Tips Memperkuat Keamanan Akun Google

       

A. Gunakan Passkeys 

1. Apa Itu Passkeys Secara Teknis?

Berbeda dengan kata sandi yang merupakan deretan karakter yang Anda hafal dan simpan di server, Passkeys didasarkan pada teknologi Kriptografi Kunci Publik.

Saat Anda membuat Passkey:

  • Kunci Privat: Disimpan secara aman di perangkat Anda (HP atau Laptop) dan tidak pernah dibagikan kepada Google atau siapa pun.
  • Kunci Publik: Dikirim ke Google untuk disimpan di server mereka sebagai "pasangan" dari kunci privat Anda.

Untuk masuk (login), perangkat Anda akan menggunakan kunci privat untuk menyelesaikan "tantangan" digital dari kunci publik milik Google. Jika cocok, Anda masuk.

2. Mengapa Passkeys Jauh Lebih Aman dari Kata Sandi?

Ada tiga alasan utama mengapa metode ini dianggap sebagai standar emas keamanan saat ini:

  • Kebal Phishing: Karena tidak ada kata sandi yang Anda ketikkan, penjahat siber tidak bisa mencuri apa pun. Bahkan jika Anda terjebak masuk ke situs palsu yang menyerupai Google, situs tersebut tidak akan bisa meminta Passkey Anda karena Passkey hanya bekerja pada domain asli yang sudah terdaftar.
  • Tidak Bisa Bocor di Server: Jika server sebuah layanan (misal Google atau situs lain) diretas, peretas hanya akan mendapatkan "kunci publik" yang tidak berguna tanpa "kunci privat" yang ada di perangkat fisik Anda.
  • Keamanan Biometrik: Passkey mewajibkan verifikasi lokal, seperti sidik jari (fingerprint), pemindaian wajah (face unlock), atau PIN layar kunci perangkat. Artinya, seseorang harus memegang perangkat Anda dan memiliki akses biometrik Anda untuk bisa masuk.

3. Bagaimana Cara Kerjanya dalam Praktik?

Bayangkan Anda ingin masuk ke akun Google di laptop baru:

  1. Anda memasukkan email.
  2. Alih-alih meminta kata sandi, Google akan mengirimkan notifikasi ke HP Anda.
  3. Anda cukup memindai sidik jari atau wajah di HP tersebut.
  4. Selesai, Anda langsung masuk di laptop.

4. Apa yang Terjadi Jika HP Saya Hilang?

Ini adalah pertanyaan yang paling sering muncul. Google sudah menyiapkan solusinya:

  • Sinkronisasi Cloud: Passkeys Anda dicadangkan secara terenkripsi di Google Password Manager. Jadi, saat Anda membeli HP baru dan masuk dengan akun Google Anda, Passkeys tersebut akan dipulihkan secara otomatis.

  • Metode Cadangan: Anda tetap bisa masuk menggunakan metode lain yang sudah Anda atur sebelumnya (seperti kode cadangan yang dicetak atau verifikasi melalui email pemulihan) untuk kemudian membuat Passkey baru di perangkat baru.

5. Cara Memulainya Sekarang

Anda tidak perlu menunggu. Anda bisa mengaktifkannya dengan langkah ini:

  • Buka g.co/passkeys di browser.
  • Klik tombol "Gunakan kunci sandi" atau "Buat kunci sandi".
  • Ikuti instruksi di layar untuk mendaftarkan perangkat yang sedang Anda gunakan saat ini sebagai Passkey.

Passkeys mengubah keamanan dari "apa yang Anda ingat" (kata sandi) menjadi "apa yang Anda miliki" (perangkat fisik) ditambah "siapa Anda" (biometrik).


B. Shielded Email

Shielded Email adalah salah satu fitur privasi terbaru dan paling krusial di tahun 2026. Sederhananya, fitur ini memungkinkan Anda untuk "meminjamkan" alamat email samaran kepada situs web atau aplikasi pihak ketiga, alih-alih memberikan alamat email asli Anda (seperti namaasli@gmail.com).

Berikut adalah rincian mendalam mengenai cara kerja dan manfaatnya:

Bagaimana Cara Kerjanya?

Saat Anda mendaftar di sebuah situs (misalnya toko online baru atau aplikasi edit foto), sistem akan mendeteksi kolom pengisian email. Google akan menawarkan opsi: "Gunakan Shielded Email?".

  • Alamat Alias: Google akan membuat alamat acak yang unik, misalnya shopping.xyz123@shielded.google.com.
  • Penerusan Otomatis: Semua pesan yang dikirim ke alamat alias tersebut akan diteruskan secara otomatis ke kotak masuk Gmail utama Anda.
  • Balasan Aman: Saat Anda membalas email tersebut, Google akan tetap menggunakan alamat alias tadi sebagai pengirim, sehingga identitas asli Anda tetap tersembunyi.

Mengapa Ini Sangat Penting untuk Keamanan?

  1. Mencegah Pelacakan Lintas Situs: Perusahaan iklan sering kali menggunakan alamat email Anda sebagai "ID Unik" untuk melacak perilaku Anda di berbagai situs web. Dengan menggunakan alias yang berbeda-beda untuk setiap situs, mereka tidak bisa menghubungkan data Anda.
  2. Perlindungan Terhadap Kebocoran Data (Data Breach): Jika situs tempat Anda mendaftar diretas, peretas hanya mendapatkan alamat alias Anda. Mereka tidak akan tahu alamat email asli Anda yang digunakan untuk login ke perbankan atau media sosial utama.
  3. Kendali Penuh Atas Spam: Jika sebuah situs mulai mengirimkan spam yang mengganggu, Anda tidak perlu repot memblokirnya. Anda cukup menonaktifkan (delete) alamat alias tersebut dari pengaturan akun Google Anda. Seketika itu juga, semua email ke alamat tersebut akan diblokir oleh server Google sebelum sampai ke Anda.

Cara Mengelolanya

Semua alamat Shielded Email yang pernah Anda buat dikelola di satu tempat:

  • Buka Setelan Akun Google > Keamanan > Shielded Email.

  • Di sana, Anda bisa melihat daftar situs mana saja yang menggunakan alias, dan Anda bisa mematikan alias tersebut kapan saja dengan satu klik.

Perbedaan dengan "Hide My Email" milik Apple

Jika Anda familiar dengan ekosistem Apple, fiturnya sangat serupa. Namun, keunggulan Google di tahun 2026 ini adalah integrasinya yang sangat dalam dengan Android 16 dan Chrome, di mana pembuatan alias ini dilakukan secara otomatis tanpa Anda perlu keluar dari aplikasi yang sedang Anda gunakan.

Analogi Sederhana: Jika Passkeys adalah gembok pintu rumah yang anti-maling, maka Shielded Email adalah masker yang Anda gunakan saat berada di kerumunan agar orang asing tidak mengenali wajah asli Anda.


C. Security Checkup (Pemeriksaan Keamanan) Berkala

Jika Passkeys dan Shielded Email adalah sistem pertahanan otomatis, maka Security Checkup adalah inspeksi manual yang harus Anda lakukan sebagai "pemilik rumah". Banyak orang hanya melakukan ini saat ada masalah, padahal di tahun 2026, serangan siber jauh lebih halus dan sulit dideteksi tanpa pemeriksaan rutin.

Berikut adalah apa saja yang sebenarnya terjadi dan yang harus Anda perhatikan saat melakukan pengecekan ini:

Apa Saja yang Diperiksa?

Saat Anda membuka myaccount.google.com/security-checkup, sistem akan melakukan pemindaian terhadap empat pilar utama:

A. Perangkat yang Terhubung (The Device Audit)

Ini adalah bagian terpenting. Anda akan melihat daftar semua perangkat (HP, Laptop, Tablet, Smart TV) yang saat ini sedang log-in ke akun Anda.

  • Waspadai: Perangkat lama yang sudah Anda jual atau berikan ke orang lain.

  • Tindakan: Jika ada perangkat yang tidak Anda kenali atau sudah tidak dipakai, klik "Sign Out" segera. Jangan biarkan "pintu" tetap terbuka di perangkat yang sudah tidak dalam kendali Anda.

B. Aktivitas Keamanan Terbaru

Sistem akan mencatat setiap perubahan sensitif, seperti pergantian kata sandi, penambahan email pemulihan, atau log-in dari lokasi baru.

  • Tips: Jika Anda melihat aktivitas di jam-jam saat Anda tidur atau dari kota yang belum pernah Anda kunjungi (dan Anda tidak menggunakan VPN), itu adalah sinyal merah (red flag).

C. Akses Pihak Ketiga (Third-Party Access)

Banyak dari kita sering melakukan "Sign in with Google" di berbagai aplikasi atau website (game, aplikasi edit foto, dll).

  • Risiko: Beberapa aplikasi mungkin meminta izin untuk membaca email atau mengakses Google Drive Anda.

  • Tindakan: Hapus akses untuk aplikasi yang sudah tidak Anda gunakan lagi. Ini adalah cara paling efektif untuk mencegah kebocoran data melalui "pintu belakang".

D. Pemeriksaan Kata Sandi (Password Checkup)

Meskipun kita beralih ke Passkeys, Anda mungkin masih memiliki ratusan kata sandi lama yang tersimpan di Google Chrome/Password Manager.

  • Fungsi: Google akan memberi tahu jika ada kata sandi Anda yang pernah bocor di internet akibat peretasan situs lain.

  • Tindakan: Segera ganti kata sandi yang ditandai sebagai "Compromised" (Terserang).

Seberapa Sering Harus Dilakukan?

Di tahun 2026, saran standarnya adalah sebulan sekali.

  • Pro-tip: Anda bisa mengatur pengingat di Google Calendar untuk melakukan ini. Prosesnya biasanya hanya memakan waktu kurang dari 3 menit jika tidak ada masalah.

Mengapa Ini Penting Bahkan Jika Sudah Pakai Passkeys?

Passkeys melindungi proses log-in Anda, tetapi Security Checkup melindungi akun Anda dari penyalahgunaan akses yang sudah ada. Contohnya, jika Anda lupa melakukan log-out di komputer kantor atau perpustakaan, Passkey tidak akan membantu karena sesi tersebut sudah dianggap sah. Hanya Security Checkup yang bisa memutus akses tersebut secara remote.

Analogi: Jika Passkeys adalah kunci pintu yang sangat kuat, maka Security Checkup adalah kegiatan memeriksa apakah ada jendela yang lupa dikunci atau apakah Anda pernah menduplikasi kunci dan memberikannya kepada orang yang salah.

 

D. Perketat Verifikasi 2 Langkah (2FA)

Jika seseorang berhasil mencuri kata sandi Anda, Verifikasi 2 Langkah (2FA) adalah benteng pertahanan terakhir. Namun, tidak semua metode 2FA diciptakan setara. Di tahun 2026, para peretas sudah sangat mahir mengakali metode lama.

Berikut adalah urutan metode 2FA dari yang paling lemah hingga yang paling kuat:

A. SMS/Panggilan Telepon (Paling Lemah - Hindari!)

Banyak orang masih menggunakan kode yang dikirim lewat SMS. Di tahun 2026, ini dianggap berisiko tinggi karena:

  • SIM Swapping: Penjahat bisa menduplikasi nomor HP Anda dengan menipu operator seluler.
  • Intersepsi Sinyal: Kode SMS tidak dienkripsi dan bisa "diintip" oleh perangkat tertentu.
  • Saran: Gunakan ini hanya sebagai opsi terakhir (cadangan) jika tidak ada pilihan lain.

B. Google Prompt (Lebih Aman)

Ini adalah notifikasi yang muncul di HP Anda bertuliskan: "Apakah ini Anda yang mencoba masuk?" dengan opsi Ya atau Tidak.

  • Kelebihan: Jauh lebih aman dari SMS karena dikirim melalui jalur data terenkripsi langsung ke perangkat yang terdaftar.

  • Catatan: Pastikan HP Anda selalu terkunci dengan biometrik agar orang lain tidak bisa menekan tombol "Ya" saat meminjam HP Anda.

C. Aplikasi Autentikator (Sangat Aman)

Menggunakan aplikasi seperti Google Authenticator atau Authy yang menghasilkan kode 6 angka setiap 30 detik.

  • Kelebihan: Kode dihasilkan secara lokal di HP Anda dan tidak memerlukan koneksi internet untuk muncul. Ini mencegah penyadapan sinyal.

  • Fitur 2026: Google Authenticator sekarang sudah mendukung Cloud Sync, jadi jika HP hilang, Anda bisa memulihkan kodenya di HP baru melalui akun Google Anda.

D. Kunci Keamanan Fisik / Security Key (Paling Kuat - Standar Militer)

Ini adalah perangkat USB kecil (seperti YubiKey) yang harus dicolokkan ke laptop atau ditempelkan via NFC ke HP saat ingin masuk.

  • Mengapa Ini "Dewa": Tanpa benda fisik ini di tangan, peretas dari belahan dunia mana pun tidak akan pernah bisa masuk ke akun Anda, meskipun mereka tahu kata sandi Anda.

  • Saran: Sangat direkomendasikan jika Anda memiliki aset digital penting (kripto, admin perusahaan, atau data pribadi yang sangat sensitif).

Langkah Ekstra: Kode Cadangan (Backup Codes)

Ini sering dilupakan. Jika HP Anda hilang dan Anda tidak punya kunci fisik, Anda bisa terkunci dari akun sendiri.

  • Masuk ke setelan 2FA di Akun Google.
  • Cari menu "Kode Cadangan".
  • Google akan memberikan 10 kode sekali pakai.
  • Cetak atau simpan secara offline (jangan simpan di dalam email atau cloud yang sama). Jika terjadi keadaan darurat, kode ini adalah "kunci duplikat" satu-satunya.

Tips Pro untuk Tahun 2026:

Matikan opsi "Ingat perangkat ini" jika Anda masuk melalui komputer yang bukan milik pribadi sepenuhnya. Ini memaksa sistem selalu meminta 2FA setiap kali Anda masuk, memberikan keamanan maksimal.

Analogi: Jika kata sandi adalah kunci pintu, maka 2FA adalah satpam yang berdiri di depan pintu tersebut. Satpam yang menggunakan SMS mudah disuap/ditipu, sedangkan satpam dengan Kunci Fisik hanya akan membukakan pintu jika Anda menunjukkan kartu identitas asli yang tidak bisa dipalsukan.

 

E. Update Software & HTTPS (Kewajiban Infrastruktur)

Poin kelima ini mungkin terdengar membosankan, namun secara teknis ini adalah fondasi dari semua langkah keamanan sebelumnya. Tanpa perangkat lunak yang mutakhir, fitur canggih seperti Passkeys atau Shielded Email bisa saja dikompromikan melalui celah keamanan di tingkat sistem operasi atau browser.

Di tahun 2026, fokus utama poin ini adalah pada dua hal:

A. Pembaruan Keamanan Otomatis (Patching)

Peretas selalu mencari "bug" atau celah dalam kode program. Begitu celah ditemukan, pengembang seperti Google, Microsoft, atau Apple akan merilis patch (tambalan).

  • Risiko Penundaan: Menunda update selama satu minggu saja di tahun 2026 sangat berbahaya, karena peretas sering menggunakan AI untuk memindai perangkat yang belum di-update secara masif.

Tindakan: Aktifkan "Automatic Updates" pada:

Sistem Operasi: Android, iOS, Windows, atau macOS.
  • Browser: Google Chrome (karena Chrome adalah jembatan utama Anda ke akun Google).
  • Aplikasi Google: Pastikan layanan Google Play Store/App Store selalu memperbarui aplikasi Google secara mandiri.

B. Standar HTTPS (Keamanan Jalur Komunikasi)

HTTPS adalah protokol yang memastikan bahwa data yang dikirim antara perangkat Anda dan server Google telah dienkripsi.

  • Kondisi 2026: Google Chrome sekarang memiliki fitur "Always-use HTTPS". Jika Anda mencoba mengunjungi situs lama yang masih menggunakan HTTP (tanpa 'S'), Chrome akan memblokirnya atau memberi peringatan keras.

  • Mengapa Ini Penting: Tanpa HTTPS, seseorang yang berada di jaringan Wi-Fi yang sama dengan Anda (misalnya di kafe atau bandara) bisa mencuri session cookie Anda. Jika cookie dicuri, mereka bisa masuk ke akun Anda tanpa perlu kata sandi atau 2FA karena mereka "menyamar" sebagai sesi Anda yang sudah aktif.

Integrasi dengan Keamanan Akun

Mulai tahun 2026, Google meluncurkan fitur bernama "Safety Core" di dalam browser Chrome. Fitur ini secara otomatis:

  • Memeriksa apakah ada ekstensi Chrome yang berbahaya.
  • Memastikan Safe Browsing aktif (memblokir situs phishing secara real-time).
  • Memberi tahu jika perangkat Anda sudah terlalu lama tidak menerima update keamanan sehingga akun Google Anda dalam posisi "berisiko tinggi".

Analogi: Jika empat poin sebelumnya adalah tentang kunci, CCTV, dan satpam, maka poin kelima ini adalah tentang kekuatan struktur bangunan rumah Anda. Tidak peduli seberapa canggih kuncinya, jika temboknya rapuh (software lama), pencuri tetap bisa masuk.

Ringkasan

  1. Passkeys: Mengganti kata sandi dengan biometrik (Anti-Phishing).
  2. Shielded Email: Masker identitas agar email asli tidak bocor (Anti-Tracking).
  3. Security Checkup: Audit mandiri rutin (Pembersihan Akses).
  4. 2FA Berkala: Satpam berlapis, utamakan Authenticator/Physical Key (Benteng Terakhir).
  5. Update & HTTPS: Memastikan sistem selalu kokoh dan jalur data terenkripsi (Fondasi).

DOKUMENTASI LAMA