Adaptive Authentication Adalah: Cara Kerja, Manfaat, dan Perbedaannya dengan Metode Biasa

Adaptive authentication adalah: Cara kerja dan manfaat
Jika karyawan login ke sistem perusahaan dari laptop kantornya di Jakarta pukul 09.00 pagi, mungkin tidak ada masalah. Namun, bagaimana jika satu jam kemudian akun yang sama mencoba masuk dari IP address di negara lain? Apakah sistem Anda cukup cerdas untuk mendeteksi anomali ini dan meminta verifikasi tambahan ke karyawan tersebut?

Inilah yang dilakukan adaptive authentication, atau yang juga dikenal sebagai risk-based authentication. Autentikasi ini semakin signifikan, terutama di era di mana ancaman siber semakin canggih dan model kerja hybrid semakin umum. Password biasa saja sudah tidak cukup mengatasi ancaman.

Blog ini akan menjelaskan secara komprehensif apa itu adaptive authentication, cara kerjanya, dan mengapa contextual security menjadi fondasi penting bagi organisasi.

 

Apa Itu Adaptive Authentication?

Adaptive authentication dikenal juga sebagai risk-based authentication. Dalam konteks manajemen dan keamanan identitas, adaptive authentication adalah proses memverifikasi identitas user yang memerlukan akses ke resource.

Verifikasi akan dilakukan berdasarkan kondisi user. Sistem akan secara otomatis memilih mekanisme autentikasi yang paling sesuai dengan profil risiko dan perilaku user.

Sebagai contoh, jika user berusaha mengakses resource melalui Wi-Fi kantor, maka user akan langsung diizinkan. Tetapi, jika user tersebut meminta akses dari Wi-Fi publik, user akan diminta melakukan verifikasi berupa OTP. Perbedaan ini muncul karena profil risiko user menjadi lebih tinggi saat ia terhubung dengan Wi-Fi publik, sehingga verifikasi tambahan pun diperlukan.

 

Bagaimana Cara Kerja Adaptive Authentication?

cara kerja adaptive authentication

Adaptive authentication bekerja melalui beberapa langkah berikut ini:

1. User berusaha log in

Proses autentikasi akan dimulai ketika user mencoba mengakses sistem atau aplikasi.

2. Pengumpulan informasi kontekstual

Autentikasi akan mengumpulkan berbagai sinyal kontekstual selama percobaan login. Sinyal risiko tersebut yaitu:

  • Lokasi geografis: Apakah login berasal dari negara/kota yang biasa digunakan user?

  • Perangkat: Apakah ini perangkat yang sudah dikenal atau perangkat baru?

  • Waktu akses: Apakah login terjadi di luar jam kerja normal?

  • Jaringan: Apakah menggunakan Wi-Fi kantor, VPN, atau jaringan publik?

  • Pola perilaku: Apakah kecepatan atau urutan login sesuai dengan kebiasaan user?

  • Reputasi IP: Apakah IP address masuk dalam blacklist atau terasosiasi dengan aktivitas mencurigakan? 

3. Risk assessment

Informasi yang sudah dikumpulkan kemudian dianalisis tingkat risikonya oleh adaptive authentication engine. Engine ini akan membandingkan data login saat ini dengan perilaku user biasanya. Misalnya, waktu user login dan logout serta pola yang terkait dengan tugas hariannya.

4. Risk scoring

Berdasarkan analisis, sistem akan menetapkan skor risiko (risk score) pada percobaan login user. Skor ini memberi tahu apakah percobaan login dinilai berbahaya atau tidak.

5. Risk-based authentication

Berdasarkan skor risiko, sistem akan menentukan level autentikasi yang diperlukan. Berikut contoh kategori risiko dan tindakan yang akan dilakukan sistem berdasarkan kategori:

  • Risiko rendah: Login langsung tanpa tambahan langkah

  • Risiko sedang: Login memerlukan OTP via SMS/email atau push notification

  • Risiko tinggi: Login memerlukan verifikasi biometrik

  • Risiko kritis: Izin tidak diberikan, akses diblokir. Tim keamanan mendapat alert

6. User melakukan autentikasi

Setelah level autentikasi ditentukan, sistem akan mengirimnya kepada user. User pun melakukan autentikasi untuk mengakses resource.

7. Monitoring berkelanjutan

Adaptive authentication tidak berhenti sampai user bisa mengakses resource saja. Setelah itu, aktivitas user saat dan setelah login juga terus dipantau untuk mendeteksi ancaman atau aktivitas mencurigakan.

 

Peran Contextual Security dalam Adaptive Authentication

Contextual security adalah filosofi di balik adaptive authentication. Artinya, keputusan keamanan dibuat berdasarkan konteks lengkap dari setiap interaksi, bukan hanya kredensial yang dimasukkan.

Dalam praktiknya, contextual security mempertimbangkan tiga dimensi utama:

  • Identitas pengguna: Siapa yang mencoba login? Apakah akun ini memiliki riwayat aktivitas mencurigakan? Apa peran dan tingkat aksesnya?

  • Lingkungan akses: Dari mana user login? Perangkat apa yang digunakan? Apakah perangkat sudah terdaftar dan sesuai kebijakan keamanan?

  • Perilaku dan konteks waktu: Apakah pola aksesnya konsisten? Jika user mengakses jam 03.00 pagi dari negara yang berbeda, maka ini adalah anomali.

 

Perbedaan Adaptive Auth dengan Autentikasi Konvensional

Adaptive authentication berbeda dengan autentikasi konvensional. Biasanya, autentikasi konvensional hanya meminta faktor yang sama, tetapi adaptive authentication mengevaluasi berbagai sinyal secara real-time untuk menentukan seberapa ketat verifikasi yang diperlukan.

Aspek

Autentikasi Konvensional

Adaptive Authentication

Faktor verifikasi

Selalu sama (password/OTP)

Menyesuaikan dengan risiko

Pengalaman pengguna

Tidak menyesuaikan dengan situasi pengguna

Minimal untuk login normal, ketat saat risiko tinggi

Deteksi ancaman

Pasif (hanya cek kredensial)

Aktif (analisis konteks & perilaku)

Penanganan anomali

Tidak ada

Langsung meminta verifikasi tambahan

Kepatuhan regulasi

Terbatas

Lebih mudah memenuhi standar UU PDP

 

Manfaat Adaptive Authentication bagi Organisasi

Berikut beberapa manfaat utama adaptive authentication bagi organisasi.

Meningkatkan user experience

Adaptive authentication menawarkan pilihan autentikasi yang fleksibel berdasarkan preferensi dan tingkat risiko user. Cara ini memungkinkan proses login yang lebih nyaman, karena autentikasi tambahan tidak perlu dilakukan jika tidak benar-benar diperlukan.

Dalam konteks kerja remote, adaptive authentication memudahkan user dari berbagai lokasi untuk login dengan mudah.

Meningkatkan keamanan

Secara keseluruhan, adaptive authentication dapat meningkatkan keamanan sistem. Autentikasi ini melibatkan monitoring perilaku user secara berkelanjutan dan proaktif, sehingga membantu mendeteksi dan memitigasi risiko sejak dini. Ancaman seperti fraud dan serangan brute-force pun bisa terhindari.

Selain itu, adaptive authentication juga menganalisis berbagai faktor yang bisa menentukan tingkat risiko setiap percobaan login. Dari proses analisis ini, sistem bisa memilah mana percobaan login yang berisiko tinggi dan menentukan tindakan yang tepat.

Mendukung fleksibilitas dan skalabilitas

Adaptive authentication memungkinkan organisasi menyesuaikan kebijakan autentikasi berdasarkan peran user, tingkat sensitivitas aplikasi, lokasi, maupun kondisi operasional organisasi.

Autentikasi ini dapat diintegrasikan dengan infrastruktur keamanan yang sudah ada, sehingga implementasinya tidak perlu banyak perubahan besar. Selain itu, autentikasi ini juga mendukung model kerja remote dan hybrid.

Mengoptimalkan biaya operasional

Adaptive authentication pada umumnya melibatkan automasi penilaian risiko dan pengambilan keputusan autentikasi. Proses ini mengurangi kebutuhan intervensi manual dari tim IT, sehingga membantu menekan biaya operasional dan meningkatkan efisiensi.

Selain itu, ketika risiko terdeteksi lebih awal, organisasi dapat meminimalkan potensi kerugian akibat penyalahgunaan akun, kebocoran data, ataupun insiden keamanan lainnya.

Membantu memenuhi persyaratan compliance

Banyak standar dan regulasi keamanan, seperti ISO 27001, NIST Cybersecurity Framework, HIPAA, UU PDP, maupun PCI DSS, mengharuskan organisasi menerapkan kontrol akses yang kuat untuk melindungi data sensitif.

Adaptive authentication memenuhi kebutuhan tersebut melalui autentikasi berbasis risiko, monitoring aktivitas, serta pencatatan log autentikasi yang mendukung proses audit.

 

Contoh Penerapan Adaptive Authentication

Berikut beberapa contoh implementasi adaptive auth di lingkungan organisasi.

Login dari kantor

User login dari kantor dengan perangkat yang dikenal dan jam kerja normal.

Hasilnya login langsung berhasil tanpa autentikasi.

Login saat perjalanan dinas

User login saat melakukan perjalanan dinas di luar kota. Lokasi tidak sama dengan tempat biasa login, tetapi perangkat yang digunakan sama.

Hasilnya sistem meminta OTP.

Login dari negara lain

User login dari negara lain dengan perangkat yang baru. IP pun mencurigakan.

Hasilnya, sistem meminta MFA tambahan atau memblokir akses.

Administrator mengakses sistem produksi

User login di luar jam kerja dan menggunakan jaringan publik.

Hasilnya, sistem meminta autentikasi berlapis sebelum memberikan akses.

 

Risiko Adaptive Authentication dan Cara Mitigasinya

Meski memiliki kelebihan, adaptive authentication memiliki risiko yang perlu diantisipasi.

Risiko

Deskripsi

Mitigasi

False positive

User sah diblokir atau terus diminta verifikasi tambahan karena pola aksesnya dianggap mencurigakan (misalnya karyawan yang sering bepergian).

Buat kebijakan pengecualian berbasis peran dan sediakan mekanisme eskalasi ke admin.

Single point of failure

Jika sistem adaptive auth mengalami gangguan, seluruh proses autentikasi bisa terdampak.

Implementasikan dengan arsitektur high availability dan siapkan prosedur fallback yang aman.

Privasi data

Pengumpulan sinyal kontekstual (lokasi, perilaku) melibatkan data pribadi user.

Pastikan kebijakan penggunaan data transparan, sesuai UU PDP, dan data sinyal tidak disimpan lebih lama dari yang diperlukan.

  

Best Practice Menerapkan Adaptive Authentication

Organisasi perlu memastikan kebijakan autentikasi selaras dengan kebutuhan bisnis, pengalaman user, serta postur keamanan secara keseluruhan. Berikut beberapa best practice yang dapat diterapkan.

1. Terapkan kebijakan autentikasi berdasarkan tingkat risiko

adaptive authentication MFA

Setiap aktivitas login memiliki tingkat risiko yang berbeda. Oleh karena itu, hindari menerapkan proses autentikasi yang sama untuk semua user dan semua kondisi.

Sebaliknya, buat kebijakan autentikasi berdasarkan faktor kontekstual seperti lokasi login, alamat IP, perangkat yang digunakan, atau waktu akses.

Untuk mempermudah penerapannya, manfaatkan fitur Adaptive MFA di ADSelfService Plus yang memungkinkan administrator membuat kebijakan autentikasi berdasarkan lokasi, IP address, perangkat, waktu login, maupun atribut Active Directory.

2. Gunakan metode MFA yang sesuai dengan tingkat risiko

pilihan adaptive authentication

Tidak semua ancaman memerlukan metode verifikasi yang sama. Login dengan risiko sedang mungkin cukup diamankan menggunakan push notification atau email OTP, sedangkan akses ke aplikasi sensitif atau aktivitas berisiko tinggi dapat memerlukan metode yang lebih kuat, seperti TOTP Authenticator atau FIDO passkeys.

Karena itu, pilihlah solusi adaptive authentication yang mendukung berbagai metode autentikasi agar organisasi dapat menyesuaikan tingkat perlindungan dengan risiko yang dihadapi. ADSelfService Plus sendiri mendukung berbagai metode MFA, mulai dari Push Notification, TOTP Authenticator, Email OTP, SMS OTP, hingga FIDO Passkeys dan autentikasi biometrik pada perangkat yang kompatibel.

3. Terapkan adaptive authentication di seluruh titik akses

Adaptive authentication sebaiknya tidak hanya diterapkan pada aplikasi cloud. Endpoint seperti VPN, Windows login, Remote Desktop Protocol (RDP), Outlook Web Access (OWA), maupun aplikasi enterprise lainnya juga perlu mendapatkan perlindungan yang sama agar tidak menjadi celah keamanan.

Untuk itu, pastikan solusi yang digunakan mampu mengamankan berbagai titik akses dalam satu platform. Dengan ADSelfService Plus, organisasi dapat menerapkan Endpoint MFA sekaligus Enterprise Single Sign-On (SSO) sehingga kebijakan autentikasi tetap konsisten di seluruh lingkungan IT.

4. Kombinasikan adaptive authentication dengan Single Sign-On (SSO)

adaptive authentication SSO

Adaptive authentication dan Single Sign-On (SSO) bukanlah teknologi yang saling menggantikan, melainkan saling melengkapi. SSO menyederhanakan proses login sehingga user cukup melakukan autentikasi satu kali untuk mengakses berbagai aplikasi, sedangkan adaptive authentication memastikan setiap akses tetap dievaluasi berdasarkan tingkat risikonya.

Menggabungkan kedua pendekatan ini memungkinkan organisasi meningkatkan produktivitas tanpa mengurangi keamanan. Solusi seperti ADSelfService Plus memungkinkan implementasi Enterprise SSO yang terintegrasi dengan Adaptive MFA sehingga user memperoleh pengalaman login yang aman sekaligus nyaman.

5. Lengkapi dengan portal self-service untuk memperkuat keamanan identitas

Organisasi juga perlu memastikan user dapat mengelola password mereka dengan aman tanpa bergantung pada helpdesk. Hal ini membantu mengurangi risiko penggunaan password yang lemah maupun praktik berbagi kredensial.

Dengan mengombinasikan adaptive authentication dan portal self-service, organisasi dapat meningkatkan keamanan sekaligus mengurangi beban operasional tim IT. ADSelfService Plus menyediakan fitur Portal Self-Service yang memungkinkan user mereset password secara mandiri setelah melalui proses verifikasi identitas yang aman.

6. Tinjau dan perbarui kebijakan autentikasi secara berkala

Ancaman siber terus berkembang, begitu pula pola kerja user. Oleh karena itu, kebijakan adaptive authentication perlu dievaluasi secara berkala agar tetap relevan terhadap perubahan risiko maupun kebutuhan bisnis.

Administrator sebaiknya meninjau kembali aturan autentikasi berdasarkan hasil audit keamanan, perubahan infrastruktur, atau munculnya pola serangan baru. Dengan pengelolaan kebijakan yang terpusat melalui ADSelfService Plus, administrator dapat memperbarui aturan Adaptive MFA dengan lebih mudah tanpa harus melakukan konfigurasi pada setiap aplikasi secara terpisah.

 

Implementasi Adaptive Auth dengan ManageEngine ADSelfService Plus

Adaptive authentication merupakan pendekatan autentikasi modern yang mampu menyeimbangkan keamanan dan kenyamanan user. Dengan menerapkan risk-based authentication dan contextual security, organisasi dapat mengevaluasi setiap upaya login berdasarkan tingkat risikonya, sehingga autentikasi tambahan hanya diterapkan ketika benar-benar diperlukan.

Jika organisasi Anda ingin menerapkan adaptive authentication tanpa mengorbankan produktivitas pengguna, ManageEngine ADSelfService Plus menyediakan solusi adaptive MFA yang membantu membangun sistem autentikasi yang lebih aman, fleksibel, dan mudah dikelola.

Pelajari lebih lengkap tentang ADSelfService Plus melalui demo dengan tim kami!

 

FAQ tentang Adaptive Authentication

Apa itu adaptive authentication?
Adaptive authentication adalah metode autentikasi berbasis risiko yang secara otomatis menyesuaikan tingkat verifikasi berdasarkan konteks login user, seperti lokasi, perangkat, waktu akses, dan pola perilaku. Jika risiko dinilai rendah, user bisa langsung masuk tanpa langkah tambahan. Jika risiko tinggi, sistem akan meminta verifikasi ekstra seperti OTP atau biometrik.
Apa perbedaan adaptive authentication dengan MFA biasa?
MFA konvensional selalu meminta faktor verifikasi yang sama di setiap login, terlepas dari kondisi user. Adaptive authentication hanya meminta verifikasi tambahan ketika sistem mendeteksi risiko — misalnya login dari lokasi baru atau perangkat yang tidak dikenal. Hasilnya, pengalaman login lebih nyaman untuk situasi normal, namun tetap ketat saat ada anomali.
Faktor apa saja yang dianalisis dalam adaptive authentication?
Sistem adaptive authentication menganalisis berbagai sinyal kontekstual, antara lain: lokasi geografis, jenis perangkat (dikenal atau baru), jaringan yang digunakan (Wi-Fi kantor, VPN, atau publik), waktu akses, pola perilaku login, serta reputasi IP address. Semua faktor ini dikombinasikan untuk menghasilkan skor risiko yang menentukan level autentikasi yang diperlukan.
Apakah adaptive authentication cocok untuk model kerja hybrid dan remote?
Ya. Adaptive authentication dirancang untuk lingkungan kerja yang fleksibel. Sistem dapat membedakan antara karyawan yang login dari kantor, dari rumah via VPN, atau dari lokasi asing yang mencurigakan — lalu menyesuaikan tingkat verifikasi secara otomatis. Ini memudahkan akses bagi karyawan remote yang sah, sekaligus tetap memblokir upaya login yang tidak wajar.
Apakah adaptive authentication membantu memenuhi regulasi seperti UU PDP dan ISO 27001?
Ya. Adaptive authentication mendukung pemenuhan berbagai standar keamanan karena menerapkan kontrol akses berbasis risiko, monitoring aktivitas login secara berkelanjutan, dan pencatatan log autentikasi yang dapat digunakan untuk proses audit. Standar seperti UU PDP, ISO 27001, NIST Cybersecurity Framework, hingga PCI DSS mensyaratkan kontrol akses yang kuat — dan adaptive authentication memenuhi kebutuhan tersebut.
Apa risiko utama adaptive authentication dan bagaimana cara mengatasinya?
Risiko utama meliputi false positive (user sah diblokir karena pola aksesnya dianggap anomali), single point of failure jika sistem mengalami gangguan, serta isu privasi terkait pengumpulan data kontekstual. Mitigasinya antara lain: membuat kebijakan pengecualian berbasis peran untuk user yang sering bepergian, menerapkan arsitektur high availability, dan memastikan kebijakan penggunaan data sesuai dengan UU PDP.