SMS OTP vs aplikasi autentikator untuk MFA: bandingkan masalah pengiriman, risiko phishing, friksi pengguna, dan jenis tiket dukungan yang akan benar-benar Anda lihat.
Kebanyakan orang baru memperhatikan MFA saat itu gagal. Kode datang terlambat, ponsel tidak ada sinyal, atau aplikasi terhapus saat upgrade perangkat. Pengguna terjebak di layar login, dan yang seharusnya terasa seperti lapisan keamanan malah menjadi “saya tidak bisa bekerja.”
Itulah mengapa perdebatan SMS OTP vs aplikasi autentikator bukan sekadar soal keamanan. Ini keputusan produk yang mengubah antrean dukungan Anda, risiko churn, dan seberapa sering tim Anda melakukan pemeriksaan identitas manual.
Saat MFA rusak, pengguna biasanya melakukan salah satu dari tiga hal: coba beberapa kali, meninggalkan alur, atau menghubungi dukungan dengan panik karena mengira akunnya dibajak. Bahkan ketika penyebabnya sederhana, nada emosional sering mendesak, yang membuat tiket jadi lebih lambat dan lebih mahal.
Untuk memprediksi beban dukungan sebelum peluncuran, fokus pada empat area: keandalan dunia nyata (pengiriman pesan dan perubahan perangkat), risiko phishing dan takeover, friksi pengguna (penyiapan dan setiap login), dan jenis tiket yang akan sering muncul di praktik.
Kode SMS umum di aplikasi konsumen karena terasa familier dan hampir tak perlu penyiapan. Aplikasi autentikator umum di lingkungan kerja dan alat admin karena menghilangkan ketergantungan operator dan mengurangi beberapa risiko terkait telekomunikasi.
SMS terasa sederhana, tetapi “terkirim” tidak sama dengan “diterima dan bisa dipakai.” Di sinilah tim sering terkejut dengan volume dukungan.
Kadang SMS instan: satu negara, sinyal kuat, dan operator yang tidak membatasi traffic verifikasi. Kadang lain melambat. Operator menunda pesan saat puncak, menerapkan filter spam, atau membatasi pengiriman berulang. Hasilnya adalah kode tiba setelah kadaluarsa, atau beberapa kode tiba sekaligus dan pengguna mencoba kode yang lebih tua.
Penggunaan internasional menambah masalah. Beberapa negara punya cakupan terbatas untuk rute tertentu. Beberapa operator memblokir pesan verifikasi secara default. Roaming bisa merutekan lalu lintas dengan cara yang menambah menit. Jika pengguna Anda bepergian, Anda akan melihat tiket “bekerja di rumah, gagal di luar negeri.”
Nomor telepon berubah lebih sering daripada yang tim perkirakan. Pengguna ganti SIM, kehilangan akses, atau memasukkan salah ketik sekali dan tidak menyadarinya. Nomor yang didaur ulang lebih buruk: nomor yang tidak aktif bisa diberikan ke orang lain, dan SMS login di masa depan bisa sampai ke orang yang salah.
Alur kirim ulang (resend) adalah tempat frustrasi memuncak. Jika pengguna bisa menekan “Kirim ulang” tanpa batas jelas dan umpan balik yang jelas, Anda menciptakan loop pengiriman ulang: banyak kiriman, kedatangan tertunda, dan kebingungan tentang kode mana yang valid.
Yang layak dipantau (dan diekspos di alat admin) itu sederhana: percobaan pengiriman per login, konfirmasi pengiriman saat provider melaporkannya, waktu-ke-kode (waktu dikirim vs waktu dikirimkan oleh pengguna), alasan error provider (diblokir, nomor tidak valid, dibatasi), dan pemicu kirim ulang/lockout.
Contoh: seorang pelanggan di Singapura mencoba masuk saat roaming di Jerman. Mereka menekan “Kirim ulang” dua kali, mendapat tiga pesan sekaligus, dan memasukkan kode pertama. Jika Anda mencatat waktu-ke-kode dan jumlah kirim ulang, tiket menjadi triase cepat alih-alih bolak-balik panjang.
Aplikasi autentikator biasanya lebih konsisten daripada SMS karena mereka menghasilkan kode berbasis waktu di perangkat, bahkan offline. Tidak ada keterlambatan operator, tidak ada pesan diblokir, tidak ada kejutan roaming.
Penyiapan di atas kertas sederhana: pindai kode QR sekali, lalu ketik kode 6-digit saat login. Di dunia nyata, orang tersangkut di menit pertama itu, terutama saat berpindah antara laptop dan ponsel dan tidak yakin apa yang mereka lihat.
Sebagian besar masalah bukan pada aplikasi autentikator itu sendiri. Masalahnya ada pada ponsel dan ekspektasi pengguna:
Kegunaan (usability) lebih penting daripada yang diperkirakan tim. Berpindah aplikasi saat login, menyalin kode, dan berlomba dengan hitungan mundur bisa menegangkan. Prompt yang jelas membantu: katakan persis di mana menemukan kode, tunjukkan apa yang dilakukan jika gagal, dan dukung autofill bila platform menyediakannya.
Pengguna sering meminta banyak perangkat (ponsel plus tablet, pribadi plus kerja). Jika Anda tidak mengizinkannya, katakan saat pendaftaran, bukan setelah mereka terkunci keluar.
Beberapa sinyal menangkap friksi lebih awal: tingkat penyelesaian pendaftaran (siapa yang mulai tapi tidak pernah selesai), kegagalan kode berulang (sering sinkronisasi waktu), jalur pemulihan yang dipakai (ponsel hilang, perangkat baru, aplikasi terhapus), penurunan setelah prompt MFA, dan tag dukungan menurut penyebab.
Phishing adalah tempat celah sebenarnya terlihat.
Dengan SMS OTP, serangan umum adalah relay waktu-nyata. Pengguna masuk ke halaman login palsu, memasukkan kata sandi, lalu menerima kode SMS. Penyerang menggunakan kode itu di situs nyata saat pengguna masih melihat halaman palsu. Kode sah, jadi login berhasil.
SMS juga membawa risiko telekomunikasi. SIM swap dan port-out nomor memungkinkan seseorang mengambil alih nomor telepon dan menerima pesan OTP tanpa pengguna menyadari sampai terlambat. Untuk akun bernilai tinggi, ini menghancurkan: penyerang bisa mereset kata sandi dan terus mencoba sampai berhasil.
Aplikasi autentikator lebih aman terhadap SIM swap karena tidak ada nomor telepon yang dicuri. Namun kode tetap bisa dipancing menggunakan pola relay waktu-nyata jika login Anda menerima kode mana pun tanpa memeriksa konteks.
Jika Anda ingin perlindungan lebih kuat daripada kode yang diketik, persetujuan berbasis push bisa membantu, terutama dengan number matching atau detail jelas seperti nama aplikasi dan kota. Push masih bisa disalahgunakan lewat kelelahan persetujuan, tapi membuat serangan lebih sulit dibandingkan hanya mengetik kode 6-digit.
Cara praktis mengurangi risiko takeover untuk kedua metode:
Orang jarang berhenti karena “membenci keamanan.” Mereka berhenti karena login terasa lambat, membingungkan, atau tidak terduga.
Perbedaan terbesar dalam friksi adalah waktu. SMS membuat pengguna menunggu. Aplikasi autentikator meminta pengguna menyiapkan sesuatu.
Dengan SMS, alur pertama kali familier: masukkan nomor telepon, terima kode, ketik. Friksi melonjak saat pesan tidak tiba cepat, tiba di nomor lama, atau tiba di perangkat yang tidak dipegang pengguna.
Dengan aplikasi autentikator, alur pertama kali punya lebih banyak langkah: pasang aplikasi, pindai QR, simpan opsi cadangan, lalu masukkan kode. Saat pendaftaran atau checkout, itu bisa terasa terlalu berat.
Momen drop-off paling umum dapat diprediksi: menunggu 30–90 detik untuk SMS lalu menerima beberapa kode; salah ketik saat berganti aplikasi; berganti perangkat (ponsel baru, ponsel yang dihapus, ponsel kerja yang tidak bisa memasang aplikasi); isu perjalanan (roaming, SIM baru, nomor yang tidak bisa terima pesan di luar negeri); dan kasus di mana pengguna tidak mengendalikan perangkat faktor kedua secara andal.
“Opsi ingat perangkat ini” mengurangi friksi, tapi mudah disalahgunakan. Jika Anda tidak pernah meminta ulang, risiko takeover naik saat laptop dicuri. Jika Anda meminta ulang terlalu sering, pengguna meninggalkan alur atau memilih opsi pemulihan yang lebih lemah. Jalan tengah yang masuk akal adalah meminta ulang pada perangkat baru, setelah aksi sensitif, atau setelah jangka waktu yang wajar.
Pantau funnel Anda. Jika langkah 1 (masukkan nomor) terlihat baik tetapi langkah 2 (masukkan kode) turun tajam, curigai keterlambatan SMS atau kebingungan kode. Jika drop-off terjadi tepat setelah layar QR, penyiapan terlalu berat untuk saat itu.
Sebagian besar pekerjaan dukungan MFA bukan soal “keamanan.” Ini soal orang yang terblokir di momen terburuk: login saat pergantian shift, reset kata sandi sebelum demo, atau admin yang mencoba meng-onboard karyawan baru.
Jika Anda membandingkan SMS OTP vs aplikasi autentikator, rencanakan antrean dukungan berdasarkan mode kegagalan, bukan jalan bahagia.
Anda akan melihat pola yang sama berulang.
Untuk SMS: “kode tidak pernah sampai,” “tiba terlambat,” “tiba dua kali,” nomor salah, nomor berubah, operator memblokir, masalah roaming, dan kode pendek yang terfilter.
Untuk aplikasi autentikator: ponsel hilang, perangkat baru, aplikasi diinstall ulang, “kode tidak cocok,” kebingungan tentang aplikasi/akun/profil mana yang memegang kode.
Admin juga akan membuka tiket kebijakan dan audit: “Pengguna terkunci, reset MFA,” dan “Siapa yang mereset MFA untuk akun ini?” Itu butuh proses jelas dan jejak audit.
Form triase yang baik menghemat waktu setiap tiket. Minta pengenal akun dan metode MFA, cap waktu dan zona waktu dari percobaan terakhir (dan apakah ada kode diterima), waktu login terakhir yang berhasil dan metodenya, detail perangkat (model dan versi OS), dan apakah perangkat baru-baru ini berubah. Untuk SMS, tangkap negara nomor dan operator jika diketahui.
Dengan itu, dukungan bisa memilih langkah selanjutnya cepat: kirim ulang (dengan pembatasan), verifikasi nomor telepon, menunggu batas laju, atau memulai reset MFA yang aman.
Jaga balasan tetap sederhana dan tidak menyalahkan. Makro singkat menutup sebagian besar kasus:
“Mohon konfirmasi waktu percobaan (dengan zona waktu Anda) dan apakah Anda menerima SMS sama sekali. Jika Anda baru saja mengganti ponsel atau menginstal ulang aplikasi autentikator, beri tahu kapan. Jika Anda terkunci, kami bisa mereset MFA setelah memverifikasi identitas Anda.”
Mulai dengan satu pertanyaan jujur: apa yang Anda lindungi, dan dari siapa? Newsletter konsumen punya profil risiko berbeda dengan payroll, data kesehatan, atau panel admin.
Catat juga batasan pengguna sejak awal: negara yang Anda layani, seberapa sering pengguna bepergian, apakah mereka membawa perangkat kedua, dan apakah mereka diperbolehkan memasang aplikasi.
Rencana peluncuran yang menghindari kebakaran dukungan:
Definisikan model ancaman dan batasan Anda. Jika phishing dan takeover adalah kekhawatiran utama, pilih metode yang lebih sulit untuk ditipu. Jika banyak pengguna tidak punya smartphone atau tidak bisa memasang aplikasi, rencanakan alternatif.
Pilih satu metode default plus cadangan. Default harus bekerja untuk sebagian besar orang pada hari pertama. Cadangan menyelamatkan dukungan saat ponsel hilang, nomor berubah, atau pengguna bepergian.
Rancang pendaftaran dan pemulihan sebelum diluncurkan. Pemulihan tidak boleh bergantung pada hal yang sama yang bisa gagal (mis. hanya SMS). Putuskan bagaimana menangani perangkat hilang, nomor telepon baru, dan “saya tidak menerima kode.”
Luncurkan bertahap dan jelaskan alasan dengan kata-kata sederhana. Mulai dari peran berisiko tinggi (admin, keuangan) atau persentase pengguna kecil.
Latih dukungan dan pantau kegagalan. Beri agen pohon keputusan sederhana dan aturan jelas untuk cek identitas. Pantau kegagalan pengiriman, lockout, waktu-ke-pendaftaran, dan permintaan pemulihan.
Kebanyakan rollout MFA gagal karena alasan sederhana: kebijakan terlalu kaku, pemulihan lemah, atau UI membuat pengguna menebak.
Jebakan umum adalah menjadikan SMS sebagai satu-satunya jalan kembali ke akun. Nomor telepon berubah, SIM dicuri, dan beberapa pengguna tidak bisa menerima SMS saat bepergian. Jika SMS adalah faktor kedua sekaligus metode pemulihan, Anda pada akhirnya menciptakan akun yang “terkunci selamanya.”
Kesalahan umum lain adalah membiarkan pengguna mengganti nomor telepon hanya dengan password dan kode SMS yang dikirim ke nomor baru. Itu mengubah kata sandi yang dicuri menjadi takeover bersih. Untuk perubahan sensitif (telepon, email, pengaturan MFA), tambahkan langkah lebih kuat: verifikasi faktor yang ada, minta sesi baru-baru ini, atau gunakan alur peninjauan manual untuk kasus berisiko tinggi.
Jebakan yang paling sering menghasilkan sakit dukungan yang bisa dihindari biasanya:
Uji alur login seperti pengguna sungguhan akan menggunakannya: lelah, bepergian, berganti ponsel, atau terkunci lima menit sebelum rapat. Metode terbaik adalah yang bisa diselesaikan pengguna Anda secara andal dan yang tim Anda bisa dukung tanpa jalan pintas berisiko.
Tanyakan hal-hal ini:
Jika jawaban Anda “mungkin” pada pemulihan, berhenti sejenak. Sebagian besar takeover akun terjadi saat reset, dan sebagian besar pengguna marah datang saat pemulihan membingungkan.
Tes praktis: minta seseorang di luar tim Anda untuk menyiapkan MFA, lalu kehilangan ponselnya dan mencoba kembali masuk hanya menggunakan langkah-langkah terdokumentasi Anda. Jika itu berubah menjadi chat dengan engineering, Anda akan melihat hal serupa di tiket nyata.
Tim 6 orang menjalankan portal pelanggan yang dipakai oleh 1.200 pengguna aktif di AS, India, Inggris, dan Brazil. Mereka juga memberi akses pada 40 kontraktor yang bolak-balik. Reset kata sandi sudah menimbulkan kebisingan, jadi mereka menambahkan MFA dengan harapan mengurangi takeover akun tanpa membludakkan dukungan.
Mereka mulai dengan SMS OTP sebagai default. Minggu pertama, semuanya tampak baik sampai satu operator menunda pesan di satu wilayah saat jam sibuk. Pengguna minta kode, menunggu, minta lagi, lalu mendapatkan tiga kode sekaligus. Beberapa mencoba kode yang paling lama, gagal, lalu mengunci diri. Dukungan mendapat gelombang tiket: "Kode tidak diterima," "Kodenya selalu salah," "Saya sedang bepergian dan nomor saya berubah." Bahkan tanpa outage, masalah deliverability muncul untuk nomor VoIP, pengguna roaming, dan filter spam ketat.
Mereka menambahkan aplikasi autentikator sebagai opsi dan melihat pola berbeda. Sebagian besar login lancar, tapi kegagalan lebih sporadis: pengguna upgrade ponsel dan aplikasinya tidak memindahkan kode, seseorang menghapus autentikator, atau kontraktor melewatkan langkah "pindai QR" dan terjebak. Tiket itu berbunyi: "Ponsel baru, tidak bisa masuk," "Kode tidak cocok," dan "Saya kehilangan perangkat."
Susunan yang mengurangi kejutan sering terlihat seperti ini:
Pilih metode MFA default yang cocok untuk sebagian besar pengguna Anda, lalu tambahkan cadangan.
Untuk audiens konsumen, SMS sering menjadi default termudah, dengan aplikasi autentikator tersedia bagi yang bepergian, menggunakan nomor VoIP, atau menginginkan keamanan lebih ketat. Untuk produk tenaga kerja atau yang banyak admin, aplikasi autentikator seringkali default lebih baik, dengan SMS disediakan untuk pemulihan.
Sebelum peluncuran, tulis playbook dukungan sederhana dan putuskan apa yang akan Anda catat. Anda tidak perlu gunung data. Anda perlu cukup untuk menjawab: apakah kami mengirimkannya, apakah pengguna menerimanya, dan apa yang terjadi saat verifikasi.
Log yang biasanya berguna: metode MFA dan cap waktu, respons provider pengiriman (diterima, antre, gagal), jumlah percobaan verifikasi dengan alasan error terakhir, dan metode MFA terakhir yang berhasil serta tanggalnya.
Percepat dukungan dengan satu layar kecil: status MFA pengguna, kegagalan terbaru, dan alur reset terkontrol dengan jejak audit.
Jika Anda membangun portal tanpa banyak koding, AppMaster (appmaster.io) dapat membantu Anda merangkai backend, web app, dan mobile app di sekitar alur ini, termasuk tampilan admin dan pencatatan event yang mengurangi tebak-tebakan saat tiket datang.
Luncurkan dalam pilot dulu, pantau metrik kegagalan selama seminggu, lalu perluas. Pantau tingkat penyelesaian, laju kirim ulang, waktu untuk menyelesaikan MFA, dan volume tiket per 1.000 login. Perbaiki alur, perbarui playbook, lalu skala.
Mana yang biasanya jadi default lebih baik: SMS OTP atau aplikasi autentikator?Jadikan default apa yang paling mungkin diselesaikan pengguna Anda dengan andal. Jika Anda punya admin, kontraktor, atau banyak pelancong, aplikasi autentikator biasanya menyebabkan lebih sedikit masalah “kode tidak pernah datang”. Jika banyak pengguna tidak punya smartphone atau tidak bisa memasang aplikasi, SMS bisa jadi default yang lebih mudah, tetapi rencanakan dukungan untuk masalah deliverability yang lebih tinggi.
Apakah saya perlu metode MFA cadangan, atau satu metode cukup?Sediakan setidaknya satu metode cadangan yang tidak bergantung pada faktor utama. Jika SMS adalah utama, tambahkan aplikasi autentikator atau kode pemulihan agar perubahan nomor telepon tidak mengunci pengguna. Jika aplikasi autentikator adalah utama, kode pemulihan ditambah alur reset yang dibantu dukungan biasanya mencegah jalan buntu.
Bagaimana cara mengurangi tiket “Saya menekan kirim ulang lalu sekarang tidak ada yang bekerja” untuk SMS?Tambahkan jeda singkat (cooldown), tunjukkan hitungan mundur yang jelas, dan batalkan kode lama saat kode baru dikirim agar mengurangi kebingungan “banyak kode”. Jelaskan di layar bahwa hanya kode terbaru yang berlaku. Perubahan UX kecil ini biasanya memangkas loop pengiriman ulang dan tiket marah.
Bagaimana menangani pengguna yang tidak bisa menerima SMS saat bepergian atau roaming?Harapkan kasus “bekerja di rumah, gagal di luar negeri” dan perlakukan itu sebagai hal normal, bukan edge case. Mudahkan pengguna beralih ke metode non-SMS sebelum bepergian, dan sediakan opsi pemulihan yang bekerja tanpa layanan seluler. Dukungan harus bisa melihat jumlah pengiriman ulang dan kegagalan terakhir untuk men-triase dengan cepat.
Mengapa kode autentikator kadang “tidak pernah cocok,” dan apa yang harus pengguna lakukan?Penyebab paling umum adalah waktu perangkat yang salah atau zona waktu, terutama kalau waktu diatur secara manual. Sarankan pengguna mengaktifkan pengaturan waktu otomatis dan coba lagi; pertimbangkan menampilkan petunjuk setelah beberapa kali gagal. Mencatat kegagalan berulang membantu Anda menemukan pola ini dengan cepat.
Bisakah pengguna memakai aplikasi autentikator di lebih dari satu perangkat?Tetapkan ekspektasi saat pendaftaran. Jika Anda mengizinkan banyak perangkat, sediakan langkah “tambahkan perangkat lain” yang mudah dan tunjukkan cara memastikannya berhasil. Jika tidak mengizinkan, sampaikan dengan jelas dan berikan kode pemulihan agar pengguna tidak terjebak saat mengganti ponsel.
Apakah kode pemulihan layak, dan bagaimana sebaiknya saya menggunakannya?Kode pemulihan paling berguna ketika pengguna diminta menyimpannya saat pendaftaran dan bisa menggantinya nanti dari sesi tepercaya. Jangan tampilkan hanya sekali tanpa pengingat, dan jangan sembunyikan di dalam pengaturan. Mereka adalah cara sederhana untuk menghindari cek identitas manual yang mahal saat perangkat hilang.
Bagaimana saya melindungi terhadap phishing jika kedua metode menggunakan kode 6-digit?Kode yang diketik bisa dipancing menggunakan serangan relay waktu-nyata, baik berasal dari SMS maupun aplikasi autentikator. Kurangi risiko dengan menambahkan pemeriksaan step-up untuk aksi sensitif, membatasi laju percobaan mencurigakan, dan meminta ulang pada perangkat baru atau sign-in yang tidak biasa. Jika memungkinkan, tambahkan persetujuan kontekstual (push approval) alih-alih hanya 6-digit.
Apa yang harus saya log untuk memecahkan masalah MFA tanpa tebak-tebakan?Tangkap informasi cukup untuk menjawab tiga pertanyaan cepat: apakah tantangan dikirim, apakah pengguna mencoba verifikasi, dan kenapa gagal. Bidang praktis meliputi metode MFA, cap waktu, status pengiriman/response provider untuk SMS, jumlah percobaan verifikasi, alasan error terakhir, dan metode MFA terakhir yang berhasil. Log ini mengubah thread tiket panjang menjadi keputusan cepat.
Bagaimana dukungan mereset MFA dengan aman tanpa menciptakan risiko takeover akun?Gunakan reset terkontrol yang memerlukan verifikasi identitas sesuai tingkat risiko Anda, dan catat siapa yang melakukan reset dan kapan. Hindari reset berdasarkan informasi yang mudah dipalsukan seperti balasan email saja. Di AppMaster, Anda bisa membuat tampilan admin internal yang menunjukkan status MFA dan kegagalan terakhir, lalu merutekan reset melalui alur yang diaudit agar dukungan tidak improvisasi saat tertekan.
27 Jan 2026
7 menit
26 Jan 20268 menit
21 Jan 20266 menitEksperimen dengan AppMaster dengan paket gratis.
Saat Anda siap, Anda dapat memilih langganan yang tepat.
