MFA Bisa Dibypass, Apakah Keamanan Identitas Masih Aman?

Beberapa tahun lalu, Multi-Factor Authentication (MFA) dipandang sebagai lompatan besar dalam keamanan identitas digital. Di tengah maraknya kebocoran password dan praktik penggunaan kata sandi yang lemah, MFA hadir sebagai jawaban yang meyakinkan. Password saja tidak lagi dianggap cukup, dan penambahan faktor kedua menjadi simbol bahwa sebuah organisasi telah memasuki fase keamanan yang lebih matang.

Namun, lanskap ancaman siber terus berubah. Dalam beberapa tahun terakhir, publik mulai akrab dengan istilah seperti MFA fatigue, phishing proxy, SIM swapping, hingga social engineering terhadap helpdesk. Deretan insiden ini memunculkan satu pertanyaan yang terdengar masuk akal: jika MFA bisa dilewati, apakah MFA masih relevan?

Jawabannya tidak sesederhana ya atau tidak. MFA masih relevan, tetapi tidak lagi cukup jika berdiri sendiri.

MFA Tidak “Rusak”, Hanya Sering Disalahpahami

Banyak perdebatan tentang MFA berangkat dari asumsi yang keliru, seolah-olah MFA diciptakan untuk menghentikan semua bentuk serangan identitas. Padahal, tujuan awal MFA jauh lebih spesifik dan realistis. MFA dirancang untuk mengurangi risiko penggunaan ulang password, menghentikan serangan credential stuffing yang bersifat otomatis, serta menaikkan biaya dan kompleksitas serangan berbasis kredensial.

Dalam konteks tersebut, MFA masih bekerja dengan sangat baik hingga hari ini. Organisasi yang menerapkan MFA secara konsisten terbukti jauh lebih terlindungi dari serangan dasar dibandingkan mereka yang hanya mengandalkan password.

Masalah muncul ketika MFA dibebani ekspektasi yang melampaui desain awalnya. MFA tidak dirancang untuk sepenuhnya melindungi organisasi dari manipulasi manusia, seperti social engineering terhadap helpdesk, tekanan psikologis lewat notifikasi push, atau pencurian session token setelah autentikasi berhasil. Ketika MFA gagal menghadapi skenario-skenario ini, kegagalan tersebut sering disalahartikan sebagai bukti bahwa MFA sudah usang.

Bagaimana MFA Sering Dilewati dalam Praktik

Istilah “MFA bypass” sering terdengar dramatis, seolah-olah penyerang berhasil menembus mekanisme keamanan secara teknis. Kenyataannya, sebagian besar kasus yang disebut sebagai bypass tidak melibatkan peretasan kriptografi sama sekali. Penyerang umumnya hanya berjalan di sekeliling MFA, bukan menembusnya.

Pola yang sering terjadi antara lain pengguna ditekan untuk menyetujui permintaan MFA berulang kali hingga menyerah, kredensial dicuri melalui phishing yang memproxy halaman login secara real time, session token dicuri setelah autentikasi sah, atau petugas helpdesk diyakinkan untuk mereset faktor autentikasi atas nama “pemulihan akun”.

Dalam semua contoh tersebut, MFA tetap berfungsi sesuai desain. Yang gagal adalah konteks di sekitarnya: perilaku pengguna, proses operasional, dan kontrol lanjutan setelah autentikasi.

Ketika MFA Diposisikan sebagai Jawaban Final

Kesalahan yang cukup umum terjadi di banyak organisasi adalah memperlakukan MFA sebagai garis akhir, bukan sebagai titik awal. Setelah MFA diaktifkan, diskusi tentang keamanan identitas sering berhenti. Akun dianggap aman hanya karena MFA aktif, aktivitas login diasumsikan sah hanya karena faktor kedua lolos, dan proses manusia dibiarkan tanpa audit lanjutan karena merasa sudah terlindungi.

Padahal, identitas digital modern tidak berhenti pada proses autentikasi. Setelah login berhasil, masih ada sesi yang berjalan, perangkat yang digunakan, pola perilaku pengguna, serta proses operasional yang terlibat. Mengabaikan aspek-aspek ini menciptakan ilusi perlindungan yang berbahaya.

Relevansi MFA di Lanskap Ancaman Saat Ini

Meski demikian, menyimpulkan bahwa MFA tidak lagi relevan juga merupakan kesalahan. Tanpa MFA, risiko serangan berbasis kredensial akan melonjak drastis. Organisasi yang tidak menerapkan MFA hampir selalu menjadi target empuk bagi serangan dasar.

Namun, relevansi MFA saat ini bersifat kondisional. MFA perlu dipahami sebagai kontrol minimum, bukan kontrol puncak. Ia adalah lapisan pertama, bukan lapisan terakhir, dan merupakan bagian dari sistem keamanan identitas yang lebih luas, bukan solusi tunggal yang berdiri sendiri.

Dengan pemahaman ini, diskusi tentang MFA menjadi lebih rasional dan tidak terjebak pada posisi ekstrem—antara mengagungkan MFA secara berlebihan atau membuangnya sama sekali.

Dari MFA ke Identity Assurance

Pertanyaan yang lebih tepat untuk diajukan bukanlah “apakah MFA masih relevan”, melainkan “apa yang dibutuhkan di atas MFA”. Di sinilah konsep identity assurance mulai mendapatkan perhatian. Organisasi mulai melengkapi MFA dengan pendekatan seperti phishing-resistant MFA, penilaian kepercayaan dan posture perangkat, conditional access berbasis konteks, pemantauan penyalahgunaan akun sah, serta penguatan proses helpdesk dan pemulihan akun.

Semua pendekatan ini tidak menggantikan MFA. Sebaliknya, mereka memperkuat dan melengkapi MFA agar tetap efektif di tengah lanskap ancaman yang semakin canggih.

Penutup

MFA tidak mati, tetapi era “MFA saja sudah cukup” memang telah berakhir. Organisasi yang matang tidak membuang MFA hanya karena ada teknik bypass yang berkembang. Mereka justru menempatkan MFA pada posisi yang tepat—sebagai fondasi, bukan sebagai tameng tunggal.

Keamanan identitas modern bukan semata soal menambah faktor autentikasi, melainkan tentang memahami niat, konteks, dan perilaku di balik setiap proses login. Dan diskusi inilah yang jauh lebih penting daripada sekadar mempertanyakan apakah MFA masih relevan atau tidak.