Apa itu autentikasi multifaktor adaptif (MFA adaptif)?

By Bryan Clark

Apa itu MFA adaptif?

Autentikasi multifaktor adaptif (adaptive MFA, atau A-MFA) adalah metode autentikasi multifaktor yang memerlukan faktor autentikasi yang berbeda atau tambahan berdasarkan konteks yang melingkupi permintaan login atau akses.

Bayangkan ini adalah pagi musim gugur yang cerah dan Anda memutuskan, alih-alih bekerja di meja kerja di kantor, Anda ingin bekerja jarak jauh dari kafe yang baru saja dibuka di pusat kota. Anda memesan kopi, mengeluarkan laptop, dan mulai masuk ke dasbor perusahaan Anda. Sistem akan langsung mengenali bahwa Anda menggunakan jaringan wifi baru beserta perangkat yang belum pernah Anda daftarkan sebelumnya. Alih-alih pesan singkat "akses ditolak," Anda akan menerima satu perintah yang kontekstual untuk pemindaian sidik jari.

Dalam situasi ini, lapisan keamanan ekstra muncul karena risikonya lebih tinggi dari biasanya. Perlindungan “sesuai kebutuhan” yang mulus itu adalah jantung dari autentikasi multifaktor adaptif (A-MFA). Autentikasi berbasis risiko ini adalah cara yang lebih cerdas untuk meningkatkan postur keamanan Anda tanpa mengorbankan kenyamanan. 

Menurut Laporan Biaya Pelanggaran Data IBM 2025, rata-rata pelanggaran data sekarang merugikan sebesar USD 4,4 juta. Fakta ini saja menggarisbawahi mengapa organisasi tidak mampu menggunakan pertahanan dasar yang sama untuk setiap pengguna. Dengan maraknya serangan phishing yang dibuat oleh kecerdasan buatan (AI), solusi MFA harus menjadi persyaratan minimum untuk keamanan. Untungnya, ada banyak opsi untuk menerapkan A-MFA, seperti Auth0 dan Duo. Pada artikel ini, kami akan menjelaskan bagaimana MFA adaptif mengukur risiko secara real time. Kami juga akan menjelajahi contoh penggunaan di mana teknologi ini berkembang dan memberi Anda pemahaman mendasar yang dibutuhkan untuk memutuskan di mana teknologi ini cocok dalam kerangka kerja keamanan Anda.

MFA adaptif vs. MFA tradisional

Sekarang, sebagian besar dari kita telah menggunakan autentikasi multifaktor (MFA) pada satu titik atau lainnya. MFA menambahkan persyaratan keamanan ekstra ke akun Anda dengan mengharuskan Anda membuktikan identitas Anda dengan menggunakan metode autentikasi tambahan. Seperti halnya sistem masuk tunggal (SSO) dan autentikasi dua faktor (2FA), MFA berada di bawah pilar autentikasi manajemen identitas dan akses (IAM). Alih-alih metode tradisional hanya mengandalkan kata sandi, Anda biasanya memerlukan dua atau lebih faktor untuk masuk. Faktor-faktor ini terbagi dalam tiga kategori utama:

  1. Sesuatu yang Anda ketahui, seperti kata sandi atau jawaban atas pertanyaan keamanan.

  2. Sesuatu yang Anda miliki, seperti smartphone, token atau bahkan kunci fisik (Seperti kunci Yubi pada drive USB).

  3. Sesuatu yang Anda secara khususdata biometrik dari sidik jari atau pemindaian wajah.

Misalnya, Anda mungkin diminta untuk memasukkan kata sandi (pengetahuan), lalu kode SMS dikirim ke ponsel Anda (sesuatu yang Anda miliki), atau untuk memindai sidik jari Anda (sesuatu yang Anda miliki). Dengan menggabungkan faktor-faktor ini, MFA mempersulit pengguna yang tidak berwenang untuk mengakses akun Anda, bahkan jika kata sandi Anda telah disusupi. Sekarang gabungkan pendekatan ini dengan sistem yang menerapkan langkah-langkah keamanan tambahan hanya ketika merasakan risiko keamanan yang lebih besar, dan Anda memiliki esensi MFA adaptif.  

Pikirkan MFA adaptif sebagai langkah supercharged dari MFA tradisional. Diciptakan oleh Abhijit Kumar Nag dan Dipankar Dasgupta, tindakan perlindungan ini membawa MFA tradisional selangkah lebih maju. Ini menggunakan informasi kontekstual dari pola harian pengguna untuk mengevaluasi tingkat risiko yang terkait dengan upaya login tertentu. Jika tingkat risiko untuk upaya login pengguna tertentu di atas ambang batas yang telah ditentukan, itu akan dilihat sebagai peristiwa pemicu. 

MFA Adaptif memungkinkan administrator sistem untuk memberi peringkat kriteria pemicu berdasarkan beberapa faktor termasuk peran pengguna dan aset perusahaan. Ambil contoh yang kita gunakan sebelumnya, ketika Anda masuk ke dasbor perusahaan dari kafe. Jika Anda belum pernah ke sana sebelumnya, itu mungkin dilihat sebagai peristiwa yang memicu. Namun, jika Anda pergi ke sana cukup sering dan sekitar waktu yang sama, itu mungkin tidak akan dipandang sebagai peristiwa pemicu. Atau, jika seseorang mencoba mengakses dasbor perusahaan Anda dengan menggunakan kredensial Anda di negara belahan dunia keesokan harinya pada waktu yang ganjil, hampir pasti akan menampilkan peringatan. Demonstrasi ini menunjukkan tentang MFA adaptif: memahami pola pengguna tertentu dan menerapkan langkah-langkah tambahan hanya untuk keamanan ketika sesuatu tampak mencurigakan atau di luar norma. Di bagian selanjutnya, kita akan berbicara tentang fungsi MFA tradisional dan perbedaannya dengan MFA adaptif.

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy

Bagaimana cara kerja autentikasi multifaktor adaptif?

MFA Adaptif sangat mirip dengan MFA tradisional dengan beberapa kemajuan tambahan untuk menjaga data sensitif Anda tetap aman dan terlindungi tanpa mengorbankan kegunaan. Di bawah ini kita akan membahas langkah-langkah MFA adaptif dan cara kerjanya.

Langkah 1: Autentikasi awal

Seorang pengguna mencoba masuk ke sistem (misalnya, dasbor perusahaan, aplikasi, dan lainnya) dengan memasukkan nama pengguna dan kata sandi, atau kunci sandi. Sistem mulai memvalidasi kredensial ini terhadap kredensial yang telah disimpan.

Langkah 2: Penilaian risiko

Ini adalah langkah yang membedakan MFA adaptif dari MFA tradisional. Sementara MFA tradisional hanya memerlukan faktor autentikasi kedua, MFA adaptif menganalisis tingkat risiko dan kemudian menentukan tingkat autentikasi yang sesuai untuk risiko itu.

Ini dimulai dengan mengumpulkan dan membandingkan data dari login saat ini atau permintaan akses ke data dari login sebelumnya atau permintaan akses. Data tersebut dapat mencakup:

  • Lokasi: Apakah area ini merupakan geolokasi yang akrab bagi pengguna ini atau di kota atau bahkan negara yang berbeda?

  • Jenis perangkat atau perangkat: Apakah perangkat ini perangkat perusahaan atau yang dimiliki secara pribadi? Apakah perangkat ini perangkat yang biasa digunakan untuk masuk, atau perangkat baru? Apakah login sedang dicoba dari mobile ketika pengguna biasanya masuk dari laptop?

  • Waktu: Apakah jam kerja normal ini ketika karyawan ini biasanya masuk atau kerangka waktu ini aneh?

  • Perilaku pengguna: Apa yang pengguna coba untuk dapatkan aksesnya sambil memperhitungkan faktor gabungan yang disebutkan sebelumnya?

  • Jaringan: Apakah jaringan ini bagian dari perusahaan, IP pribadi atau publik?

  • Data historis: Semua informasi login sebelumnya untuk pengguna ini disimpan dan dicocokkan terhadap upaya login saat ini.

Sistem penilaian risiko menimbang hasil dan menetapkan tingkat risiko untuk upaya login ini. Misalnya, login dari negara lain di perangkat baru selama bukan jam kerja dari alamat IP yang tidak dikenali mungkin diberi tingkat risiko tinggi.

Langkah 3: Tanggapan autentikasi

Skor risiko menghasilkan respons autentikasi yang spesifik terhadap konteks. Ini bisa mencakup:

  • Pemicu MFA standar (risiko rendah): Ini bisa berupa kata sandi sekali pakai (OTP) yang dikirim ke perangkat mobile pengguna melalui notifikasi push atau aplikasi pengautentikasi seperti Google atau Microsoft Authenticator.

  • Pemicu MFA yang ditingkatkan (risiko menengah): Di sini sistem mungkin menerapkan metode yang lebih ketat untuk autentikasi, seperti biometrik (pemindaian wajah atau sidik jari) atau pertanyaan keamanan atau autentikasi berbasis pengetahuan (pertanyaan tentang riwayat pengguna tertentu).

  • Pemblokiran dan peringatan segera (risiko tinggi): Dalam kasus berisiko tinggi, sistem mungkin segera memblokir upaya login dan memberi tahu departemen keamanan organisasi.

Langkah 4: Pengamatan dan perbaikan berkelanjutan

Sistem A-MFA terus memantau aktivitas dan perilaku setiap pengguna untuk mengidentifikasi anomali dengan lebih baik dari waktu ke waktu. Semakin banyak sistem A-MFA mengadopsi algoritma machine learning untuk belajar dari login pengguna sebelumnya atau upaya akses pengguna. Semakin banyak upaya login yang ditemui sistem, semakin mahir mengidentifikasi upaya yang valid dan mencurigakan.

Diagram alur kerja mfa adaptif
Diagram alur kerja mfa adaptif

Mengapa menerapkan MFA adaptif?

Organisasi mengadopsi MFA adaptif karena beberapa alasan, termasuk:

  • Tingkat kontrol yang lebih besar untuk administrator sistem: Sistem A-MFA memberi administrator kemampuan untuk meningkatkan atau mengurangi jumlah persyaratan autentikasi berdasarkan sensitivitas aset, dan/atau peran orang yang mencoba mengakses aset.

  • Kegunaan optimal tanpa mengorbankan keamanan: A-MFA memungkinkan fluiditas dalam tuntutan autentikasi sehingga keamanan sesuai dengan situasi dan tidak menjadi penghalang bagi pengalaman pengguna.

  • Ketahanan keseluruhan yang ditingkatkan: Mengadopsi A-MFA sebagai bagian dari pendekatan keamanan zero-trust langsung memperkuat keamanan dan secara signifikan mengurangi risiko pelanggaran data dari serangan seperti phishing.

Penulis

Bryan Clark

Senior Technology Advocate
Solusi terkait
IBM® Verify autentikasi tanpa kata sandi

Pindah melampaui otentikasi dasar dengan opsi tanpa kata sandi dan multifaktor.

 Jelajahi autentikasi tanpa kata sandi IBM® Verify
Solusi keamanan

Lindungi lingkungan hybrid cloud dan AI Anda dengan perlindungan cerdas dan otomatis di seluruh data, identitas, dan ancaman.

 Jelajahi solusi keamanan
Identitas & Layanan Manajemen Akses

Lindungi dan kelola akses pengguna dengan kontrol identitas otomatis dan tata kelola berbasis risiko di seluruh hybrid cloud.

         Jelajahi layanan IAM
    Ambil langkah selanjutnya

    Kenali bagaimana otentikasi tanpa kata sandi dapat menambahkan lapisan perlindungan ekstra ke akun Anda dan memberi Anda kontrol kontekstual yang terperinci atas akses aplikasi.

         Temukan autentikasi tanpa kata sandi IBM® Verify Jelajahi solusi keamanan
    Catatan kaki

    Phan, Kim Gwen. “Implementing Resiliency of Adaptive Multi-Factor Authentication Systems.” Spesialisasi Magister dalam Jaminan Informasi, Universitas Negeri St. Cloud, 2018. https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1095&context=msia_etds.

    Suleski, Tance, Mohiuddin Ahmed, Wencheng Yang, dan Eugene Wang. “A Review of Multi-Factor Authentication in the Internet of Healthcare Things.” Digit Health 9 (2023): 20552076231177144. https://pmc.ncbi.nlm.nih.gov/articles/PMC10214092/.

    Ghosh, Arpita, dan Sayak Nag. “A Comprehensive Review of Secure Authentication Systems in Healthcare IoT.” Digit Health 2023; 9: 20552076231177146. https://pmc.ncbi.nlm.nih.gov/articles/PMC10498322/.

    Springer, Paul. Cyber Security: A Practitioner’s Guide. Cham: Springer, 2017. https://link.springer.com/book/10.1007/978-3-319-58808-7.

    IBM. “Multi-Factor Authentication.” IBM Think. Diakses pada 3 November 2025. https://www.ibm.com/id-id/think/topics/multi-factor-authentication.