24 April 2025
Autentikasi multifaktor (MFA) adalah cara untuk memverifikasi identitas pengguna dengan memerlukan setidaknya dua bentuk pembuktian yang berbeda, seperti kata sandi akun online dan sidik jari atau data biometrik lainnya. MFA menyediakan lapisan perlindungan ekstra di luar apa yang dapat ditawarkan oleh kata sandi saja.
Banyak pengguna internet yang akrab dengan bentuk MFA yang paling umum, otentikasi dua faktor (2FA). Otentikasi dua faktor hanya meminta dua bukti, tetapi beberapa implementasi MFA meminta tiga atau lebih.
Sebagai contoh, untuk masuk ke akun email yang dilindungi oleh MFA, pengguna mungkin perlu memasukkan kata sandi akun yang benar (faktor pertama) dan kode sandi sekali pakai yang dikirimkan oleh penyedia email ke mobile pengguna dalam pesan teks (faktor kedua). Untuk akun yang sangat sensitif, bukti ketiga, seperti kepemilikan kunci perangkat keras, mungkin diperlukan.
Pengguna dapat mengakses sistem hanya jika semua faktor yang diperlukan sudah terpenuhi. Jika ada yang salah, upaya login akan gagal.
Metode MFA digunakan untuk mengakses semua jenis akun, aset, dan sistem sensitif. Mereka bahkan muncul secara offline: Menggunakan kartu bank (bukti pertama) dan PIN (bukti kedua) untuk menarik uang tunai dari ATM adalah sebuah bentuk MFA.
MFA telah menjadi bagian yang semakin penting dari strategi manajemen identitas dan akses (IAM). Metode autentikasi standar faktor tunggal bergantung pada nama pengguna dan kata sandi, yang mudah dicuri atau diretas. Faktanya, kredensial yang disusupi adalah penyebab paling umum dari pelanggaran data, menurut laporanBiaya Pelanggaran Data IBM.
Sistem MFA menambahkan lapisan keamanan ekstra dengan membutuhkan lebih dari satu bukti untuk mengonfirmasi identitas pengguna. Bahkan jika seorang peretas mencuri kata sandi, itu tidak cukup untuk mendapatkan akses tidak sah ke sistem. Mereka masih membutuhkan faktor kedua itu.
Selain itu, faktor kedua seringkali merupakan sesuatu yang jauh lebih sulit untuk dipecahkan daripada kata sandi sederhana, seperti pemindaian sidik jari atau token keamanan fisik.
Perkuat intelijen keamanan Anda
Tetap terdepan dalam menghadapi ancaman dengan berita dan insight tentang keamanan, AI, dan lainnya, setiap minggu di Buletin Think.
Dalam sistem MFA, pengguna membutuhkan setidaknya dua bukti, yang disebut “faktor autentikasi”, untuk membuktikan identitas mereka. Sistem MFA dapat menggunakan beberapa jenis faktor autentikasi, dan sistem MFA yang benar menggunakan setidaknya dua jenis faktor yang berbeda.
Menggunakan berbagai jenis faktor dianggap lebih aman daripada menggunakan beberapa faktor dengan jenis yang sama karena penjahat siber perlu menggunakan metode terpisah di berbagai saluran untuk memecahkan setiap faktor.
Misalnya, peretas dapat mencuri kata sandi pengguna dengan menanam spyware pada komputer korban. Namun spyware itu tidak akan menangkap kode sandi sekali pakai yang dikirimkan ke smartphone pengguna, dan tidak akan menyalin sidik jari pengguna. Penyerang perlu mencegat pesan SMS yang membawa kode sandi atau meretas pemindai sidik jari untuk mengumpulkan semua kredensial yang mereka butuhkan.
Jenis faktor autentikasi termasuk:
- Faktor pengetahuan
- Faktor kepemilikan
- Faktor bawaan
- Faktor perilaku
Faktor pengetahuan: Sesuatu yang diketahui pengguna
Faktor pengetahuan adalah informasi yang secara teoritis hanya diketahui oleh pengguna, seperti kata sandi, PIN, dan jawaban atas pertanyaan keamanan. Faktor pengetahuan, biasanya kata sandi, adalah faktor pertama dalam sebagian besar implementasi MFA.
Namun, faktor pengetahuan juga merupakan faktor autentikasi yang paling rentan. Peretas dapat memperoleh kata sandi dan faktor pengetahuan lainnya melalui serangan phishing, memasang malware pada perangkat pengguna, atau melakukan serangan brute-force di mana mereka menggunakan bot untuk membuat dan menguji berbagai kata sandi potensial pada suatu akun hingga salah satunya berfungsi.
Jenis faktor pengetahuan lainnya juga merupakan kerentanan. Jawaban atas banyak pertanyaan keamanan, seperti pertanyaan klasik “Siapa nama asli ibu Anda?”, dapat dipecahkan melalui penelitian media sosial dasar atau serangan rekayasa sosial yang menipu pengguna agar membocorkan informasi pribadi.
Praktik umum yang memerlukan kata sandi dan pertanyaan keamanan bukan merupakan MFA yang sebenarnya karena menggunakan dua faktor berjenis sama, dalam hal ini, dua faktor pengetahuan. Sebaliknya, ini akan menjadi contoh proses verifikasi dua langkah. Verifikasi dua langkah memberikan keamanan tambahan karena membutuhkan lebih dari satu faktor, tetapi tidak seaman MFA yang sebenarnya.
Faktor kepemilikan: Sesuatu yang dimiliki pengguna
Faktor kepemilikan adalah hal-hal yang dimiliki seseorang yang dapat mereka gunakan untuk membuktikan identitasnya. Faktor kepemilikan mencakup token perangkat lunak digital dan token perangkat keras fisik.
Lebih umum saat ini, token adalah kunci keamanan digital yang disimpan atau dihasilkan oleh perangkat yang dimiliki pengguna, biasanya smartphone atau perangkat mobile lainnya. Dengan token perangkat lunak, perangkat pengguna bertindak sebagai faktor kepemilikan. Sistem MFA mengasumsikan bahwa hanya pengguna yang sah yang memiliki akses ke perangkat dan informasi apa pun di dalamnya.
Token keamanan perangkat lunak bisa dalam berbagai bentuk, mulai dari sertifikat digital yang secara otomatis mengautentikasi pengguna hingga kata sandi sekali pakai (OTP) yang berubah setiap kali pengguna masuk.
Beberapa solusi MFA mengirim OTP ke telepon pengguna melalui SMS, email, atau panggilan. Implementasi MFA lainnya menggunakan aplikasi autentikator: aplikasi mobile khusus yang secara terus menerus menghasilkan kata sandi sekali pakai (TOTP) berbasis waktu. Banyak TOTP yang kedaluwarsa dalam 30-60 detik, sehingga sulit untuk dicuri dan digunakan sebelum waktu habis dan kata sandi usang.
Beberapa aplikasi autentikator menggunakan notifikasi push, bukan TOTP. Ketika pengguna mencoba masuk ke akun, aplikasi mengirimkan notifikasi push langsung ke sistem operasi iOS atau Android pada perangkat pengguna. Pengguna harus mengetuk notifikasi untuk mengonfirmasi upaya login.
Aplikasi autentikator yang umum digunakan meliputi Google Authenticator, Microsoft Authenticator, dan LastPass Authenticator.
Sistem otentikasi lainnya menggunakan perangkat keras khusus yang bertindak sebagai token fisik. Beberapa token fisik dicolokkan ke port USB komputer dan mengirimkan informasi autentikasi secara otomatis ke aplikasi dan situs. Token perangkat keras lainnya adalah perangkat mandiri yang menghasilkan OTP sesuai permintaan.
Token perangkat keras juga dapat mencakup kunci keamanan yang lebih tradisional, seperti fob yang membuka kunci fisik atau kartu pintar yang harus digesekkan oleh pengguna melalui pembaca kartu.
Keuntungan utama dari faktor kepemilikan adalah bahwa pelaku kejahatan harus memiliki faktor itu untuk meniru pengguna. Seringkali, itu berarti mencuri smartphone atau kunci keamanan fisik. Selanjutnya, OTP kedaluwarsa setelah jumlah waktu yang ditentukan. Bahkan jika peretas mencurinya, tidak ada jaminan itu akan berhasil.
Tetapi faktor kepemilikan tidak mudah. Token fisik dapat dicuri, hilang, atau salah tempat. Sertifikat digital dapat disalin. OTP lebih sulit dicuri daripada kata sandi tradisional, tetapi mereka masih rentan terhadap jenis malware tertentu, penipuan phishing tombak, atau serangan man-in-the-middle.
Peretas juga dapat menggunakan cara yang lebih canggih. Dalam penipuan kloning SIM, penyerang membuat duplikat fungsional dari kartu SIM smartphone korban, sehingga memungkinkan mereka untuk mencegat kode sandi yang dikirim ke nomor telepon pengguna.
Serangan kelelahan MFA memanfaatkan sistem MFA yang menggunakan notifikasi push. Peretas membanjiri perangkat pengguna dengan notifikasi palsu dengan harapan korban secara tidak sengaja mengonfirmasi notifikasi tersebut, yang memungkinkan peretas masuk ke akun mereka.
Faktor yang melekat: Sesuatu yang unik bagi pengguna sebagai pribadi
Juga disebut “biometrik”, faktor bawaan adalah sifat fisik yang unik dari pengguna, seperti sidik jari, fitur wajah, dan pemindaian retina. Banyak smartphone dan laptop yang dilengkapi dengan pemindai wajah dan pembaca sidik jari, dan banyak aplikasi serta situs web yang dapat menggunakan data biometrik ini sebagai faktor autentikasi.
Sementara faktor bawaan adalah salah satu yang paling sulit untuk dipecahkan, tapi itu bisa dilakukan. Sebagai contoh, peneliti keamanan menemukan cara untuk meretas pemindai sidik jari Windows Hello pada laptop tertentu. Para peneliti dapat mengganti sidik jari pengguna terdaftar dengan sidik jari mereka sendiri, yang secara efektif memberi mereka kendali atas perangkat.
Kemajuan dalam pembuatan gambar kecerdasan buatan (AI) juga menimbulkan kekhawatiran bagi para pakar keamanan siber, karena para peretas dapat menggunakan alat ini untuk mengelabui perangkat lunak pengenalan wajah.
Ketika data biometrik disusupi, data tersebut tidak dapat diubah dengan cepat atau mudah, sehingga sulit untuk menghentikan serangan yang sedang berlangsung dan mendapatkan kembali kendali atas akun.
Faktor perilaku: Sesuatu yang dilakukan pengguna
Faktor perilaku adalah artefak digital yang membantu memverifikasi identitas pengguna berdasarkan pola perilaku, seperti rentang alamat IP, lokasi, dan kecepatan pengetikan rata-rata pengguna umumnya.
Misalnya, saat masuk ke aplikasi dari jaringan privat virtual (VPN) perusahaan, pengguna mungkin hanya perlu menyediakan satu faktor autentikasi. Kehadiran mereka pada VPN tepercaya dihitung sebagai faktor kedua.
Demikian pula, beberapa sistem memungkinkan pengguna untuk mendaftarkan perangkat tepercaya sebagai faktor autentikasi. Kapan pun pengguna mengakses sistem dari perangkat tepercaya, penggunaan perangkat secara otomatis berfungsi sebagai faktor kedua.
Meskipun faktor perilaku menawarkan cara yang canggih untuk mengautentikasi pengguna, peretas masih bisa menyamar sebagai pengguna dengan meniru perilaku mereka.
Misalnya, jika peretas mendapatkan akses ke perangkat tepercaya, mereka dapat menggunakannya sebagai faktor autentikasi. Demikian juga, penyerang dapat memalsukan alamat IP mereka agar terlihat seolah-olah mereka terhubung ke VPN perusahaan.
Adaptif MFA menggunakan autentikasi adaptif, juga disebut “autentikasi berbasis risiko”. Sistem autentikasi adaptif menggunakan AI dan machine learning (ML) untuk mengevaluasi aktivitas pengguna dan menyesuaikan tantangan autentikasi secara dinamis. Semakin berisiko situasi, semakin banyak faktor autentikasi yang harus disediakan pengguna.
Sebagai contoh, jika pengguna mencoba masuk ke aplikasi tingkat rendah dari perangkat yang dikenal di jaringan tepercaya, mereka mungkin hanya perlu memasukkan kata sandi.
Jika pengguna yang sama mencoba masuk ke aplikasi yang sama dari koneksi wifi publik yang tidak aman, mereka mungkin diharuskan memberikan faktor kedua.
Jika pengguna mencoba mengakses informasi yang sangat sensitif atau mengubah informasi akun yang penting, mereka mungkin perlu memberikan faktor ketiga atau bahkan faktor keempat.
Sistem autentikasi adaptif dapat membantu organisasi mengatasi beberapa tantangan paling umum dalam implementasi MFA. Misalnya, pengguna mungkin menolak MFA karena mereka menganggapnya kurang nyaman dibandingkan kata sandi sederhana. MFA Adaptif membuat pengguna hanya memerlukan beberapa faktor untuk situasi sensitif, sehingga meningkatkan pengalaman pengguna.
Bagi suatu organisasi, aset dan bagian jaringan yang berbeda mungkin memerlukan tingkat keamanan yang berbeda. Memerlukan MFA untuk setiap aplikasi dan aktivitas mungkin akan menghasilkan pengalaman pengguna yang buruk dengan sedikit manfaat keamanan.
Sistem otentikasi adaptif memungkinkan organisasi untuk menentukan proses manajemen akses yang lebih terperinci berdasarkan pengguna, aktivitas, dan sumber daya yang terlibat, alih-alih menerapkan satu solusi untuk semua.
Meski begitu, sistem adaptif mungkin memerlukan lebih banyak sumber daya dan keahlian untuk dipelihara daripada solusi MFA standar.
Sistem MFA tanpa kata sandi hanya menerima faktor kepemilikan, bawaan, dan perilaku, tidak faktor pengetahuan. Misalnya, meminta sidik jari pengguna bersama dengan token fisik merupakan MFA tanpa kata sandi.
Kunci sandi, seperti yang sesuai standar FIDO yang populer, adalah salah satu bentuk autentikasi tanpa kata sandi yang paling umum. Itu menggunakan kriptografi kunci publik untuk memverifikasi identitas pengguna.
MFA tanpa kata sandi menghilangkan faktor pengetahuan karena mereka adalah faktor termudah untuk dikompromikan. Sementara sebagian besar metode MFA saat ini menggunakan kata sandi, para pakar industri mengantisipasi masa depan yang semakin tanpa kata sandi. Organisasi termasuk Google, Apple, IBM, dan Microsoft menawarkan opsi autentikasi tanpa kata sandi.
Organisasi menggunakan sistem autentikasi untuk melindungi akun pengguna dari serangan ini. Namun, dalam sistem autentikasi paling dasar, kata sandi saja sudah cukup untuk mendapatkan akses, yang tidak jauh lebih aman daripada mengatakan, “Charlie mengirim saya.”
Menurut Laporan Biaya Pelanggaran Data dari IBM, kredensial yang disalahgunakan dan phishing adalah dua vektor serangan siber yang paling umum di balik pelanggaran data. Secara keseluruhan, keduanya bertanggung jawab atas 31% dari pelanggaran. Kedua vektor sering bekerja dengan cara mencuri kata sandi, yang kemudian dapat digunakan oleh hacker untuk memanfaatkan akun dan perangkat sah dan menimbulkan kekacauan.
Peretas menargetkan kata sandi karena mudah dipecahkan melalui brute force atau penipuan. Selain itu, karena orang menggunakan ulang kata sandi, peretas sering kali dapat menggunakan satu kata sandi curian untuk membobol banyak akun. Konsekuensi dari kata sandi yang dicuri dapat signifikan bagi pengguna dan organisasi, yaitu pencurian identitas, pencurian dana, dan sabotase sistem.
MFA menambahkan lapisan perlindungan ekstra pada akun pengguna, membantu menggagalkan akses yang tidak sah dengan meletakkan lebih banyak penghalang antara penyerang dan target mereka. Bahkan jika peretas dapat mencuri kata sandi, mereka membutuhkan setidaknya satu faktor lagi untuk masuk.
MFA juga dapat membantu organisasi memenuhi persyaratan kepatuhan. Misalnya, Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) secara eksplisit mengharuskan MFA untuk sistem yang menangani data kartu pembayaran.
Peraturan privasi data dan keamanan data lainnya, seperti Sarbanes-Oxley (SOX) Act dan General Data Protection Regulation (GDPR), tidak secara eksplisit mewajibkan MFA. Namun, sistem MFA dapat membantu organisasi memenuhi standar keamanan ketat yang ditetapkan undang-undang ini.
Dalam beberapa kasus, organisasi terpaksa mengadopsi MFA setelah pelanggaran data. Sebagai contoh, Komisi Perdagangan Federal memerintahkan penjual alkohol online Drizly untuk menerapkan MFA setelah terjadi pelanggaran yang berdampak pada 2,5 juta pelanggan.1
Masuk tunggal (SSO) adalah skema autentikasi yang memungkinkan pengguna untuk masuk ke beberapa aplikasi menggunakan satu set kredensial. Meskipun SSO dan MFA sama-sama berurusan dengan autentikasi, keduanya memiliki tujuan yang berbeda: MFA meningkatkan keamanan, sedangkan SSO dirancang untuk kemudahan penggunaan.
SSO sering digunakan dalam organisasi di mana anggota staf harus mengakses beberapa layanan atau aplikasi untuk melakukan pekerjaan mereka. Mengharuskan pengguna untuk membuat akun terpisah untuk setiap aplikasi dapat menyebabkan kelelahan kata sandi, yaitu stres yang terkait dengan mengingat jumlah login yang tidak masuk akal.
SSO memungkinkan orang untuk menggunakan satu login untuk beberapa aplikasi, meningkatkan pengalaman pengguna.
MFA tidak mengatasi masalah pengalaman pengguna, tetapi menambahkan lapisan keamanan ekstra pada proses login.
MFA dan SSO saling terkait dan saling melengkapi karena sistem SSO modern sering kali membutuhkan MFA, membantu memastikan bahwa proses masuk menjadi lebih nyaman dan relatif aman.
Perbedaan antara 2FA dan MFA adalah bahwa 2FA menggunakan tepat dua faktor, sedangkan MFA mungkin memerlukan dua, tiga, atau bahkan lebih banyak faktor, tergantung pada tingkat keamanan yang dibutuhkan. 2FA adalah jenis MFA.
Sebagian besar aplikasi MFA menggunakan 2FA karena dua faktor seringkali cukup aman. Namun, organisasi mungkin memerlukan faktor tambahan untuk membuktikan identitas sebelum memberikan akses ke informasi yang sangat sensitif seperti data keuangan atau file yang berisi informasi identifikasi pribadi (PII).