2FAPRO.COM

Generator Kode Two-Factor Authentication (2FA)

Buat kode TOTP dari kunci rahasia Anda untuk layanan seperti Google, Facebook, Instagram, dan lainnya.

Masukkan kunci rahasia 2FA dari layanan yang ingin digunakan. Spasi dan format akan dibersihkan otomatis.

Kunci rahasia Anda tidak pernah disimpan di server dan hanya diproses di perangkat Anda.

Pindai Kode QR

Bagikan alat ini

Akun Tersimpan

Belum Ada Akun Tersimpan

Tambahkan akun dari tab Generator atau impor dari backup

Kunci Terbaru

Belum Ada Riwayat

Kode yang dibuat akan muncul di sini

Informasi & Bantuan

Apa itu 2FA/TOTP?

Two-Factor Authentication (2FA) adalah lapisan keamanan tambahan yang membutuhkan dua bentuk identifikasi. TOTP adalah algoritma yang menghasilkan password sekali pakai yang berubah setiap 30 detik.

Di mana Mendapatkan Kunci Rahasia?

Keamanan

Aplikasi ini memproses kunci rahasia di browser Anda. Data tidak pernah disimpan di server atau dikirim ke pihak ketiga. Tetap jaga kerahasiaan kunci Anda.

Layanan yang Kompatibel

Generator ini bekerja dengan layanan yang menggunakan standar TOTP, termasuk Google, Facebook, Twitter, Microsoft, GitHub, Dropbox, Amazon, dan kebanyakan layanan cloud/media sosial.

Panduan Lengkap Autentikasi Dua Faktor (2FA)

Semua yang perlu Anda tahu tentang 2FA, kode TOTP, aplikasi authenticator, dan cara menjaga akun online Anda tetap aman dengan autentikasi dua faktor.

Cara Membuat Kode 2FA dalam 3 Langkah Mudah

  1. 1

    Salin Secret Key 2FA Anda

    Saat mengaktifkan autentikasi dua faktor di Google, Facebook, GitHub, atau layanan lain, salin secret key Base32 yang ditampilkan di samping kode QR.

  2. 2

    Tempel Key & Buat TOTP

    Tempel secret key ke kolom generator 2FA di atas dan klik Generate Code. Kode TOTP 6 digit segar langsung dihitung di browser Anda.

  3. 3

    Gunakan Kode 2FA untuk Login

    Masukkan kode verifikasi 6 digit ke form login sebelum timer 30 detik habis. Kode otomatis diperbarui untuk setiap login baru.

Layanan & Platform Populer yang Mendukung Generator 2FA Kami

Generator kode 2FA kami kompatibel penuh dengan layanan apa pun yang mengikuti standar TOTP RFC 6238. Berikut platform paling populer tempat Anda bisa memakai authenticator ini:

Google / Gmail
Facebook / Meta
Instagram
X (Twitter)
Microsoft / Outlook
GitHub
GitLab
Bitbucket
Dropbox
Amazon / AWS
PayPal
Coinbase
Binance
Kraken
Discord
Slack
Steam
Epic Games
Fortnite
Roblox
Twitch
Reddit
WordPress
Cloudflare
DigitalOcean
LastPass
1Password
Bitwarden
Apple ID
Snapchat
TikTok
LinkedIn

Kenapa Pakai Generator 2FA TOTP Gratis Kami

100% Pribadi & Lokal

Seluruh pembuatan kode TOTP terjadi langsung di browser Anda. Secret key 2FA tidak pernah dikirim ke server mana pun, menjaga data authenticator Anda sepenuhnya pribadi.

Kode 6 Digit Instan

Buat kode sekali pakai berbasis waktu secara instan dengan refresh otomatis 30 detik. Bekerja sebagai pengganti penuh Google Authenticator, Authy, dan Microsoft Authenticator.

Pemindai QR Code Bawaan

Pindai kode QR 2FA apa pun dengan kamera atau unggah gambar. Tool membaca URI otpauth otomatis, jadi Anda tidak perlu mengetik secret key Base32.

Mode TOTP & HOTP

Ganti antara algoritma berbasis waktu (TOTP / RFC 6238) dan berbasis counter (HOTP / RFC 4226). Mendukung hash SHA-1, SHA-256, dan SHA-512.

Pertanyaan yang Sering Diajukan tentang 2FA

Apa itu 2FA (autentikasi dua faktor)?
2FA, atau autentikasi dua faktor, adalah metode keamanan yang memerlukan dua langkah verifikasi berbeda untuk mengakses akun: sesuatu yang Anda tahu (password) dan sesuatu yang Anda miliki (kode 2FA dari aplikasi authenticator). Bahkan jika hacker mencuri password, mereka tidak bisa login tanpa kode 2FA berbasis waktu.
Apakah generator 2FA ini kompatibel dengan Google Authenticator?
Ya. Generator 2FA online kami menggunakan algoritma TOTP RFC 6238 yang sama persis dengan Google Authenticator, Microsoft Authenticator, Authy, dan 1Password. Kode 6 digit yang dihasilkan di sini akan cocok dengan kode dari aplikasi tersebut untuk secret key yang sama.
Kenapa kode 2FA saya berubah setiap 30 detik?
Kode TOTP adalah password sekali pakai berbasis waktu — diturunkan dari timestamp Unix saat ini dan secret key Anda, berputar pada interval tetap (biasanya 30 detik). Umur pendek ini mencegah serangan replay dan menjaga autentikasi dua faktor tetap aman.
Apakah aman memasukkan secret key 2FA di website ini?
Ya. Seluruh pembuatan kode 2FA terjadi lokal di browser Anda menggunakan Web Crypto API. Secret key tidak pernah meninggalkan perangkat dan tidak pernah dikirim ke server mana pun. Untuk keamanan maksimal, tetap perlakukan secret key seperti password dan jangan dibagikan.
Apa bedanya TOTP dan HOTP?
TOTP (Time-based One-Time Password, RFC 6238) menghasilkan kode berdasarkan waktu saat ini, itulah kenapa kodenya berubah setiap 30 detik. HOTP (HMAC-based One-Time Password, RFC 4226) pakai counter yang bertambah. Keduanya adalah jenis kode 2FA; TOTP jauh lebih umum saat ini.
Bisakah saya memakai ini sebagai aplikasi authenticator utama?
Ya. Anda bisa menyimpan banyak akun 2FA di tab My Accounts dengan penyimpanan lokal terenkripsi, ekspor backup terenkripsi, dan restore di perangkat lain. Tool ini bekerja sebagai progressive web app (PWA), jadi bisa diinstal seperti authenticator native.
Bagaimana jika kode 2FA saya ditolak oleh website?
Kode 2FA yang salah biasanya berarti jam perangkat Anda tidak sinkron, atau secret key tersalin salah. Pastikan secret Base32 tidak ada spasi ekstra, waktu sistem diatur otomatis, dan coba kode berikutnya setelah refresh 30 detik.
Apakah tool 2FA ini bekerja offline?
Ya. Setelah kunjungan pertama, authenticator di-cache oleh service worker sehingga Anda bisa membuat kode TOTP tanpa koneksi internet. Cocok untuk traveling atau saat aplikasi authenticator utama tidak tersedia.

Kenapa Autentikasi Dua Faktor Penting di 2026

Password saja tidak lagi cukup. Miliaran kredensial bocor dalam kebocoran data setiap tahun, dan kit phishing canggih bisa mengalahkan password rumit sekalipun. Autentikasi dua faktor — disebut juga 2FA, multi-factor authentication (MFA), atau verifikasi dua langkah — menambahkan lapisan kedua yang tidak mudah di-bypass penyerang jarak jauh.

Authenticator TOTP seperti ini adalah metode 2FA yang paling banyak didukung, bekerja di Google, Microsoft, Apple ID, GitHub, Facebook, Instagram, Snapchat, TikTok, Steam, Epic Games, Fortnite, Discord, dan hampir semua layanan online besar. Dengan kode 2FA 6 digit segar yang berputar tiap 30 detik, password yang bocor menjadi tidak berguna sendirian.

Aktifkan 2FA di mana pun bisa — email, media sosial, crypto exchange, cloud storage, perbankan, dan akun gaming. Dikombinasikan dengan password manager kuat dan password unik per situs, konfigurasi autentikasi dua faktor yang benar adalah salah satu upgrade terbesar yang bisa Anda lakukan untuk keamanan online.

Perbandingan Jenis Metode 2FA: SMS, TOTP, Hardware Key, Biometrik

Ada beberapa jenis autentikasi dua faktor yang tersedia saat ini, masing-masing dengan tingkat keamanan dan kenyamanan berbeda. Memahami pilihan ini membantu Anda memilih metode 2FA yang tepat untuk setiap akun — dari login gaming santai hingga akun perbankan dan crypto bernilai tinggi. Di bawah ini kami bandingkan setiap bentuk 2FA utama yang akan Anda temui di 2026, dengan pro, kontra, dan rekomendasi kami secara jujur.

Metode 2FA Keamanan Kenyamanan Cocok Untuk
SMS 2FALowHighFallback only; vulnerable to SIM swap
TOTP Authenticator AppHighHighDaily 2FA for all accounts
Push NotificationsMediumVery HighWork accounts with managed devices
Hardware Security KeyVery HighMediumEmail, password manager, crypto
Biometric / PasskeyVery HighVery HighModern passwordless sign-in
Backup CodesMediumOne-timeRecovery when authenticator is lost

SMS-based 2FA adalah bentuk autentikasi dua faktor paling umum karena bekerja dengan semua handphone. Setelah memasukkan password, pesan teks dengan kode verifikasi 6 digit dikirim ke nomor Anda. Meskipun nyaman, SMS 2FA rentan terhadap serangan SIM swapping — penjahat menipu operator untuk memindahkan nomor Anda ke perangkat mereka. NIST sudah mendeprecate SMS sebagai metode 2FA aman untuk akun bernilai tinggi, dan bank besar semakin merekomendasikan pindah ke aplikasi authenticator TOTP.

Authenticator apps (TOTP) seperti Google Authenticator, Microsoft Authenticator, Authy, dan 1Password menghasilkan password sekali pakai berbasis waktu langsung di perangkat Anda tanpa butuh koneksi jaringan. Ini membuat TOTP 2FA lebih cepat, lebih aman, dan kebal terhadap serangan SIM swap. Kode berputar tiap 30 detik berdasarkan standar RFC 6238, dan secret key yang sama bekerja di semua authenticator kompatibel — termasuk generator berbasis browser ini.

Hardware security keys seperti YubiKey, Google Titan, SoloKeys, dan Feitian menggunakan standar FIDO2 / WebAuthn untuk membuktikan kepemilikan fisik melalui perangkat USB, NFC, atau Bluetooth. Hardware key adalah gold standard keamanan 2FA karena tahan phishing — halaman login palsu tidak bisa memanen tanda tangan kriptografi, tidak seperti kode TOTP. Gunakan hardware key untuk akun paling kritis: email utama, password manager, crypto exchange, dan identitas kerja.

Push notification 2FA aplikasi seperti Duo Mobile, push prompt Microsoft Authenticator, dan Okta Verify mengirim tap konfirmasi ke handphone. Lebih nyaman daripada mengetik kode 2FA 6 digit tapi butuh dukungan layanan dan rentan terhadap serangan \"MFA fatigue\" di mana penjahat spam request persetujuan berharap Anda tap Approve karena lalai.

Biometric 2FA and passkeys menggunakan sidik jari atau pengenalan wajah, sering dikombinasikan dengan passkey yang terikat ke perangkat. Apple Face ID, Windows Hello, dan pemindai sidik jari Android semakin sering dipakai sebagai faktor kedua untuk perangkat yang sudah sign-in. Passkey berbasis FIDO2 / WebAuthn secara bertahap menggantikan password dan TOTP 2FA di Google, Apple, Microsoft, GitHub, dan daftar layanan yang terus bertambah — ini adalah masa depan autentikasi.

Rekomendasi kami: gunakan aplikasi authenticator TOTP sebagai metode 2FA utama, didukung hardware security key untuk akun paling kritis (email utama, password manager, crypto, identitas kerja). Hindari SMS 2FA jika memungkinkan dan selalu simpan backup codes offline di tempat aman.

Cara Mengaktifkan 2FA di Layanan Populer (Langkah demi Langkah)

Menyiapkan autentikasi dua faktor sedikit berbeda di tiap platform, tapi alur intinya sama di semua layanan besar. Di bawah ini panduan cepat langkah demi langkah untuk mengaktifkan 2FA di platform paling populer, semuanya bekerja mulus dengan generator TOTP ini.

Aktifkan 2FA di Google / Gmail

Kunjungi myaccount.google.com lalu Security, 2-Step Verification, Get Started. Masuk dengan password, pilih Authenticator app. Google menampilkan kode QR — scan dengan generator TOTP kami atau tempel secret key Base32. Google juga mendukung notifikasi Google Prompt dan hardware security key sebagai metode 2FA tambahan untuk akun Gmail dan Google Anda.

Aktifkan 2FA di Facebook / Meta

Klik foto profil Facebook Anda, buka Settings & Privacy, Settings, Accounts Center, Password and security, Two-factor authentication. Pilih Authentication app dan scan kode QR atau salin secret key ke generator kode 2FA kami. Facebook memperbolehkan SMS sebagai backup, tapi 2FA aplikasi authenticator sangat disarankan untuk keamanan lebih baik.

Aktifkan 2FA di Discord

Buka Discord, User Settings (ikon gear), My Account, Enable Two-Factor Auth. Masukkan password, lalu pakai kode QR yang ditampilkan atau key Base32 manual dengan generator kode 2FA kami. Selalu simpan backup codes Discord segera — jika kehilangan akses ke authenticator, Discord butuh kode tersebut untuk pemulihan akun.

Aktifkan 2FA di GitHub

Pergi ke Settings, Password and authentication, Two-factor authentication, Enable. Pilih Set up using an app untuk membuat kode TOTP dengan tool 2FA kami atau authenticator RFC 6238 mana pun. GitHub juga mendukung FIDO2 security key sebagai faktor tambahan, dan mewajibkan 2FA untuk semua contributor di repository sensitif.

Aktifkan 2FA di Microsoft / Outlook

Kunjungi account.microsoft.com, Security, Advanced security options, Two-step verification, Turn on. Microsoft lebih suka aplikasi Microsoft Authenticator sendiri tapi generator TOTP RFC 6238 mana pun — termasuk kami — bekerja identik. Setup 2FA yang sama mencakup Outlook, Xbox, Microsoft 365, Teams, OneDrive, dan semua layanan Microsoft lainnya.

Aktifkan 2FA di Fortnite / Epic Games

Kunjungi epicgames.com lalu account, password-and-security, Two-factor authentication, Enable Authenticator App. Scan kode QR dengan generator 2FA kami. Mengaktifkan 2FA di Fortnite juga memberikan hadiah emote Boogiedown dan meningkatkan keamanan akun Rocket League dan Epic Games Store Anda.

Aktifkan 2FA di Binance / Coinbase / Kraken

Setiap crypto exchange besar — Binance, Coinbase, Kraken, Gemini, KuCoin, Bitstamp — mewajibkan 2FA untuk withdrawal. Aktifkan kompatibilitas Google Authenticator di tab security tiap exchange dan simpan secret key di password manager. Kehilangan akses 2FA ke akun crypto tanpa backup codes bisa mengunci Anda permanen dari dana Anda.

Aktifkan 2FA di Instagram / TikTok / Snapchat

Instagram, TikTok, dan Snapchat semuanya mendukung 2FA aplikasi authenticator lewat menu Settings, Security. Tiap aplikasi membuat kode QR kompatibel dengan tool TOTP RFC 6238 mana pun. Mengingat betapa seringnya akun sosial ditarget untuk pencurian akun dan dijual kembali, mengaktifkan autentikasi dua faktor di setiap akun media sosial adalah wajib di 2026.

Setelah mengaktifkan 2FA di layanan apa pun, segera test dengan logout dan login kembali — sebelum Anda benar-benar membutuhkannya. Ini memastikan kode authenticator bekerja benar dan Anda sudah menyimpan recovery backup codes dengan aman.

Best Practice Keamanan 2FA yang Harus Diikuti Setiap User

Mengaktifkan autentikasi dua faktor hanya setengah pekerjaan. Mengikuti best practice berikut menjaga setup 2FA Anda aman dari ancaman modern yang menarget aplikasi authenticator, kode SMS, dan alur pemulihan. Mengadopsi setengah saja dari praktik di bawah akan menempatkan Anda lebih baik dari 95% user dalam hal hygiene 2FA.

  • Selalu simpan backup codes Anda. Setiap layanan yang mendukung 2FA membuat 8-10 recovery code sekali pakai saat Anda mengaktifkan authenticator. Cetak, simpan di password manager, atau simpan di catatan terenkripsi. Tanpa backup codes, kehilangan handphone bisa berarti kehilangan akun permanen — tidak ada customer support yang bisa memulihkan akun 2FA yang di-hardened tanpa bukti identitas.
  • Gunakan beberapa perangkat authenticator. Ekspor backup 2FA dari tool ini dan impor di perangkat kedua, atau pakai Authy / 1Password yang sync secret TOTP antar perangkat secara native. Google Authenticator sekarang punya fitur ekspor QR resmi. Memiliki perangkat kedua berarti handphone hilang atau rusak tidak memutus Anda dari setiap akun 2FA di saat terburuk.
  • Waspadai serangan MFA fatigue. Penyerang yang tahu password Anda mungkin spam permintaan 2FA notifikasi push berharap Anda tap Approve karena kebiasaan atau kesal. Ini dipakai di kebocoran profil tinggi di Uber dan lainnya. Selalu periksa aplikasi mana yang meminta konfirmasi dan tolak prompt tak terduga — login sah jarang memicu permintaan 2FA tanpa sebab di tengah malam.
  • Jaga dari SIM swapping. Bahkan jika Anda menghindari SMS 2FA, nomor handphone sering terkait dengan alur pemulihan akun. Minta operator menambah PIN atau perlindungan port-out ke akun Anda agar penjahat tidak bisa memindahkan SIM ke perangkat mereka. Perubahan ini saja memblokir sebagian besar serangan SIM swap dan gratis di semua operator besar.
  • Kombinasikan 2FA dengan password manager. Password kuat dan unik per situs plus TOTP 2FA plus hardware security key untuk akun kritis adalah gold standard keamanan akun di 2026. 1Password, Bitwarden, LastPass, dan KeePass bisa menyimpan secret TOTP bersama password — beberapa bahkan autofill kedua kolom sekaligus untuk pengalaman login mulus.
  • Jangan pernah share kode 2FA, bahkan dengan support. Tidak ada perusahaan sah, bank, atau platform online yang akan meminta Anda membaca kode 2FA 6 digit dengan keras, mengetik di chat, atau mengirim via email. Jika ada yang minta — entah mengaku tech support, bank Anda, atau kurir — itu penipuan. Tutup telepon dan hubungi perusahaan lewat nomor resmi atau website mereka langsung.
  • Audit setup 2FA Anda tahunan. Daftar setiap akun tempat Anda mengaktifkan autentikasi dua faktor. Hapus 2FA dari akun yang tidak dipakai, aktifkan di akun baru yang dibuat, dan verifikasi backup codes masih bekerja. Audit 2FA tahunan menangkap alamat email pemulihan yang usang, nomor handphone lama, dan seed authenticator terlupakan.
  • Upgrade ke passkey jika tersedia. Passkey FIDO2 / WebAuthn secara bertahap menggantikan password dan TOTP 2FA di Google, Apple, Microsoft, GitHub, PayPal, dan ratusan layanan lain. Passkey tahan phishing by design dan terikat ke secure enclave perangkat — saat situs menawarkan passkey, aktifkan daripada hanya mengandalkan kode 2FA.

Troubleshooting Masalah Umum 2FA

Bahkan setup autentikasi dua faktor yang dikonfigurasi dengan baik bisa mengalami masalah. Berikut masalah 2FA paling umum yang dihadapi user dan perbaikan praktis yang menyelesaikan sebagian besar tanpa perlu kontak support.

\"Invalid 2FA code\" atau \"Kode verifikasi salah\"

Penyebab paling umum adalah jam perangkat yang drift. TOTP bergantung pada waktu akurat — offset 30 detik saja menyebabkan kode tidak cocok. Di Android: Settings, System, Date & time, Set time automatically. Di iOS: Settings, General, Date & Time, Set Automatically. Di Windows: Settings, Time & language, Date & time, Set time automatically. Server biasanya menerima kode dalam window plus/minus 1, jadi mencoba kode berikutnya setelah refresh 30 detik sering bekerja.

Typo secret key saat input manual

Base32 hanya menggunakan A sampai Z dan 2 sampai 7 — tidak ada 0, 1, 8, atau 9. Karakter ambigu seperti O vs 0 atau I vs 1 merusak semuanya. Salin secret key langsung dari kode QR layanan alih-alih mengetik manual, atau pakai QR scanner bawaan kami. Banyak layanan juga memperbolehkan menampilkan secret plaintext di samping kode QR untuk input manual lebih mudah.

Kehilangan handphone dengan aplikasi authenticator

Pertama, coba backup codes — sebagian besar layanan meminta satu saat Anda tidak bisa akses authenticator 2FA. Jika Anda sudah ekspor atau sync secret TOTP, restore di perangkat baru. Sebagai usaha terakhir, kontak tim support layanan dan ikuti alur pemulihan akun mereka, yang biasanya melibatkan verifikasi ID pemerintah atau konfirmasi secret lain. Jangan pernah bayar 2FA recovery service pihak ketiga — mereka penipuan.

Kode QR tidak bisa discan

Pencahayaan, fokus kamera, dan silau layar adalah penyebab umum. Coba download QR sebagai file gambar dan unggah ke image scanner kami, atau masukkan manual secret key Base32 yang ditampilkan. Pastikan tidak ada ekstensi browser yang memodifikasi tampilan QR.

Akun benar-benar terkunci dari 2FA

Sebagian besar layanan mendukung verifikasi identitas lewat ID pemerintah, 4 digit terakhir kartu kredit, email pemulihan, atau kontak terpercaya. Login sosial (Google, Apple, Microsoft) sering bisa membuka lewat 2FA akun induk. Crypto exchange paling ketat — harap bersiap proses KYC multi-hari. Dokumentasikan identitas Anda dengan benar dan ikuti alur pemulihan resmi tiap layanan.

Notifikasi push tidak datang

Pastikan aplikasi authenticator punya izin notifikasi, battery optimization dinonaktifkan khusus untuknya, dan perangkat punya akses internet aktif. Di Android, beberapa battery saver agresif mematikan layanan authenticator background — whitelist aplikasi 2FA Anda. Merestart aplikasi biasanya merefresh push token.

Cara Kerja TOTP di Balik Layar (Technical Deep Dive)

Untuk yang penasaran teknis, berikut langkah demi langkah bagaimana kode 2FA TOTP dibuat, mengikuti RFC 6238 — algoritma yang sama yang dipakai generator 2FA kami secara internal, dan algoritma yang sama yang diikuti Google Authenticator, Microsoft Authenticator, Authy, dan semua authenticator kompatibel lainnya.

  1. 1. Shared secret. Saat Anda mengaktifkan 2FA di layanan, baik server dan aplikasi authenticator Anda menyetujui secret key acak, biasanya 160 bit (20 byte) yang di-encode Base32 untuk tampilan yang bisa dibaca manusia. Shared secret ini tidak pernah meninggalkan kedua sisi dalam operasi normal.
  2. 2. Time counter. Ambil timestamp Unix saat ini, bagi dengan 30, floor hasilnya. Ini menghasilkan integer counter yang bertambah di kedua sisi setiap 30 detik. Menggunakan waktu sebagai counter berarti tidak perlu sinkronisasi state antara server dan authenticator — kedua sisi secara independen menghitung nilai yang sama.
  3. 3. HMAC-SHA1. Hitung hash HMAC-SHA1 menggunakan shared secret sebagai key dan counter 8 byte big-endian sebagai message. Output adalah 20 byte hash kriptografi. Implementasi modern juga mendukung HMAC-SHA256 dan HMAC-SHA512 untuk 2FA lebih kuat saat kedua sisi setuju pada algoritma.
  4. 4. Dynamic truncation. Ambil byte terakhir hash, mask 4 bit bawah untuk mendapat offset (0 sampai 15). Ekstrak 4 byte dari offset tersebut di hash, clear high bit, dan perlakukan hasil sebagai integer 32-bit. Ini algoritma dynamic truncation dari RFC 4226 (HOTP) yang menjadi dasar TOTP.
  5. 5. Modulo untuk digit. Hitung integer 32-bit modulo 10 pangkat digit — biasanya 10 pangkat 6 untuk kode 2FA 6 digit standar, atau 10 pangkat 8 untuk beberapa layanan perbankan. Pad dengan nol di depan jika perlu agar output nilai rendah seperti 7 menjadi 000007, bukan kode parsial.

Hasilnya adalah kode verifikasi 6 digit yang dihitung identik oleh authenticator dan server. Saat Anda mengetik kode saat login, server menghitung kode yang diharapkan untuk window waktu saat ini dan membandingkan. Karena HMAC collision-resistant, hanya yang memegang shared secret yang bisa menghasilkan kode TOTP valid — itulah matematika kriptografi di balik keamanan 2FA modern. Dalam implementasi kami, seluruh komputasi ini terjadi client-side menggunakan Web Crypto API browser, jadi secret key Anda tidak pernah menyentuh server dan kode yang kami hasilkan cocok persis dengan Google Authenticator, Authy, Microsoft Authenticator, 1Password, Bitwarden, dan semua authenticator yang patuh RFC 6238.

Glosarium Autentikasi Dua Faktor

Referensi cepat untuk terminologi autentikasi dua faktor paling umum yang akan Anda temui saat mengaktifkan 2FA di berbagai layanan.

2FA
Two-Factor Authentication. Requires two different authentication factors before granting account access.
MFA
Multi-Factor Authentication. Umbrella term covering any use of multiple factors (2FA is the most common form of MFA).
TOTP
Time-based One-Time Password. 6-digit 2FA codes that change every 30 seconds. Defined by RFC 6238.
HOTP
HMAC-based One-Time Password. Counter-based 2FA codes that increment on each use. Defined by RFC 4226.
OTP
One-Time Password. Any code valid for a single login attempt. Includes both TOTP and HOTP variants.
HMAC
Hash-based Message Authentication Code. The cryptographic primitive that underpins both TOTP and HOTP.
Base32
The text encoding used for 2FA secret keys — only A–Z and 2–7, chosen to avoid ambiguous characters.
Authenticator
Any app or device that generates 2FA codes. Examples: Google Authenticator, Authy, 1Password, Microsoft Authenticator.
QR Code
Quick Response barcode containing the otpauth:// URI used to provision a new 2FA secret without typing.
Secret Key
The shared cryptographic key between you and the service, usually 160 bits encoded in Base32.
Recovery Codes
Single-use backup codes to log in when your authenticator is unavailable. Also called backup codes.
SIM Swap
Attack where criminals port your phone number to their SIM card to intercept SMS 2FA codes.
Passkey
Modern FIDO2 / WebAuthn credential replacing passwords plus 2FA on a growing list of sites.
FIDO2
Open authentication standard for phishing-resistant login using hardware keys or device biometrics.
WebAuthn
Web API that implements FIDO2 inside the browser for passkey and hardware key sign-in.
U2F
Universal 2nd Factor. The predecessor of FIDO2, still supported by many hardware security keys.
YubiKey
Popular brand of hardware security key supporting FIDO2, U2F, OTP, and smart card functions.
Phishing-resistant MFA
2FA methods (hardware keys, passkeys) that cannot be tricked by fake login pages.