Produk 30 Mei 2026

Kenapa Kami Bikin 2FA Opsional Tapi Bisa Diwajibkan per Tenant

Keamanan yang terlalu ketat bikin orang bypass. Terlalu longgar bikin rentan. Kami pilih jalan tengah yang fleksibel.

T
Tim CrescendPOS

Konteks Masalah

Keamanan dan usability sering bertabrakan. Semakin aman sebuah sistem, semakin banyak langkah yang harus dilalui pengguna. Di konteks kafe yang sibuk, setiap langkah tambahan itu friction yang memperlambat operasional.

Tapi di sisi lain, data bisnis itu sensitif. Laporan penjualan, data kasir, konfigurasi menu — ini informasi yang nggak boleh diakses sembarangan orang.

Keputusan yang Kami Ambil

Kami bikin 2FA (Two-Factor Authentication) via authenticator app sebagai fitur opsional di level individu. Setiap user bisa memilih untuk mengaktifkannya atau tidak. Tapi — dan ini bagian pentingnya — owner atau admin tenant bisa mewajibkan 2FA untuk semua user di tenant mereka.

Ini memberikan kontrol di tangan yang tepat: pemilik bisnis yang memutuskan level keamanan yang mereka butuhkan, bukan kami yang memaksakan satu standar untuk semua.

Kenapa Bukan Wajib untuk Semua

Kalau kami wajibkan 2FA untuk semua user sejak hari pertama, ada beberapa risiko nyata:

  • User yang nggak familiar dengan authenticator app bisa stuck di onboarding dan nggak jadi pakai produk sama sekali
  • Di situasi darurat — HP hilang, authenticator ke-reset — user bisa terkunci dari akunnya sendiri di saat paling nggak tepat
  • Untuk bisnis satu orang yang semua aksesnya dari satu device, overhead 2FA mungkin nggak proportional dengan risk-nya

Kenapa Bukan Cuma Opsional

Kalau kami bikin 2FA murni opsional tanpa mekanisme enforcement, kebanyakan orang nggak akan mengaktifkannya. Ini human nature — keamanan itu inconvenient dan benefit-nya nggak terasa sampai terjadi breach.

Enforcement per tenant menyelesaikan ini: pemilik bisnis yang peduli keamanan bisa memastikan semua tim mereka dilindungi, tanpa bergantung pada kesadaran individual.

Detail Implementasi

  • 2FA menggunakan TOTP (Time-based One-Time Password) — standar industri yang didukung oleh Google Authenticator, Authy, dan app sejenis
  • Setup cukup sekali — scan QR code, masukkan kode konfirmasi, selesai
  • Recovery codes disediakan saat setup untuk situasi darurat
  • Trusted device feature memungkinkan skip 2FA di device yang sudah diverifikasi — mengurangi friction untuk penggunaan sehari-hari

Apa yang Kami Pelajari

Keputusan ini mengajarkan kami bahwa keamanan yang efektif itu bukan tentang memaksakan standar tertinggi ke semua orang — tapi tentang memberikan tools dan kontrol ke orang yang tepat untuk membuat keputusan yang tepat untuk konteks mereka.