Identity ≠ Account: Kenapa Login Sah Tetap Bisa Berbahaya

Selama bertahun-tahun, keamanan digital dibangun di atas satu asumsi sederhana: jika seseorang berhasil login, maka ia dianggap sebagai pengguna yang sah. Asumsi ini dulu masuk akal, ketika sistem masih bersifat tertutup, akses terbatas, dan ancaman belum sekompleks sekarang. Namun di era transformasi digital dan adopsi cloud yang masif, asumsi tersebut justru menjadi salah satu titik lemah paling berbahaya dalam keamanan modern.

Berbagai laporan insiden dan investigasi forensik dalam beberapa tahun terakhir menunjukkan pola yang mengkhawatirkan. Banyak serangan siber tidak diawali dengan eksploitasi kerentanan teknis, melainkan dengan penggunaan kredensial dan sesi yang valid. Login berhasil, Multi-Factor Authentication (MFA) dilewati, dan aktivitas berbahaya berlanjut tanpa memicu alarm awal. Dari sudut pandang sistem autentikasi, semua terlihat normal.

Apa yang Sebenarnya Dibuktikan oleh Sebuah Account?

Sebuah account pada dasarnya hanya membuktikan bahwa proses autentikasi berhasil pada satu titik waktu. Ia tidak membuktikan siapa yang memegang akses tersebut setelah login terjadi. Dengan kata lain, account membuktikan akses, bukan identitas secara menyeluruh.

Berbagai laporan insiden dari vendor keamanan dan lembaga pemerintah menunjukkan bahwa akun sah kerap digunakan dalam fase-fase krusial serangan, seperti initial access, persistence, dan lateral movement. Penyerang tidak perlu membuat akun baru atau menembus sistem dari nol. Mereka cukup “memakai” identitas yang sudah ada dan dipercaya.

Identity Lebih Luas dari Sekadar Login

Framework keamanan modern mulai membedakan antara authentication dan identity assurance. Identitas tidak lagi dipahami semata sebagai kombinasi username, password, dan OTP, melainkan sebagai rangkaian konteks dan kontinuitas kepercayaan.

Identity mencakup berbagai aspek, seperti perangkat yang digunakan, lokasi dan jaringan asal, durasi serta pola sesi login, hingga perilaku pengguna setelah berhasil masuk. Inilah alasan mengapa banyak serangan tetap berjalan mulus meskipun autentikasi awal sepenuhnya valid.

Bagaimana Penyerang Memanfaatkan Login Sah

Investigasi terhadap serangan besar dalam beberapa tahun terakhir memperlihatkan pola yang konsisten. MFA dilewati melalui tekanan psikologis seperti push bombing. Phishing kit modern mampu mem-proxy autentikasi dan MFA secara real-time. Session token dicuri setelah login berhasil, atau proses helpdesk dimanipulasi untuk melakukan reset akses.

Dalam banyak kasus, MFA sebenarnya tidak gagal. Ia berfungsi sebagaimana mestinya, namun kemudian menjadi tidak relevan karena penyerang beroperasi di level sesi dan perilaku. Hal ini sejalan dengan observasi dalam framework MITRE ATT&CK, di mana teknik valid accounts dan session abuse terus muncul dalam berbagai kampanye serangan.

Mengapa MFA Tidak Menyelesaikan Masalah Ini

MFA tetap merupakan kontrol keamanan yang penting dan terbukti menurunkan risiko serangan berbasis password. Namun laporan dari Microsoft, CISA, dan berbagai vendor endpoint menunjukkan bahwa MFA tidak dirancang untuk menangani seluruh spektrum ancaman identitas.

MFA tidak memverifikasi niat pengguna, tidak melindungi sesi login dari penyalahgunaan, tidak mampu mendeteksi rekayasa sosial, serta tidak mengevaluasi ulang kepercayaan secara berkelanjutan. Ketika MFA diperlakukan sebagai titik akhir kepercayaan, organisasi tanpa sadar menciptakan blind spot yang dapat dieksploitasi tanpa perlu mematahkan kontrol teknis apa pun.

Blind Spot yang Umum Terjadi di Organisasi

Banyak organisasi yang telah mengadopsi MFA masih mengalami insiden berbasis identitas karena login sukses dianggap sebagai indikator keamanan utama. Sesi login jarang dipantau secara aktif, proses helpdesk dan recovery menjadi titik lemah, serta akun sah dipercaya terlalu lama tanpa evaluasi ulang.

Akibatnya, serangan sering berlangsung dalam waktu lama sebelum terdeteksi. Dari sudut pandang sistem autentikasi, aktivitas tersebut terlihat “normal”, padahal sebenarnya bersifat berbahaya.

Mengubah Cara Berpikir tentang Identity

Lanskap ancaman saat ini menuntut perubahan cara berpikir, bukan sekadar penambahan kontrol. Kepercayaan tidak bersifat permanen. Autentikasi adalah awal, bukan akhir. Sesi dan perilaku harus dipantau secara aktif, dan identitas harus dievaluasi secara kontekstual serta berkelanjutan.

Pendekatan ini lahir bukan dari teori semata, melainkan dari akumulasi insiden nyata yang membuktikan bahwa login sah bukan lagi jaminan keamanan.

Pertanyaan terpenting hari ini bukan lagi, “Apakah akun ini berhasil login?”, melainkan, “Apakah identitas ini masih layak dipercaya saat ini?”. Selama organisasi masih menyamakan identity dengan account, serangan berbasis login sah akan terus menjadi salah satu vektor paling senyap sekaligus paling berbahaya dalam keamanan digital modern.