika ada penambahan aplikasi baru misalkan exchange harus disinkronkan kembali secara online untuk backup data, jika tidak maka jika terjadi sesuatu akan hilang.

Saya kurang ngeh apa maksudnya ke orang tua?.

Kedepan bounty hunter tidak memakai email utama lagi, harus dikhususkan atau bikin email baru hanya untuk bounty dan airdrop.

Kebanyakan phising karena meail mereka tercantum di form saat ikut airdrop atau bounty, bahkan beberapa bounty email peserta terpampang secara jelas di spreadsheet sehingga scammer mengirim link tertentu kadang mirip form untuk mendapatkan koin, namun jika sudah berpengalaman pasti akan tau mana link fake atau bukan soalnya banyak situs sekarang yang mengirim link fake untuk mengambil data kita.

Kejadian-kejadian seperti Phising itu biasanya terjadi karena sembarangan nyelonong masuk site om, sudah lama saya observasi kenapa banyak orang terkena hal-hal illegal seperti ini yaa karena itu, terutama dengan orangtua... oleh karenanya perlu untuk cek link sebelum melanjutkan aksi...

Malah sangat bagus jika hp dibuat jadi offline karena kebanyakan hp yang terkena virus akibat koneksi internet dan membuka situs yang tidak aman, mungkin bisa dicoba trik seperti ini apalagi untuk instal aplikasi authy bisa hp kentang sudah cukup tidak harus hp yang berspesifikasi tinggi, ntar tak coba instal aplikasi di hp tablet saya kebetulan tidak dipakek untuk akses internet biar aplikasi authy lebih aman ke depannya.

Saya punya hape khusus hanya untuk authy 2fa, offline alias tidak pernah online karena memang tidak saya insert kartu SIM dan dalam mode pesawat. terus terang itu hape model lama dari pada enggak kepake. Ya tapi gak sepenuhnya offline, untuk download dan register authy, musti online. setelah terdowload lalu menyetel authy, scan aplikasi yg ingin dipake 2fa setelah tersinkron lalu offline-kan selamanya.

Untuk hape lama. Pertama, kembalikan dulu kesetelan pabrik alias reset ulang, setelah itu download authy dan jangan lupa backup pake nomor hape.

Lebih aman lagi kalau hp yang dipakek untuk authikasi jangan digunakan untuk gabung dalam airdrop, apalagi airdrop saat ini instal aplikasi tertentu karena sangat riskan dan rawan terkena virus, lebih baik pisahkan atau gunakan hp dengan spek biasa saja untuk authikasi karen jauh lebih penting bagaimana menjaga asset dalam setiap akun exchange market kita, mending untuk gabung airdrop ada hp tertentu dan hanya dipakek saat join airdrop saja tidak untuk yang lain.

Kalau 2FA sudah sampai kebobol seperti itu, asumsi saya berarti device yang om gunakan untuk mengakses aplikasi authenticator-nya sudah terkena juga semacam virus atau backdoor. Sebaiknya gunakan proteksi tambahan pada device tersebut semisal kalau di smartphone dengan menambahkan antivirus, atau mungkin lebih amannya di reinstall OS nya. Dan kalau memungkinkan ganti dengan device lain yang masih steril, atau ganti SIM Card jika 2FA nya menggunakan metode SMS.

Itu kebobol gan . ini saya sampe komplain di support binance. kebobolan bulan agustus tahun kemarin. Aset disana lumayan saat itu . untungnya akun langsung di Frozen. 2FA sampai kebobol. Untuk binance saya dahulu di suruh melakukan Verivikasi berbagai macam. Deposit awal. Screenshoor trasaksi dari Wallet bahkan saya harus nembuat vidio memegang kertas sebagai bukti Kepemilikan akun. karena saat itu Hacker juga sama sama mengirim Support ke binance. https://imgur.com/a/T42RVRC Proses saya waktu itu sampai 1 minggu hingga akun itu bisa kembali

sangat aman gan, saya sudah 3 tahun menggunakan google authenticator dan hampir semua platform, mulai dari extensi chrome, website, bahkan aplikasi semuanya pernah saya gunakan untuk aplikasi authicator, selama penggunaan saya tidak pernah sama sekali terkena serangan bahkan sangat aman pernah ada yang mencoba membuka wallet saya disebuah exchange, berkat authenticator aset saya terselamatkan.

Ya dah saya bilang di post atas 2x, kalau sudah verify email baru deh ada opsi 2fa, tidak serta merta berbarengan gitu.

---

Selagi email dan 2fa masih aman saya rasa oknum tersebut cuma tahu password exchange kalian, dalam keadaan ini pengguna harus ganti password atau tarik aset secepatnya.

saya juga gak begitu paham, apa hitbtc juga bisa mereset hardware 2fa, jika pakai yubikey atau nano s?

Nampaknya tidak semua user mendapatkan notifikasi tersebut. Saya punya akun juga di HitBTC sedari Agustus 2020 lalu dan bahkan fitur 2FA dari HitBTC-nya belum saya aktifkan sama sekali hingga saat ini, namun belum pernah mendapatkan notifikasi login dari perangkat yang tidak saya kenali.

Hitbtc sangat sering saya mendapatkan infornasi login, setelah saya cek alamat emailnya juga bukan email phishing tapi email resmi dari mereka. Entahlah apakah mereka beneran login beneran atau tidak.

 Jika mereka beneran login, maka harus hati-hati dengan exchange tersebut. karena bukan hal mustahil bagi mereka memindai aset dalam akun kita

Jadi bagaimana menurut agan apakah pertukaran HitBtc ini aman? ane juga pernah beberapa kali menerima notif email dari HitBtc akun tersebut masuk dengan IP luar kadang menggunakan Mozilla ada detail nya di email padahal saya sudah pasang 2FA.
Dari semenjak itu ane tidak pernah menggunakan Hitbtc hanya sesekali mengecek saja.

Ini adalah satu lagi exchange Coinsbit yang selalu ada notif setiap minggu nya padahal tidak pernah masuk ke Coinsbit tapi ada saja email yang datang dengan notif tersebut.

Tapi bagi ane kalau di exchange besar aman aman aja.

La terus yang di Binance itu gimana? Agan ganti password loginnya? Emangnya ketiga exchange ini email dan passnya sama semua?

Ane jadi agak bingung dengan alur ceritanya. Singkatnya berarti pernah ada notif login di ketiga exchange tersebut meskipun agan aktifin 2FA, atau?

ya  saya rasa sudah jelas kalau emailmu tidak kena hack, tapi akun hitbtc/exchange yang kena dibobol. karena notif di emailmu dijelaskan kalau akun exchange kamu yang diakses, bukan notif email yang diakses bukan?. dan tidak peduli juga kamu pakai 2fa berlapis di email jika 2fa di exchange enggak dipake, ya tetap aja bobol.


Cek melalui task manager > periksa jika ada program yang mencurigakan, misalkan dengan memakai cpu, memori, network atau GPU yang tinggi selagi memang tidak kamu gunakan.

Atau windows+R ketik msconfig > klik startup dan lihat program apa yang running di awal.

Buat pembelajaran gan, Saya sendiri juga pernah mengalami seperti yang agan alami. Saat dahulu saya memang menyepelekan 2FA . Hitbtc yang sering dapat notifikasi akses masuk. untungnya waktu itu tidak ada aset di dalam Account saya. Walaupun Withdraw di sana membutuhkan confirm email namun kalau sampai mampu login bahaya menurut saya. Email/PC sudah terkena keylogger juga bisa jadi

Fitur 2FA yang disediakan penyedia layanan email sebaiknya memang diaktifkan untuk meminimalisir bobolnya password.
Dan perangkat yang digunakan untuk akses 2FA juga mesti dilindungi dan dibackup juga, berjaga dari orang lain mengakses ke authenticator app atau bahkan SIM swapping semisal dikarenakan HP nya hilang, dll.

Ada beberapa cara untuk mengetahui apakah email sudah pernah terkena Data breaches, antara lain bisa di-cek melalui website berikut:
https://monitor.firefox.com/
https://www.avast.com/hackcheck

om tinggal isi email address untuk mengecek breaches.

Saya pribadi menggunakan Antivirus Bitdefender di smartphone, disana tersedia juga fitur untuk mengeceknya di Account Privacy; Dan salah satu email saya terkena data breaches pada Desember 2020 lalu antara lain pada kasus pencurian data konsumen di Ledger (25 Juni 2020).

Terimakasih untuk saranya. Saya sendiri kurang paham mengenai apakah email saya terbobol atau tidak , karena di email sudah saya buat 2FA , Setiap ada yang mengakses login email harus menggunakan SMS.
Sekarang sudah saya tinggalkan untuk exchange Hitbtc,Yobit karena resiko bagi saya . Untungnya dahulu aset tidak hilang. Ip nya saya lihat pun dahulu di Hitbtc dari orang luar yang mencoba mengakses masuk.

Sebelum menyimpulkan masalahnya di 2FA, mungkin dicek dulu masalah phishing seperti yang disebutin di atas, atau tanya ke HitBTC sendiri. Menurut ane kemungkinan hacker membobol e-mail dan akun HitBTC agan lebih besar daripada ngebruteforce kode 2FA, atau bisa jadi secret key agan emang udah keambil duluan.

Melihat exchange" lain yang sering agan gunain juga pada dapet notif login, ane sih lebih merasa akun e-mail agan udah diretas, atau hacker meretas password agan dari situs lain (lewat database yang ke leak misalnya). Mending cek e-mail agan dan akun" sensitif lainnya dari awal.

Setahu saya, ketika login memang akan mendapatkan notif email jika berbeda IP dari sebelumnya, itu bukan berarti hacker tersebut sudah masuk, tentu saja dia belum masuk jika tidak diklik link di email tersebut. walaupun hacker tersebut bisa masuk, misalkan memiliki akses email kamu, dia juga akan terhalang masuk oleh 2Fa yang kamu pasang.

Pendapat saya hal itu tidak perlu, buat apa ganti 2Fa tiap minggu?, mending rutinkan saja ganti password, karena hacker telah mengetahui itu.

Akses ke 2fa ataupun backupnya itu sendiri apa ada yang meretas juga atau baru sampai ke email akun dan password om di exchange tersebut saja yang berhasil diretas sehingga dapat notifikasi ketika ada yang berusaha login?

Oh ya.. di komputernya sudah terpasang antivirus kah? Kalau misal sudah, dan ternyata ada kasus sampai om mendapat beberapa notifikasi bahkan dari beberapa akun exchange seperti itu... saran saya sebaiknya om lakukan clean install OS nya berjaga-jaga dari kemungkinan sudah masuknya virus, malware, dsm yang bisa saja bersumber dari flashdisk atau media lain dan tidak terdeteksi antivirus tersebut.

Pernah mengalami di Exchange Hitbtc tiba tiba dapat notif Email login padahal saat itu saya sudah pasang 2Fa di account. 3 X saya pernah kejadian dan semua itu setelah saya cek tanggal. kurang lebih 2 Tahun setelah Backup 2fa saya pasang ada yang berhasil masuk. Secara PC yang saya gunakan jarang buka situs yang menjuru ke Phising/Download File sembarangan. Sekarang lebih rutin 2Fa setiap minggu saya ganti.

Binance, Hitbtc,Yobit tiga exchange yang pernah dapat notif login.

makasih bang atas informasinya, dengan adanya ini saya bisa mengetahui dan memahami google authenticator lebih detail sampai ada pencurian kode aplikasi. sehingga saya bisa berhati-hati dalam menggunakan google authenticator.

Masuk ke Settings --> Accounts --> Backups
Di atas sebenarnya sudah saya cantumkan link singkatnya. Berikut ini link lainnya yang lebih detail lagi perihal cara backup dan restore Authy Keys:
https://authy.com/blog/how-the-authy-two-factor-backups-work/

Cloud storage yang dijadikan untuk backup tersebut adalah cloud yang disediakan Authy, saya tidak melihat ada opsi layanan cloud lainnya.
Pastikan mengaktifkan password untuk meng-encrypt data backup dan pastikan juga jangan sampai kehilangan akses password tersebut.

Untuk trik ini ada caranya atau link ke tentang step by stepnya gk ya? soalnya selama ini saya hanya back up di hp lain, mungkin kalau bisa back di cloud kan lebih mudah bahkan tidak butuh hp satu lagi untuk jaga2 jika terjadi sesuatu dengan hp yang satu lainnya.

Untuk Authy sebenarnya ada juga fitur Authenticator backup (ada opsi untuk meng-encrypt nya juga) yang disimpan di cloud untuk berjaga-jaga jika sekiranya device/hp yang terinstall authy tersebut hilang; dan backup data yang di encrypt tersebut hanya bisa di decrypt di device dengan menggunakan password yang dibuat sebelumnya.
https://authy.com/features/backup/

btw, saya juga menggunakan Authy namun versi desktop.
Note: sebaiknya diberikan pengamanan ekstra semisal anti-virus/anti-spyware di device yang tersimpan aplikasi Authenticator ini, baik untuk versi desktop ataupun versi smartphone.

Kayaknya ada sih google authicator versi PC atau lebih tepatnya add on di chrome, saya pernah lihat beberapa teman menggunakan good authicator versi ini. Tetapi saya lebih sering menggunakan authy versi android cuman untuk jaga2 saya lakukan back up di hp yang lain satu lagi, jika terjadi apa2 dengan hp yang satu masih ada kesempatan di hp yang satu lain lagi, mungkin teman - teman bisa mencoba jika hanya memiliki satu hp saja bisa di back up di hp orang tua atau hp saudara karena takutnya jika tidak di back up hp rusak atau hilang susah untuk recovery authy.

Nah jadi gini nih agan-agan!. Walaupun sudah di lengkapi dengan 2FA (Google Authenticator) sebaiknya lebih berhati-hati lagi karena pencurian akun bisa lewat apa saja, terkadang kita lalai dalam suatu hal dan membuat celah si pencuri tersebut.

Saya pengguna 2FA tapi bukan GA.
Apakah benar? Benar dalam hal apa om? Kalau "masalah uninstal" saya membaca sepintas di atas om bukan Gunakan GA dari google mungkin ini baik karena secara aplikasi GA yang om instal kredibilitasnya belum banyak ulasan jadi mungkin bisa lebih berbahaya. Kalau saya segera setel ulang lagi GA baru,yang banyak digunakan kayaknya Authy dan GA. Masihkah aman? Saya sendiri selama menggunkan aman-aman saja, dan proteksi selanjutnya agan lebih hati-hati sudah dijelaskan alasannya sama om senior diatas.

Sederhananya, address tempat menyimpan aset kripto itu ibarat gembok, nah private key itu ibarat anak kunci yang digunakan untuk bisa membukanya.
Password maupun Authenticator yang digunakan untuk bisa mengakses akun di exchanger bukanlah jaminan bahwa asset yang agan 'titipkan' disana sepenuhnya aman.

Agar diskusi tidak semakin melebar dari tema thread, berikut ini beberapa referensi yang mungkin bisa dipelajari lebih lanjut:
Custodial vs. Non Custodial Wallets - "Not your keys, not your coin" Explained.
List of Hacked Exchanges, since 2011
Apakah alamat aset kripto di akun Indodax saya bisa dijadikan alamat wallet?

Disaat agan masih memiliki akses terhadap akun Indodax agan memang lebih baik jika melakukan penyetelan ulang terhadap fungsi 2FA, sehingga disaat QR-Code/Secret Key baru muncul agan bisa mem-backup data tersebut (melakukan screenshot). Sebenarnya buat pengguna Indodax yang memang kehilangan akses 2FA terhadap akunnya masih memiliki kesempatan untuk me-reset Google Authenticator tersebut
https://help.indodax.com/saya-tidak-bisa-mengakses-google-authenticator-saya-apa-yang-harus-saya-lakukan/

Dan jangan lupa setelah mendapatkan QR-Code 2FA baru (sesuai dengan apa yg ada ditopik thread ini) pastikan Device yang agan gunakan untuk menjalankan App 2FA bersih dari jangkauan virus/malware/trojan, serta install aplikasi tersebut dari sumber yang terpecaya (official source).


Dengan Private key agan akan memiliki akses penuh terhadap address yang agan miliki, karena address diturunkan oleh private key melalui public key.

Ada sebuah slogan terkenal yang diucapkan oleh Andreas Antonopoulos "Your keys, your Bitcoin. Not your keys, not your Bitcoin"

Maaf baru nimbrung. Ngomong-ngomong kok saya jadi agak merasa aneh mengamati judul thread dengan arah pembahasannya ya ?

Menurut saya, penamaan judul thread tidak berkorelasi dengan permasalahan yang ingin dipecahkan oleh OP.
Judul thread:

Permasalahannya:

---

Saya pikir OP seharusnya tidak menjadikan thread ini sebagai diskusi jika memang hanya ingin mengetahui apakah yang OP lakukan adalah hal yang benar atau salah. Thread ini lebih layak sebagai thread pertanyaan karena OP hanya ingin mengetahui kebenaran yang telah diragukannya berdasarkan referensi bacaan. Hanya pikiranku

Apakah saya perlu menyarankan perubahan judul dengan alasan agar pembahasannya menjadi lebih sesuai dengan tujuan dan pertanyaan OP ?

Tidak hanya Indodax sebenarnya, kalau diperhatikan pada screenshot settingan security di Latoken yang saya cantumkan sebelumnya juga (#46), opsi authenticator yang dicantumkan adalah dari Google Auth, dan saya masih bisa login ke Latoken ataupun Indodax dengan menggunakan aplikasi authenticator lainnya (Aegis).

Ya, selama settingan pada authenticator lainnya dibuat default maka masih bisa digunakan untuk login.
Tidak seperti pada Google Auth, pada Aegis ada settingan timeout dan bahkan ada pilihan Secure Hashing Algorithm (SHA1/SHA256/SHA512).
Tadi saya coba iseng merubah rentang timeout dan juga opsi SHA nya, alhasil keluar Warning (PIN tidak cocok)
Namun setelah dikembalikan ke rentang 30 detik dan menggunakan SHA1 akhirnya berhasil login.

Dengan adanya proteksi tambahan yang digunakan seharusnya secara teori akan lebih mempersulit buat orang-orang yang tidak bertanggung jawab untuk menjebol akun milik kita (dalam artian pihak exchange memang benar-benar bisa dipercaya dan memiliki tingkat security yang bagus). Karena jika seorang hacker sanggup menjebol sistem dan database exchange maka data-data pengguna exchange tersebut juga akan ikut ter-eksploitasi. Begitu juga jika ada orang dalam (exchange) yang menyalahgunakan kemampuan aksesnya maka akan mudah bagi dirinya untuk mengetahui password dan data yang berkaitan dengan 2FA milik pengguna.

Untungnya sampai saat ini semua akun exchange yang saya miliki masih (mulai dari Indodax, Binance, Bittrex, dll) dalam kondisi aman-aman saja, dan bahkan ada beberapa diantaranya yang sudah berusia 4 tahun 




Setau saya satu Data 2FA bisa diinput berbarengan menggunakan aplikasi 2FA yang berbeda-beda, jadi contohnya meskipun data 2FA tersebut sudah diinput menggunakan GA, pengguna bisa menggunakan code 2FA yang sama (QR-Code/Secret Key) dan memasukkannya ke App 2FA yang lain (seperti authy, microsoft authenticator, dll) pada HP, PC atau perangkat yang berbeda.

Karena basis aplikasi 2FA ini sama maka masing-masing akan menunjukan code OTP yang sama dalam rentang timeout yang sama pula.

Ada rasa aman karena telah memakai keamanan berlapis sesuai dianjurkan oleh Indodax.

Tapi walau pun berlapis, tetap ada rasa tidak aman kalau menyimpan aset di exchange karena private key mereka yang pegang.

Seperti yang mas husna katakan di atas kalau tidak ada back up, Harus recovery ke Indodax [1] dengan menyiapkan persyaratan khusus yaitu Dokumen, seperti KTP dan lain-lain.

[1]. https://help.indodax.com/hubungi-kami/

---

Ada satu hal lagi di Indodax ini, coba perhatikan gambar:



Melihat gambar di atas, sebelum hendak mengubah 2fa dari google ke authy saya menghubungi support Indodax untuk menanyakan apa boleh selain google.

Apa maksud @Asther4me ini google authenticator atau 2fa yang lain seperti authy?, kalau Authy terhapus dari HP gampang direcovery (pakai nomor HP) tanpa menghubungi Indodax pun bisa.

Jika tanpa 2fa, maka untuk login tentunya secara teori tingkat keamanannya berada dibawah dari yang menambahkan 2fa pada security nya. Saya memanfaatkan pengamanan tambahan di Indodax berupa 2fa dengan Google Authenticator sudah sekitar 2 tahunan, alhamdulillah selama itu tidak ada kendala (mudah-mudahan kedepannya masih demikian).

Meskipun ada opsi recovery dari Indodax jika agan kehilangan akses untuk melewati authenticator, namun jika agan belum melakukan backup code/barcode ketika mengaktifkan Authenticator saat ini, saran saya non-aktifkan terlebih dulu authenticator-nya untuk menghapus tautan ke authenticator sebelumnya. Setelah itu agan bisa buat baru/mengaktifkan lagi dan kali ini agan simpan barcode nya (baik dengan screenshot atau cara aman lainnya) untuk keperluan restore dikemudian hari.

Yubikey ini mirip dongle yang biasa digunakan untuk software-software tertentu agar bisa digunakan.
Dulu sempat ada thread diskusi tentang Yubikey ini di board Indonesia :
https://bitcointalksearch.org/topic/yubikey-5176534

Dan sebagaimana disebutkan om abhie di atas, hardware 2fa ini memang masih jarang disupport jika untuk penggunaan di exchanger. Untuk di exchanger Latoken saja (sebagaimana salahsatu kasus yang dialami OP) opsi untuk menghubungkan hardware 2fa belum ada. Exchange lokal semisal Indodax pun opsi pada security nya masih mengandalkan auhtenticator berbasis aplikasi.

Pemakaian 2FA menggunakan hardware berbasis USB dan NFC memang memiliki tingkat keamanan yang lebih baik daripada 2FA berbasis aplikasi. Akan tetapi jika tujuan dari penggunaan 2FA ini diperuntukkan buat memproteksi akun exchange, maka peran 2FA berbasis hardware saat ini sangat terbatas karena tidak semua exchange menyediakan fitur 2FA menggunakan hardware.

Contoh exchange yang memiliki fitur hardware 2FA adalah Binance.



Dan jangan lupa sebelum Perangkat digunakan sebagai media Offline-2FA, terlebih dahulu dipastikan jika sistemnya dalam kondisi yang bersih (dalam arti tidak terjangkit virus/malware apapun) ... Mungkin langkah paling mudah adalah melakukan re-install OS (dari sumber resminya).

Kalau mau lebih aman ane saranin pakai hardware 2fa, sebagaimana hardware wallet bitcoin akan lebih aman karena di luar dari gadget kalian yang tidak gampang disusupi.
di sini https://bitcointalksearch.org/topic/2fa-hw-security-keys-yubikeysuch-5223442 juga dijelaskan hardware 2fa.

bacaan lebih lanjut di sini
https://moonwashedrose.com/cat-artikel/aplikasi-2fa-terbaik-2020/

Yubikey

---

kalau ane sendiri pakai 2fa Authy di HP offline, tidak pernah online, hanya sekali online ketika pasang authy pertama kali dan back-up.

bagaimana cara membuatnya:

1. Persiapkan HP android jadul yang tidak terpakai (biasanya ada di laci meja, kebanyakan android kitkat dengan layar 4 inchi)
2. download authy
3. seting backup nomor hp/email
4. selesai
5. matikan internet lalu aktifkan mode pesawat.
7. lalu memulai dengan scaning website apa saja yang mau dienablin 2fa nya.
8. untuk mengback-up tinggal diaktifkan internet pada hp

Mungkin masuk agan GA yg authy ya gan ? Kalo GA yg buatan google emang adakah ? Tapi sejauh ini saya gk prnh pake GA yg versi desktop,kapan hari mau nyoba tapi tiba2 mikir gimna kalo kompi saya kena virus dll ? Jadi saya mengurungkan niat dan tetep keep di hp saja

Kalau agan yang menganggap remeh dan tidak menyimpan backup authenticator/GA bukan berarti meng-generalisir tambahan pengamanan dengan 2fa tersebut yang salah...
Pada Latoken -> Support -> 2FA Guide, tertera jelas saran untuk menyimpan code/barcode untuk keperluan restore:

Apakah agan sudah mengisi form (permintaan) mengenai permasalahan 2FA tersebut ??

https://support.hitbtc.com/hc/en-us/requests/new?ticket_form_id=360000030329
https://latoken.zendesk.com/hc/en-us/requests/new?ticket_form_id=360000106732



Ini yang jadi kendalanya adalah karena agan sendiri teledor tidak melakukan backup (Scan QR-code maupun secret key) dari 2FA tersebut. Padahal jika seandainya saja agan mengambil screenshot dari QR-code 2FA (dan menyimpan baik-baik screenshot itu), maka kejadian tidak mengenakan ini tidak akan pernah terjadi.

Saya juga salah satu pengguna Authy yang sebelumnya menggunakan GA ( Google Authenticator ). Karena beberapa masalah yang saya alami saat menggunakan GA, jadi saya pindah dan memilih Authy sebagai layanan 2FA yang saya gunakan hingga saat ini. Penggunaan Multiple device, backup, fitur restore dan verifikasi via kode SMS dll. Lebih unggul dari GA, karena ada beberapa Exchange yang menggunakan GA namun tidak cocok dan selalu terjadi kesalahan.

Memang akan beresiko jika sewaktu-waktu server Authy jebol dan data-datanya di sadap oleh hacker. Tapi saya yakin pihak Authy juga memiliki cara untuk mengamankan servernya.

Saya juga memiliki salinan kode 2FA yang dibuat saat mengaktifkan keamanan dengan kode 2FA, setiap kode 2FA saya amankan di tempat terpisah dan hanya saya yang bisa mengakses. Sebagai cadangan jika sewaktu-waktu terjadi error App Authy atau hal lainnya yang gak di inginkan.

Saya juga melakukan cara yang sama dengan memisahkan penggunaan 2FA di perangkat yang berbeda. 2FA hanya saya instal di smartphone yang lebih mudah di pantau, selalu di akses setiap hari dan PC sebagai aktifias utama untuk membuka Exchange, beberapa akun yang membutuhkan kode 2FA dan lainnya.

Pencurian bisa dilakukan dengan mudah jika tidak mementingkan keamanan perangkat yang digunakan, teledor, tidak pernah melakukan pengecekan keamanan yang dimiliki. Yang penting harus tetap waspada dan jangan menginstal aplikasi-aplikasi asing yang tidak dikenal, Hindari iklan-iklan aneh yang memiliki potensi besar melakukan penyebaran Malware, ransomware, RAT dan aplikasi phising, hacking sejenisnya.

Gejalanya bisa bermacam-macam, antara:
- Ada aktivitas dari IP/komputer agan tapi agan ga melakukannya.
- Ada aktivitas akun exchange/sosmed/dkk tapi agan tidak melakukannya (dengan kata lain penyerang udah mengambil data login).
- Aktivitas internet di komputer tinggi padahall agan ga ngapa-ngapain.
- Mouse/keyboard pindah/berinteraksi sendiri.
- dkk.

Coba cek PC secara berkala dengan antimalware/antivirus atau kalau ada gejala di atas. Kalau ga ketemu penyakitnya apa lewat antimalware tapi terus terjadi, format dan inul komputer agan. Lebih lanjut bisa nyari tips di Google, ada banyak tips dan pertanyaan seperti ini juga banyak dibahas (eg, https://www.quora.com/How-do-you-detect-and-remove-a-RAT-virus-on-your-computer?share=1#).

Bagaimana cara kita mengetahui PC atau laptop kita Sudah terkena RAT ?

Om sudah minta bantuan suport, dan sudah dibalas? Jika belum mungkin ada banyak antrian, saran yang pernah saya dapat jangan mengirim email berulang dan sabar prosesnya (antri) lama. Saya pernah lakukan ini di Bittrex sekitar 1 bulan baru direply. Kalau sudah dibalas dan gagal mungkin bukti kepemilikan akun agan (data-data) kurang, jadi dilengkapi, tambahkan bukti screenshoot kalau ada.  

Ane agak kesulitan memahami maksud agan, tapi prinsipnya jelas exchange ga akan dengan mudah mau menghapus 2FA dan harus minta banyak konfirmasi karena tentunya mereka ga mau disalahkan kalau ternyata yang minta reset itu orang klonengan. Kalaupun agan udah ngikutin semua prosedur tapi exchangenya bandel ya itu merekanya yang bermasalah dan bukan 2FAnya. Selain itu kalau memakai 2FA wajib hukumnya nyimpen backup, jadi hal kayak gitu ga bakal kejadian.

Semuanya memang relatif 'ribet' karena ini menyangkut masalah duit. Ntar kalau dibuat agak longgar, terus kemalingan baru sadar rasa pentingnya keamanan walaupun ribet. Buat aja akun baru di exchange lain gan, kan tidak semuanya juga butuh KYC. Terlebih banyak exchange yang kualitasnya jauh lebih baik daripada 2 exchange yang agan sebutin di atas yang punya layanan pelanggan lebih baik.

Exchange yang pernah saya gunakan hitBtc & LATOKEN. Saya pernah menggunakan Authenticator di chrome di salah satu exchange tersebut, dan waktu laptop/PC saya bermasalah malah semakin kacau gara-gara tidak bisa login ke exchange tersebut meskipun saya meminta bantuan support exchange tapi selalu gagal untuk menghapus 2FA.

---

Meskipun 2FA & GA sangatlah penting tapi ujung-ujungnya kalau masalah seperti tidak bisa dianggap remeh kalau pada akhirnya seperti ini. Bukan Malasah saya kehilangan beberapa token BTC/ETH tapi yang saya down untuk memulainya kembali dari awal

Coba cek dulu pakai aplikasi seperti Malwarebytes. Kalau ga ketemu berarti ya wipe disknya dan inul (install ulang) gan. Kalau kebutuhan PCnya hanya untuk kerja kantoran biasa dan sesekali manage kripto, bisa make GNU/Linux. Atau dual-boot sekalian. Tentunya hal itu tetap tidak menjamin 2FA bisa melindungi agan selamanya, terlebih kalau agan teledor.

bagai mana solusinya gan jika PC kita udh di sususpi pencuri apakah dengan meng'instal PC akan menghilangkan malware dan kembali normal seperti sedial kala

Dari beberapa thread dan juga baca-baca di internet, ane lebih sering nemuin kasus pembobolan karena keteledoran pengguna dan bukan karena keamanan device yang lemah (eg: hp bisa dibobol orang via wifi, komputer dengan antivirus bisa disadap dengan ngirimin bug, dkk).

That being said, ane rasa pertanyaan OP udah terjawab sejauh ini.

Saya baru tahu informasinya RAT, sangat berbahaya. Memang dunia internet mempunyai dua sisi, negatif & positif. Untuk menghindari RAT, saya rasa jangan asal download serta mengujungi tautan website yang gak jelas, biasanya malware banyak menyelinap disitu, apalagi iklan seperti pop up, sangat rawan ada virus/malware.

GA ini biasanya bisa dibobol karena keamanan device kita yang lemah. Kalau untuk PC saran saya cukup pakai anti virus bawaan tetapi harus selalu update.

Padahal salah satu ide dari munculnya 2FA App adalah untuk opsi dari permasalahan SMS 2FA, yang kala itu muncul beberapa ancaman yang dikenal dengan istilah SIM Swap dan SS7 attack.


Modus penyebaran yang terbilang baru adalah memanfaatkan sebuah aplikasi yang akhir-akhir ini sedang booming (karena dampak corona) yakni "Zoom". Mulai dari maraknya domain-domain palsu yang terus bermunculan (yg berkaitan dengan nama zoom), sampai penyebaran link phising memanfaatkan meeting chat (zoom).

Mungkin bagi yang sudah terbiasa dengan hal-hal yang berkaitan dengan cyber threat, akan sedikit mudah untuk mengantisipasi model-model serangan malware seperti diatas. Tapi buat orang-orang yang notabene tidak terlalu familar dengan tekhnologi-teknologi baru (seperti zoom) maka akan menjadi target empuk. Terlebih untuk saat ini pengguna zoom hampir meliputi seluruh kalangan karena adanya aturan PSBB yang dikeluarkan oleh pemerintah.

RAT emang bahaya karena kalo Device kita udah kena bisa dipantau langsung oleh hackernya . dan juga mereka biasanya meyebarkan file berisi server mereka melalui social free sharing dalam bentuk macam2 . alibi miner free lah . fix program sharing lah . dan meskipun kita udah pake anti virus sehebat apapun kalau file berisi server mereka tersebut ( malware ) udah di decode lagi bahasanya udah FUD ( Fully Undetectable ) file berisi malware tersebut tetep lolos antivirus . makanya anti virus itu update harian / mingguan sering. Jadi kalo mau bener2 aman yakinkan device yang kita gunakan tidak pernah download macem2 dan jangan di pake browsing yang aneh2 dll. berikut contoh screenshot RAT yang dulu pernah saya pake untuk pembelajaran.  

Dan RAT itu ga cuman bisa control Desktop PC . Bisa Record Keylogger tanpa harus di setting ( Live ) bisa command prompt (CMD) copying files from user to hacker . atau hacker ke PC victim . Nyalain Webcam. mining digital di PC victim lah . dan cleaning nya juga rada ribet dan ga yakin 100% juga langsung ilang. kecuali install ulang PC yah. pasti ilang itu si  

Ntar aku coba bikin thread tentang Pencegahan dan edukasi RAT lebih detail ah . kayanya bahan2 dulu masih ada .

Betul. RAT memang berbahaya. Cara paling simpel untuk melindungi diri ya jangan sampai terkena malware itu

Alternatif lain adalah dengan mempersiapkan device khusus yang selalu offline sebagai perangkat untuk mengakses 2FA atau kode" lain yang tidak memerlukan internet. Selain itu, jangan install apps aneh" dan selalu update security patch kalau ada. Apapun itu kewaspadaan biasanya bisa menyelamatkan diri sendiri dan jauh lebih efektif dari teknologi.

Salah satu malware berjenis RAT (Remote-Access Trojan) antara lain Cerberus yang bahkan bisa digunakan untuk
mengubah settingan perangkat, install/uninstall aplikasi, menggunakan aplikasi, dan lainnya termasuk menyerang fitur Accessibility untuk mem-bypass penggunaan authentication di perangkat smartphone (terutama Android).
Beberapa referensi lain yang mungkin bisa jadi perhatian bagi pengguna smartphone yang menggunakan 2fa semisal GA:
https://securityintelligence.com/news/cerberus-android-malware-gains-ability-to-steal-2fa-tokens-screen-lock-credentials/
https://cyberthreat.id/read/5522/Malware-Baru-di-Android-Mencuri-2FA-Google-Authenticator

Yang paling mengkhawatirkan adalah jenis-jenis malware yang memiliki kemampuan aksesibilitas terhadap device yang dijangkitinya seperti RAT, apalagi jika kedepannya ada malware yang sanggup melakukan eksekusi terhadap aplikasi-aplikasi yang ada didalam device dengan proses background activity (semoga saja malware/trojan seperti ini tidak akan pernah eksis  ).

Tentunya keberadaan malware/trojan seperti ini akan menjadi momok buat para pengguna aplikasi 2FA (dan aplikasi-aplikasi penting lainnya), sehingga diperlukan sebuah antisipasi untuk mengatasi potensi serangan tersebut (memasang anti-virus/anti-malware atau bisa juga menggunakan metode authenticator lainnya (SMS) pada device yang masih menggunakan tekhnologi lama (HP jadul))

Untuk sekedar masuk ke akun mungkin cookies bisa dipakai. Tapi kebanyakan exchange pasti akan meminta authentication lagi ketika mau WD dan sejenisnya. Ane ga yakin informasi kode 2FA yang berubah tiap 30 detik ada juga dalam cookies atau terexpose begitu saja di profil pengguna di situs yang bersangkutan. Kecuali mungkin situsnya aja yang keamanannya lemah. Jadi mungkin serangan ini bakal dipakai untuk menjual/beli aset tanpa sepengetahuan pengguna.

Selain itu, rata-rata exchange atau situs yang menggunakan 2FA biasanya punya cookies yang bakal expired dalam beberapa menit/ketika Windows di-close. Kalau ada fitur untuk lihat agan login dari IP/browser mana, bisa dipakai untuk memonitor apakah ada IP aneh yang login ke akun agan. Lebih aman lagi kalau tiap abis login dan mau logout, revoke semua akses IP sekalipun itu IP agan sendiri. Poin penting dari artikel" yang dicantumkan oleh om husna di atas adalah bahwa kadang teknologi udah cukup 'ideal' tapi karena kelengahan manusia itu sendiri yang membuat keamanan yang ditawarkan jadi hilang.

Penyebabnya bisa saja sebelumnya pernah meng-klik link yang disebar melalui email atau lainnya 'yang nampak asli', kemudian log-in pada web asli yang diarahkan link tersebut termasuk menginput kode yang dikirim ke smartphone, dan peretas mencuri cookies session pengguna, jika sudah begini bahkan peretas tidak perlu lagi meretas device lain yang ada aplikasi authenticatornya.
Mungkin bisa dipelajari penjelasan dari Kevin Mitnick berikut:

---

Referensi lanjut yang mungkin bisa bermanfaat untuk pencegahan dan edukasi perihal peretasan authenticator:
New Exploit Hacks LinkedIn 2-Factor Authentication, With Kevin Mitnick
https://www.knowbe4.com/press/knowbe4-chief-hacking-officer-kevin-mitnick-reveals-new-exploit-that-hacks-two-factor-authentication
https://www.cnbcindonesia.com/tech/20190108151315-37-49584/login-dengan-verifikasi-2-langkah-akun-masih-bisa-diretas

Perlu diingat kalau bersama dengan kemudahan ini ada risiko juga. Kalau misalnya server Authy jebol dan data-datanya diambil orang, bukan tidak mungkin secret key agan juga bisa ketahuan. Kita hanya bisa berharap semoga kalau kejadian kayak gitu semua data dienkripsi dengan kuat oleh Authy jadi masih ada waktu untuk reset semua 2FA yang pernah dipake ke secret yang baru.

Kode secret 2FA seharusnya memang harus dimiliki sendiri, kalau ingin lebih trustless.

Kalau ini sih seharusnya juga karena setau saya GA itu aplikasi yang jadi pelopornya aplikasi sejenis (release September 20, 2010) dan dulu banyak banget yang merekomendasikan sampai situs2 yang menyediakan fitur 2 Factor Authentication itu merekomendasikan GA juga untuk di download (saya lupa situsnya apa saja dan seingat saya beberapa bursa kripto juga termasuk).

Saya heran juga kenapa lama banget baru disediakan fitur ini dan saya pikir inilah penyebab besarnya banyak orang yang beralih memakai Authy.

Saya tidak pakai GA om tapi saya pakai Authy. Alasanya karena dulu saya pikir fiturnya kurang. Saya pakai authy karena ada fitur multyply device, kemudian masalah backup nya auto , misal apliksi terhapus tinggal download masukan email pswod sudah pulih lagi. Kalu GA sudah mendukung backup otomatis dan multiply device sepertinya perlu dicoba.
Kemudian untuk OP saya setuju pendapat om om diatas sebagai benteng, jangan paranoid, review ontentifikasi yang menurut om bagus dan gunakan. Alasan saya karena sejauh saya di dunia crypto otentifikasi ini cukup membantu/ bermanfaat tidak ada ruginya.

Bisa jadi perangkat yang agan gunakan untuk menjalankan Google Authenticator sudah terjangkiti malware seperti yang telah disebutkan oleh OP diatas (lihat link sumber ke-2). Jadi ada kemungkinan pada saat agan menjalankan aplikasi GA, malware tersebut memonitor (merekam) tampilan dari GA lalu mengirimnya ke pelaku, sehingga pada saat code acak dari GA belum berubah (dalam 30 detik) si pelaku memanfaatkan waktu yang sangat sedikit itu untuk masuk kedalam akun lobstr milik agan.

beberapa minggu yang lalu saya menyimpan XLM di lobster untuk di perdagangkan dan menambahkan security Google Authenticator di android tapi entah bagai mana cara nya hecker bisa masuk ke akun lobster saya yang lengkap dengan security Google Authenticator dan mencuri XLM saya? untuk agan2 yang berpengalaman atau percis mengalami hal yang sama dengan saya mohon share apa penyebeb Google Authenticator saya bisa di ketahui orang lain
(hecker)

Bisa jadi GA populer karena menyandang nama google didepan aplikasinya, cukup lama juga tanpa ada fitur tambahan diaplikasinya dan baru pada update 12 Mei 2020 (versi Android) ada semacam "fitur" backup/restore (transfer akun), meskipun menurut saya sebenarnya ini adalah fitur cloning data GA antar perangkat (device) bukan berupa backup file yang dienkripsi semisal file JSON sebagaimana pada Aegis.

---

@OP kehati-hatian perlu, tapi kalau boleh saran ya jangan 'terlalu' paranoid juga. Toh agan bisa cari referensi authenticator mana saja yang bagus, plus-minusnya seperti apa.
btw.. diskusi mengenai authenticator ini sudah banyak saya temui thread serupa (bahasa Indonesia), mungkin agan bisa baca-baca lagi diskusi yang sudah pernah dibahas pada thread-thread tersebut sebagai referensi.. (di atas, sebagian link nya sudah ada yang mencantumkan).

Kok malah dihindari om? GA dan aplikasi jenis lainya (yang tentu saja kredibil) adalah aplikasi menambah kemanan ibarat benteng, benteng pertama itu pasword om kemudian masih ditambah benteng kedua adalah GA atau verifikasi 2 langkah lainnya. Kalau dilogika kan semakin kuat mengapa dihindari. Kemudian GA yang agan gunakan bukan Google Authentifikator jadi kredibilitasnya mungkin kurang. Gunakan GA asli di playstore ada, AUTHY juga ada, LastPass Authenticator , micrososft authentifikator dll, tapi yang saya ketahui populer dan banyak digunakan ya GA dan Authy. Disini kita berusaha mencegah tapi kalau masih bisa dicuri ya mungkin om simpan aset di hardwere walet kalau mau trade pindahkan ke exchange ( tapi saya pikir ini juga masih beresiko bisa dicuri). Tapi semua keputusan ada di tangan om. 

Kenapa dihindari? Saran ane lebih baik agan pelajari dulu semua hal yang berkaitan dengan pengamanan akun, risikonya dan penanggulangannya gimana serta plus minusnya, jadi agan ga menghindar karena takut pada sesuatu yang sebenarnya tidak jelas atau peluangnya sangat kecil. Gampangnya begini, brute force password agan itu jauh lebih mudah dibandingkan bruteforce kode 2FA karena 2FA selalu berubah tiap beberapa detik. Tentu ada model serangan lain dan agan harus mempelajarinya juga.

Aplikasi authenticator juga ada banyak, yang kena bug itu ga semuanya. Coba cari" dulu sebelum agan make. Ibaratnya kalau mau beli barang kan agan mesti review dulu biar tahu mana yang paing bagus dan sesuai dengan budget agan, kecuali agan sultan dan bisa beli semua jenis barangnya dengan sekali gesek kartu. Contoh apps authenticator: Aegis, Authy, dkk.

Asumsi saya, kalau 2FA dengan Authenticator yang agan pasang saja bisa ditembus, bagaimana pula dengan yang tanpa menggunakan Authenticator? Tentunya pengamanan 1 lapis besar kemungkinan lebih mudah lagi ditembus daripada yang 2 lapis. Yang perlu diperhatikan terlebih dulu disini tentunya perangkat (PC, smartphone, dsm) yang agan gunakan, bisa dengan memasang anti malware, dsm.
Kemudian untuk menggunakan 2FA dalam hal ini aplikasi authenticator, saya lebih cenderung menyarankan aplikasi yang dipasang pada perangkat terpisah, misal aktifitas utama di PC sementara authenticator dipasang di smartphone. Pilih aplikasi authenticator yang ada fitur backup/restore (di enkrip) dan fitur keamanan tambahan lainnya.

Setau saya opsi 2FA pada akun exchange bisa atur, jadi jika agan parno menggunakan aplikasi google Authenticator untuk proses 2FA maka agan bisa menon-aktifkan fitur tersebut atau menggantinya dengan metode Authentication lainnya seperti lewat SMS maupun email (tergantung pada fitur yang disediakan oleh masing-masing exchange).

Btw, klo boleh tau Exchange apa yang saat ini agan gunakan sebagai media trading ??

Jujur sejak awal ane selalu menghindar perdagangan yang menggunakan 2FA, dan itu pun sangat terpaksa. Apalagi lagi kalau versi chrome entar takutnya laptop/PC bermasalah jadi modal semuanya. Laaahhh sedangkan versi aplikasi google Authenticator malah kayak begin

Klo mau pake browser extension 2FA jangan lupa untuk membaca ulasan terhadap aplikasi tersebut, serta pilihlah extension yang memang sudah banyak digunakan oleh pengguna dan memiliki rating bagus. Dan yang tak kalah penting apapun device yang agan gunakan untuk menjalankan aplikasi 2FA maupun menyimpan data-data penting, pastikan sistemnya memang sudah bersih dan gunakan proteksi tambahan (anti-virus/anti-malware) untuk mengantisipasi berbagai serangan virus/trojan yang bisa masuk kedalam sistem.

Maaf untuk semuanya. . . . . Yang saya maksud Authenticator di pc/laptop itu versi Google chrome seperti ini

Aman atau tidaknya suatu perangkat tergantung dari aktivitas dari pemilik device dan saya sepakat dengan apa yang sudah disampaikan oleh mas @joniboini. Jadi, keamanan kode aplikasi 2FA yang Anda miliki tergantung bagaimana cara Anda dalam menggunakan layanan websites/software/aplikasi. Jika asal instal/asal buka bukan tidak mungkin jika Anda menjadi korban malware dan virus lainnya. Sebenarnya, ada beberapa thread serupa yang bisa menjadi pertimbangan untuk mas.

1. [TANYA]Apakah Mengaktifkan 2FA Jaminan Tidak Kena Hack
2. [INFO][TUTORIAL]Selalu amankan data Google Authenticator anda!
3. [GUIDE] BACKUP Google Authenticator Mudah

^

Iya betul. Sebenarnya ada banyak malware yang berusaha untuk mengintersepsi data aplikasi yang ditunjukan ke pengguna termasuk 2FA dan bisa aja beberapa aplikasi juga tidak lepas dari serangan tersebut. Balik lagi ke pengamanan HP itu sendiri. Kalau pakai 2FA tapi keamanan hape lemah dengan praktik keamanan yang lemah ya sama aja. Tapi bukan berarti agan harus make aplikasi yang out of date juga. Kalau authenticator yang dipake lama ga diperbarui, bukan tidak mungkin ada bug lain yang udah diketahui sebagian kecil orang dan dimanfaatkan untuk hal yang tidak baik.

Jadi intinya ada aplikasi yang mencuri kode authetic lewat virus/malwer ya gan? Makanya OP mengira bahwa menggunakan GA sudah tidak aman begitu ya?

Saya pengguna GA sudah beberapa tahun aman-aman saja bahkan fb/Twitter saya pakai GA untuk perlindungan.

^
Itu bukan Google Authenticator. Di bagian deskripsi appsnya juga udah dijelasin kok.

Terlepas dari OP make Google Authenticator di mana, memang ada beberapa malware android seperti yang dilink-kan di OP yang bisa mencuri kode authenticator. Prinsipnya malware" itu mengintersepsi data-data aplikasi yang agan pake jadi akun" lain juga bisa ada dalam bahaya. Tentunya kalau hape ga kena malware ya ga bakal dicuri kodenya. Jadi masalahnya bisa ga agan melindungi diri dari malware.

Saya sedikit bingung ini om maksudnya pindah ke aplikasi yang diinstal di hp atau bagaimana?

Pengalaman saya juga pernah menggunakan GA selama 2 tahun aman aman saja, tidak bermasalah dari 2015-2017 an. Masalah yang biasa ditemui adalah GA hilang dan recoverinya sedikit ribet. Kemudian karena GA dan yang lainnya ini adalah layanan penyedia jasa, maka saya pikir jika web penyedia sistem keamanannya masih bagus saya pikir tidak ada masalah selain itu Web akun om yang om amankan dengan GA juga aman, itu masih aman. Selain itu kombinasi pasword rumit perlu untuk dukungan GA email registrasi . Sedikit curhat saya saat ini bukan pengguna GA tapi saya pakai AUTHY


Ane agak bingung apakah yang dimaksud OP adalah ini

Extensi autentikator support di chrome, dan apakah ini sama dengan GA aplikasi HP,"saya tidak begitu memahami.

Upss, maaf mas, ane tdk membaca secara seksama.
<(_ _)>

Coba cek lagi kalimat pertanyaan saya di atas dan digaris bawahi pula pada kutipan kalimat OP nya untuk memperjelas...
Yang saya tanyakan adalah Google Authenticator versi PC sebagaimana yang disebutkan OP.

---

Kalau Authy memang ada om... dan dulu saya pernah juga menggunakan versi desktop nya.

Ada, Ane check di website authy https://authy.com/download/ beberapa versi untuk desktop (Mac, windows dan Linux) sedangkan untuk browser hanya available untuk chrome.

Sebentar.. memangnya Google Authenticator ada untuk versi PC/website? ataukah hanya dijalankan pada VM di PC?
Karena sepengetahuan saya Google Authenticator itu hanya ada untuk versi Android dan iOS.
Kalau agan ragu menggunakan Google Authenticator, ada beberapa pilihan aplikasi Authenticator lainnya dengan fitur yang lebih "lengkap" terutama dalam hal security, backup/restore (file di enkrip) semisal Aegis, Authy.

Mungkin kalian sudah faham apa itu Google Authenticator, Jadi saya tidak mungkin panjang lebar menjelaskannya. Saya pengguna Google Authenticator di laptop/PC 2x tapi setelah  Laptop/PC bermasalah lalu pindah di Aplikasi Google Authenticator sejak 2019 dan sampai sekarang tapi, setelah saya membaca artikel saya merasa sedikit ragu tentang Aplikasi Google Authenticator

Tujuan saya membuat thread ini untuk berdiskusi apakah kalian juga pengguna Aplikasi Google Authenticator / pengguna Google Authenticator Website

Pertanyaan saya; apakah saya lakukan jika itu benar?? Dan masih amankah untuk pengguna Aplikasi Google Authenticator??

Sumber

• https://shkspr.mobi/blog/2020/02/googles-abandoned-android-authenticator-app/
• https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/
• https://www.threatfabric.com/blogs/2020_year_of_the_rat.html