Otentikasi dua faktor kini menjadi default untuk bank, email, platform sosial, dan sebagian besar tempat kerja SaaS. Setiap akun aktif menambahkan kode enam digit lainnya untuk diingat, dan aplikasi yang menyimpan kode-kode tersebut diam-diam menjadi salah satu perangkat lunak paling penting bagi keamanan di ponsel Anda. Google Authenticator berfungsi, tetapi pada tahun 2026 ini bukan lagi pilihan yang tepat. Sinkronisasi cloud hadir pada tahun 2023 tanpa end-to-end encryption, sehingga menuai kritik publik dari peneliti keamanan di Mysk, dan aplikasi tersebut tetap menjadi hak milik dan hanya untuk Android dan iOS. Ada alternatif Google Authenticator yang lebih baik sekarang, dan kebanyakan gratis.
Kami membandingkan tujuh aplikasi 2FA selama sebulan terakhir: cara aplikasi tersebut mengenkripsi brankas, cara pencadangan, apakah aplikasi tersebut disinkronkan antar perangkat, dan apa yang terjadi jika ponsel Anda hilang. Pemenangnya adalah open source, bekerja secara offline, dan membiarkan Anda memutuskan di mana data berada. Aegis, Ente Auth, dan 2FAS memimpin kelompok ini, dengan beberapa pilihan khusus yang perlu diketahui.
Perbandingan cepat
| Aplikasi | Terbaik untuk | Sumber terbuka | Sinkronisasi lintas perangkat | E2E cadangan terenkripsi | Gratis |
|---|---|---|---|---|---|
| Aegis Authenticator | Pengguna kuat Android | Ya (GPL-3.0) | Tidak (ekspor manual) | Ya (file brankas) | Ya |
| Ente Auth | Lintas platform dengan cadangan cloud | Ya (AGPL-3.0) | Ya | Ya | Ya |
| 2FAS | Sinkronisasi tanpa akun dan pemasangan browser | Ya (GPL-3.0) | Ya | Awan dan manual | Ya |
| Bitwarden Authenticator | Bitwarden pengguna | Ya (GPL-3.0) | Khusus lokal | Lokal | Ya |
| Microsoft Authenticator | Microsoft 365 masuk | Tidak | Ya (akun Microsoft) | Ya (dengan frasa sandi) | Ya |
| FreeOTP | Token minimal dan tanpa embel-embel | Ya (Apache 2.0) | Tidak | Tidak (ekspor manual) | Ya |
| Yubico Authenticator | Penyimpanan kunci perangkat keras | Ya | Di seberang YubiKeys | N/A (pada perangkat keras) | Ya |
Mengapa orang meninggalkan Google Authenticator
Tiga masalah nyata muncul berulang kali di thread pengguna, artikel keamanan, dan pengujian kami sendiri.
Sinkronisasi tanpa end-to-end encryption secara default. Google menambahkan sinkronisasi cloud opsional pada bulan April 2023. Saat peluncuran, rahasia yang disinkronkan melewati infrastruktur Google tanpa end-to-end encryption, yang berarti penyusupan akun Google (atau panggilan pengadilan) dapat mengungkap rahasia tersebut. Google kemudian menambahkan frasa sandi enkripsi opsional, tetapi frasa tersebut ikut serta dan banyak pengguna tidak pernah mengaktifkannya.
Sumber tertutup. Google Authenticator merupakan sumber terbuka hingga tahun 2020 dan kini menjadi perangkat lunak gratis berpemilik. Rilis sumber terbuka terbaru diarsipkan di GitHub dan dibekukan pada versi tahun 2020. Untuk aplikasi yang menyimpan kunci akun Anda yang lain, ini adalah kesenjangan kepercayaan yang berarti.
Penguncian akun. Sinkronisasi cloud hanya berfungsi di dalam akun Google. Pindah ke vendor telepon lain atau ingin cadangan portabel, dan Anda kembali ke transfer manual.
Semua ini tidak membuat Google Authenticator tidak aman. Artinya kini ada alternatif Google Authenticator yang lebih baik untuk hampir setiap kasus penggunaan.
Alternatifnya
1. Aegis Authenticator, terbaik untuk penggunaan offline Android
Aegis Authenticator adalah pilihan de facto bagi siapa saja yang menyimpan kode 2FA di satu perangkat Android dan menginginkan enkripsi lokal yang kuat. Gudang dienkripsi dengan AES-256-GCM, kata sandi dijalankan melalui scrypt, dan pembukaan kunci dapat dikaitkan ke Android Keystore untuk biometrik. Tidak ada yang keluar dari telepon kecuali Anda memintanya.
Aegis vs Google Authenticator: open source di bawah GPL-3.0, kriptografi yang diaudit, dan jalur impor dari Authy, andOTP, FreeOTP, Microsoft Authenticator, Steam, dan Google Authenticator itu sendiri. Pencadangan dilakukan secara otomatis ke folder pilihan Anda, termasuk penyedia cloud mana pun yang mengekspos Storage Access Framework (Nextcloud, Cryptomator, ProtonDrive). Versi saat ini adalah v3.4.2, dirilis pada Februari 2026.
Kekurangannya: Khusus Android. Tidak ada iOS atau klien desktop, dan tidak ada sinkronisasi bawaan antar perangkat. Jika Anda menukar ponsel, Anda memulihkan dari file brankas terenkripsi.
Harga: Gratis, tanpa iklan, tanpa telemetri.
Bermigrasi dari Google Authenticator: Gunakan kode “Akun transfer” Google Authenticator QR, pindai dengan Aegis, selesai. Transfer kunci dengan bersih.
Download: Intinya: Jika kode Anda ada di satu ponsel Android, Aegis adalah opsi lokal terkuat di tahun 2026.
2. Ente Auth, terbaik untuk lintas platform dengan cadangan end-to-end encrypted
Ente Auth adalah hal yang paling mirip dengan pengganti Google Authenticator drop-in yang berjalan di mana-mana. Aplikasi asli untuk Android, iOS, macOS, Windows, Linux, ditambah klien web di auth.ente.io dan CLI untuk pembuatan skrip. Cadangan cloud end-to-end encrypted menggunakan protokol yang sama dengan yang digunakan Ente Photos, yang telah diaudit oleh Cure53.
Polesan inilah yang mengejutkan kebanyakan orang. Ente Auth menampilkan kode berikutnya sebelum kode saat ini kedaluwarsa (jadi Anda tidak perlu menunggu saat mengetiknya dalam jendela 2 detik), mendukung tag dan menyematkan, memiliki pencarian nyata, dan memungkinkan Anda berbagi kode sebagai tautan berbatas waktu alih-alih mendiktekan angka melalui panggilan telepon. Kode berfungsi offline dan Anda dapat menggunakan aplikasi sepenuhnya tanpa akun jika Anda tidak ingin cadangan cloud.
Ente Auth vs Google Authenticator: sinkronisasi end-to-end encrypted (tanpa pengetahuan, bukan ikut serta), sumber terbuka di bawah AGPL-3.0, tersedia di setiap OS utama, dan gratis selamanya. Sinkronisasi Google Authenticator memerlukan akun Google dan hanya mengirimkan mode enkripsi berbasis frasa sandi yang tidak pernah diaktifkan oleh sebagian besar pengguna.
Kekurangannya: Sinkronisasi cloud memerlukan akun Ente. Aplikasi Android berukuran sekitar 14 MB, lebih besar dari Aegis atau 2FAS. Beberapa ikon penerbit khusus tidak ada dalam paket ikon.
Harga: Gratis, selamanya. Ente menghasilkan uang dari Ente Photos.
Bermigrasi dari Google Authenticator: Importir bawaan menerima transfer Google Authenticator kode QR, ditambah Aegis, 2FAS, Authy file ekspor, dan JSON biasa.
Download: Intinya: Pilih Ente Auth jika Anda menggunakan lebih dari satu perangkat atau ingin pemulihan tanpa memercayai Google dengan rahasia Anda.
3. 2FAS, terbaik untuk sinkronisasi tanpa akun
2FAS telah ada sejak tahun 2015 dan diam-diam berkembang menjadi salah satu pengautentikasi independen yang paling banyak digunakan di Play Store, dengan lima juta pemasangan di Android. Pengaitnya adalah sinkronisasi yang tidak memerlukan akun: Anda memasangkan aplikasi seluler ke ekstensi browser 2FAS melalui saluran lokal terenkripsi, dan kode mengalir secara otomatis ke perintah klik untuk mengisi di komputer Anda. Tidak ada registrasi, tidak ada email, tidak ada email pemulihan untuk phish.
Aplikasi Android bersifat open source di bawah GPL-3.0, mendukung pencadangan cloud dan manual, perlindungan biometrik atau PIN saat peluncuran, Apple Watch di iOS, pengorganisasian berdasarkan grup dan tag, dan bekerja sepenuhnya offline. Basis kode, aplikasi iOS, ekstensi browser, dan server sinkronisasi semuanya ada dalam satu organisasi GitHub untuk diperiksa.
2FAS vs Google Authenticator: kesederhanaan serupa, tetapi dengan isi otomatis browser pihak pertama, sinkronisasi lintas perangkat tanpa mengunci Anda ke akun vendor, dan basis kode sumber terbuka yang dapat Anda audit.
Kekurangannya: Belum ada aplikasi desktop asli (ekstensi browser adalah cerita desktop). Pencadangan cloud menggunakan Google Drive di Android dan iCloud di iOS, yang memudahkan namun menghubungkan pemulihan dengan vendor tersebut.
Harga: Gratis, tanpa tingkat premium.
Bermigrasi dari Google Authenticator: Pindai transfer Google QR. 2FAS mengimpor setiap entri secara utuh.
Download: Intinya: Aplikasi sumber terbuka termudah untuk direkomendasikan kepada pengguna non-teknis yang menginginkan kodenya di ponsel dan laptop.
4. Bitwarden Authenticator, terbaik untuk pengguna Bitwarden
Bitwarden Authenticator adalah aplikasi mandiri TOTP yang dirilis oleh Bitwarden pada tahun 2024. Aplikasi ini sengaja dipisahkan dari pengelola kata sandi Bitwarden, sehingga rahasianya tidak pernah tersimpan di brankas yang sama dengan kata sandi yang dilindunginya. Aplikasi ini gratis, open source di bawah GPL-3.0, dan berfungsi di Android dan iOS.
Kasus penggunaannya sempit namun berharga: jika Anda sudah menggunakan Bitwarden untuk kata sandi dan ingin menyimpan kode TOTP dari brankas yang sama untuk pertahanan yang mendalam, ini adalah aplikasi yang cocok. Ini sengaja dibuat minimal, tanpa sinkronisasi cloud saat ini, hanya rahasia lokal dan opsi ekspor.
Kekurangannya: Khusus lokal. Tidak ada sinkronisasi antar perangkat dan tidak ada cadangan cloud pada rilis saat ini. Jika Anda memerlukan akses lintas perangkat, lihat Ente Auth atau 2FAS saja. UI-nya juga biasa saja jika dibandingkan dengan Aegis atau Ente.
Harga: Gratis.
Bermigrasi dari Google Authenticator: Entri manual atau pemindaian kode QR per akun. Belum ada impor massal dari transfer Google QR.
Download: Intinya: Pilihan tepat jika Anda sudah mempercayai Bitwarden dan ingin kode TOTP Anda berada di aplikasi terpisah dengan tujuan tunggal.
5. Microsoft Authenticator, terbaik untuk proses masuk Microsoft 365
Microsoft Authenticator layak untuk dicoba jika Anda masuk ke Microsoft 365, Entra ID, atau organisasi mana pun yang menggunakan Microsoft sebagai penyedia identitasnya. Ini mendukung proses masuk tanpa kata sandi, perintah persetujuan push (ketuk untuk menyetujui alih-alih mengetik enam digit), dan pencocokan nomor untuk bertahan dari serangan kelelahan MFA. Untuk akun non-Microsoft, ini berfungsi sebagai aplikasi TOTP standar untuk layanan apa pun yang mendukung algoritme.
Cadangan cloud adalah end-to-end encrypted ke akun Microsoft Anda di iOS, dengan pemulihan di perangkat baru yang dilindungi oleh kata sandi akun Microsoft dan opsi pemulihan. Di Android, cadangannya juga menggunakan akun Microsoft Anda. Kode berfungsi offline setelah ditambahkan.
Microsoft Authenticator vs Google Authenticator: lebih banyak fitur untuk pengguna perusahaan, persetujuan push, dan model cadangan yang telah matang selama bertahun-tahun. Masalahnya adalah aplikasi ini bersifat sumber tertutup dan menarik Anda ke dalam ekosistem identitas Microsoft.
Kekurangannya: Sumber tertutup. Pencadangan memerlukan akun Microsoft. Aplikasi ini berukuran sekitar 60 MB dan mencakup fitur manajemen akun yang tidak terkait dengan TOTP.
Harga: Gratis.
Bermigrasi dari Google Authenticator: Aegis dapat mengimpor dari Google Authenticator dan mengekspor ulang ke Microsoft Authenticator. Impor langsung ke dalam Microsoft Authenticator dibatasi.
Download: Intinya: Pilihan yang tepat jika separuh login Anda adalah akun Microsoft. Lewati saja sebaliknya.
6. FreeOTP, terbaik untuk token tanpa embel-embel minimal
FreeOTP adalah proyek yang dikirimkan Red Hat untuk memberikan komunitas sumber terbuka pengautentikasi berlisensi Apache 2.0 yang bersih. Ia melakukan satu hal: menghasilkan kode TOTP dan HOTP. Tidak ada sinkronisasi, tidak ada paket ikon, tidak ada catatan, tidak ada biometrik di sebagian besar versi, tidak ada UI yang mewah. Bagi orang yang menginginkan permukaan serangan sekecil mungkin dan lisensi yang permisif, minimalis adalah fiturnya.
Penerus yang dipertahankan, FreeOTP+, menambahkan beberapa sentuhan kualitas hidup seperti pencadangan dan pemulihan dari file terenkripsi, sekaligus mempertahankan model sederhana yang sama. Keduanya merupakan pilihan bagus untuk perangkat sekunder yang Anda simpan di laci untuk pemulihan darurat.
FreeOTP vs Google Authenticator: sumber terbuka, tidak ada akun Google, tidak ada sinkronisasi cloud sama sekali. Anda tidak akan kehilangan kode karena kata sandi Google yang terlupa, tetapi Anda tidak akan mendapatkannya kembali jika Anda kehilangan ponsel tanpa ekspor manual.
Kekurangannya: Tidak ada cadangan cloud atau sinkronisasi perangkat. UI itu dasar. Pembaruan jarang terjadi dibandingkan dengan Aegis atau 2FAS.
Harga: Gratis.
Bermigrasi dari Google Authenticator: Pemindaian atau entri manual per akun. Tidak ada impor massal.
Download: Intinya: Gunakan FreeOTP bila Anda menginginkan pengautentikasi terkecil dan paling membosankan. Aegis adalah pilihan yang lebih kuat untuk penggunaan sehari-hari.
7. Yubico Authenticator, terbaik untuk penyimpanan kunci perangkat keras
Yubico Authenticator menyimpan rahasia TOTP di YubiKey, bukan di ponsel Anda. Ponsel membaca YubiKey melalui USB-C atau NFC, meminta kunci untuk menghitung kode, dan menampilkannya. Tarik kuncinya keluar, dan kodenya hilang. Ini adalah model ancaman terkuat dalam daftar: ponsel curian tidak pernah memiliki rahasianya, dan tim forensik tidak pernah menemukannya.
Hasil tangkapannya jelas. Anda memerlukan YubiKey 5 atau token yang kompatibel (sekitar 50 hingga 70 USD), dan Anda harus mengetuknya setiap kali Anda memerlukan kode. Untuk akun sensitif (admin root, perbendaharaan, email pemulihan) pengorbanan ini sepadan. Untuk Twitter sehari-hari atau Reddit, itu berlebihan.
Yubico Authenticator vs Google Authenticator: rahasia tidak pernah meninggalkan perangkat keras, tidak ada cloud apa pun, dan tidak ada risiko kehilangan kode jika ponsel dicuri atau diganti. Kumpulan kode yang sama tersedia di iOS, Android, Windows, macOS, dan Linux selama kuncinya terpasang.
Kekurangannya: Membutuhkan perangkat keras. Lebih lambat per kode. Slot YubiKey OTP gratis dibatasi hingga 32 entri pada YubiKey 5 NFC, sehingga tidak berskala hingga seratus akun.
Harga: Aplikasi gratis. YubiKey 5 NFC mulai dari 55 USD di yubico.com.
Bermigrasi dari Google Authenticator: Setiap akun harus didaftarkan ulang dengan YubiKey. Secara desain, tidak ada jalur impor massal.
Download: Intinya: Opsi paling paranoid yang masih berfungsi untuk manusia normal. Pasangkan dengan salah satu aplikasi di atas untuk hasil yang panjang.
Cara memilih
Jika Anda hanya menggunakan Android dan menginginkan satu ponsel, satu brankas: Aegis. Kriptografinya solid, jalur impornya bersih, dan Anda mengontrol lokasi file cadangan.
Jika Anda memiliki iPhone, tablet Android, dan desktop Linux: Ente Auth. Sinkronisasi terenkripsi ujung ke ujung yang berfungsi, gratis, sumber terbuka, dan fitur lengkap di setiap platform.
Jika Anda ingin sinkronisasi dan dapat menggunakan ekstensi browser alih-alih aplikasi desktop: 2FAS. Isi otomatis dari ekstensi ke telepon adalah opsi gratis yang paling lancar.
Jika Anda sudah mempercayai Bitwarden untuk kata sandi dan ingin kode TOTP Anda berada di tempat lain berdasarkan prinsip: Bitwarden Authenticator. Vendor yang sama, aplikasi terpisah, brankas terpisah.
Jika sebagian besar login Anda adalah Microsoft 365 atau Entra ID: Microsoft Authenticator. Persetujuan push membuat login harian menjadi lebih cepat, dan cerita pencadangannya sudah matang.
Jika Anda menginginkan aplikasi yang sederhana dan mudah diaudit: FreeOTP. Itu melakukan satu hal.
Jika kamu menjaga perbendaharaan, root, atau apa pun yang akan merusak tahunmu jika disusupi: Yubico Authenticator dengan YubiKey 5. Pasangkan dengan Aegis atau Ente Auth untuk akun sehari-hari.
Tetap di Google Authenticator jika Anda hanya menggunakan satu perangkat Android, Anda sebagian besar masuk ke layanan Google, Anda telah mengaktifkan frasa sandi enkripsi secara manual untuk sinkronisasi akun Google, dan Anda tidak memerlukan kode tersebut di tempat lain. Bagi semua orang, salah satu dari tujuh di atas lebih cocok.
Pertanyaan Umum
Apakah sinkronisasi cloud Google Authenticator end-to-end encrypted? Tidak secara default. Google menambahkan sinkronisasi cloud pada bulan April 2023, dan peneliti keamanan di Mysk secara terbuka mencatat bahwa rahasia yang disinkronkan masuk ke server Google tanpa end-to-end encryption. Google telah menambahkan frasa sandi enkripsi opsional, tetapi Anda harus mengaktifkannya sendiri. Aplikasi seperti Ente Auth menggunakan sinkronisasi end-to-end encrypted secara default tanpa perlu melupakan frasa sandi.
Apa alternatif Google Authenticator gratis terbaik? Hanya untuk penggunaan Android, Aegis Authenticator. Untuk beberapa perangkat, Ente Auth. Keduanya open source, keduanya benar-benar gratis tanpa penguncian cadangan tingkat premium.
Dapatkah saya mengimpor kode Google Authenticator ke aplikasi lain? Ya. Buka Google Authenticator, ketuk menu, pilih “Transfer akun” lalu “Ekspor akun”, dan pindai kode QR yang dihasilkan dengan Aegis, Ente Auth, atau 2FAS. Ketiganya menerima format transfer Google secara langsung. Kode berfungsi di kedua aplikasi setelah diimpor, sehingga Anda dapat memverifikasi aplikasi baru sebelum menghapus Google Authenticator.
Apakah aplikasi pengautentikasi sumber terbuka sebenarnya lebih aman? Open source tidak menjamin keamanan, namun menghilangkan satu langkah kepercayaan. Siapa pun dapat mengaudit kode Aegis, Ente Auth, 2FAS, FreeOTP, dan Bitwarden Authenticator. Itu telah menangkap bug nyata di masa lalu. Aplikasi sumber tertutup seperti Microsoft Authenticator dan Google Authenticator sepenuhnya bergantung pada pernyataan vendor.
Apa yang terjadi jika saya kehilangan ponsel yang berisi aplikasi 2FA? Tergantung pada aplikasinya. Dengan Aegis Anda memulihkan dari file brankas terenkripsi (cloud atau lokal). Dengan Ente Auth atau 2FAS Anda masuk kembali ke perangkat baru dan kode Anda dipulihkan melalui sinkronisasi end-to-end encrypted. Dengan Google Authenticator Anda memulihkan dari sinkronisasi akun Google, dengan asumsi Anda sudah mengaktifkannya. Dengan FreeOTP atau Bitwarden Authenticator tanpa cadangan, Anda kembali ke kode pemulihan setiap layanan, itulah sebabnya menuliskan kode pemulihan tetap penting, apa pun aplikasinya.
Apakah aplikasi ini berfungsi tanpa internet? Ya. TOTP pembuatan kode murni perhitungan jam dan rahasia, tidak diperlukan jaringan. Ketujuh aplikasi menghasilkan kode secara offline. Internet hanya diperlukan untuk sinkronisasi dan pencadangan, jika memungkinkan.
Apakah 2FAS sebenarnya gratis, atau adakah tingkatan berbayar yang saya lewatkan? 2FAS Auth gratis tanpa tingkat premium. Produk berbayarnya adalah 2FAS Pass, yang merupakan pengelola kata sandi terpisah. Pengautentikasi dan pengelola kata sandi adalah aplikasi independen dengan harga independen.
Sumber dan bacaan lebih lanjut
- Aegis Authenticator di GitHub (GPL-3.0, AES-256-GCM brankas)
- Ente Auth di GitHub (AGPL-3.0, end-to-end encrypted cadangan)
- 2FAS di GitHub (GPL-3.0, sinkronisasi tanpa akun)
- proyek Bitwarden Authenticator
- Microsoft Authenticator ikhtisar
- FreeOTP dari Red Hat
- Yubico Authenticator
- Mysk analisis keamanan sinkronisasi cloud Google Authenticator, diposting di X pada bulan April 2023
