MFA Adalah: Jenis, Cara Kerja & Implementasi di Organisasi
Kredensial pengguna sering menjadi target utama penyerang. Menurut Verizon DBIR 2025, 22% dari seluruh breach bermula dari kredensial yang dicuri atau dikompromikan. Selain itu, SpyCloud mencatat ada 3,1 miliar password yang terekspos sepanjang 2024.
Angka-angka ini menggambarkan kenyataan bahwa password saja tidak cukup untuk keamanan. Organisasi perlu lapisan keamanan tambahan seperti Multi-Factor Authentication (MFA).
Dengan mewajibkan pengguna membuktikan identitasnya melalui lebih dari satu faktor, MFA menutup celah yang tidak bisa ditambal oleh password sendirian. Data dari Microsoft mengonfirmasi bahwa MFA mampu memblokir lebih dari 99% upaya akses tidak sah, menjadikannya sebagai salah satu kontrol keamanan paling efektif yang bisa diterapkan organisasi.
Apa itu Multi-Factor Authentication (MFA)?
Multi-factor authentication (MFA) adalah mekanisme verifikasi identitas yang mewajibkan pengguna membuktikan identitasnya melalui setidaknya dua faktor dari kategori berbeda sebelum mendapatkan akses.
MFA tidak sekadar meminta dua informasi berbeda. Sebagai contoh, kombinasi username dan password tidak termasuk MFA karena keduanya termasuk kategori yang sama, yaitu sesuatu yang Anda ketahui.
Setidaknya, MFA yang valid perlu menggabungkan minimal dua dari tiga kategori:
Faktor | Kategori | Contoh |
Sesuatu yang Anda ketahui (Something you know) | Knowledge | Password, PIN, pertanyaan keamanan |
Sesuatu yang Anda miliki (Something you have) | Possession | Smartphone (TOTP app), hardware security key (YubiKey), smart card |
Sesuatu yang Anda sendiri (Something you are) | Inherence | Sidik jari, face recognition, iris scan |
Selain ketiga kategori tersebut, implementasi MFA modern juga mulai memanfaatkan faktor kontekstual, seperti lokasi pengguna, waktu akses, perangkat yang digunakan, dan pola perilaku.
MFA merupakan salah satu kontrol keamanan yang penting dalam Identity and Access Management (IAM). Teknologi ini melindungi akun, aplikasi, dan data sensitif sekaligus mengurangi risiko cyberattack.
Mengapa MFA penting bagi organisasi?
MFA penting untuk diterapkan organisasi karena beberapa alasan berikut:
Password sudah tidak memadai
Selama bertahun-tahun, password menjadi metode utama untuk melindungi akun dan sistem. Namun, saat ini password hanya dianggap sebagai lapisan keamanan paling dasar. Password sering diretas oleh hacker melalui serangan brute-force, phishing, dan dictionary.
Mengapa password dinilai tidak begitu aman? Sebab, banyak user masih memiliki kebiasaan yang berisiko, seperti menggunakan password yang lemah, mengulangi password yang sama untuk berbagai akun, menyimpan password di tempat yang tidak aman, atau jarang melakukan pembaruan password secara berkala.
MFA membantu mengatasi kelemahan tersebut dengan menambahkan lapisan verifikasi tambahan. Bahkan meskipun attacker berhasil memperoleh password user, mereka tetap tidak bisa mengakses sistem tanpa melewati faktor autentikasi lainnya.
Ancaman terbesar berasal dari identitas yang dicuri
Saat ini, banyak serangan siber berfokus pada pencurian identitas pengguna atau identity-based attacks. Serangan ini berisiko besar ketika akun yang berhasil dikompromikan merupakan akun dengan hak akses tinggi, seperti eksekutif tingkat C-level, administrator sistem, atau pemilik aplikasi bisnis.
Akun-akun tersebut biasanya memiliki akses ke data sensitif, sistem inti, dan aset digital penting perusahaan. Jika akses tersebut jatuh ke tangan yang salah, dampaknya dapat berupa kebocoran data, gangguan operasional, hingga kerugian finansial dan reputasi yang sulit dipulihkan.
Selain identity-based attacks, organisasi juga perlu mewaspadai ancaman seperti account takeover (ATO) dan insider threat, yang sama-sama memanfaatkan identitas pengguna untuk mendapatkan akses tidak sah ke sumber daya perusahaan.
Mendukung implementasi Zero Trust Security
Semakin banyak organisasi mengadopsi pendekatan Zero Trust Security. Dalam pendekatan ini, tidak ada user atau perangkat yang secara otomatis dipercaya, bahkan ketika berada di dalam jaringan internal organisasi.
Karena identitas menjadi pusat dari proses keamanan, setiap permintaan akses harus diverifikasi secara berkelanjutan. Di sinilah MFA berperan sebagai salah satu kontrol keamanan utama yang memastikan bahwa pengguna yang mengakses sistem benar-benar merupakan pihak yang berwenang.
Membantu memenuhi compliance
Selain meningkatkan keamanan, penerapan MFA juga membantu organisasi memenuhi berbagai persyaratan regulasi dan standar industri yang berkaitan dengan perlindungan data dan akses. Regulasi dan standar industri tersebut misalnya UU PDP, PCI DSS, GDPR, NIST 800-63B, SOX, dan HIPAA.
Dengan menerapkan MFA, organisasi tidak hanya memperkuat keamanan akun dan data, tetapi juga menunjukkan komitmen terhadap kepatuhan dan tata kelola keamanan informasi yang lebih baik.
Bagaimana cara kerja MFA?
MFA bekerja dengan memverifikasi identitas pengguna melalui beberapa tahap sebelum akses diberikan. Secara umum, alurnya adalah sebagai berikut:
Pengguna memasukkan kredensial pertama: Biasanya berupa username dan password. Ini adalah faktor pertama dari kategori something you know.
Sistem memverifikasi kredensial pertama: Jika cocok dengan data yang tersimpan, sistem tidak langsung memberikan akses, melainkan melanjutkan ke tahap berikutnya.
Sistem meminta faktor autentikasi kedua: Pengguna diminta membuktikan identitasnya melalui faktor dari kategori berbeda. Misalnya, memasukkan kode OTP dari aplikasi authenticator (something you have), melakukan scan sidik jari (something you are), atau menekan tombol approve pada notifikasi push.
Pengguna menyelesaikan verifikasi faktor kedua: Faktor kedua diverifikasi oleh sistem secara real-time.
Akses diberikan: Hanya setelah semua faktor berhasil diverifikasi, sistem mengizinkan pengguna masuk.
Pada implementasi adaptive MFA, ada satu langkah tambahan sebelum proses ini: sistem mengevaluasi konteks login terlebih dahulu — seperti lokasi, perangkat, waktu akses, dan pola perilaku pengguna — untuk menentukan seberapa ketat proses verifikasi yang perlu diterapkan.
Apa saja jenis MFA yang umum digunakan?
Ada beberapa jenis MFA yang umum digunakan organisasi, seperti:
Adaptive MFA
Adaptive MFA adalah metode autentikasi yang menyesuaikan tingkat verifikasi berdasarkan tingkat risiko setiap upaya login. Sistem akan menganalisis berbagai informasi kontekstual sebelum menentukan faktor autentikasi tambahan yang perlu digunakan oleh user.
Misalnya, ada user yang sering gagal login atau mengakses sistem perusahaan di lokasi yang tidak biasa. Sistem adaptive MFA dapat mengenali aktivitas tersebut sebagai anomali dan secara otomatis meminta verifikasi tambahan untuk memastikan identitas user. Dalam situasi tertentu yang dinilai berisiko tinggi, akses bahkan dapat langsung ditolak.
Akan tetapi, jika aktivitas login dianggap aman dan konsisten dengan pola penggunaan sebelumnya, sistem dapat mengurangi atau bahkan melewati proses autentikasi tambahan.
Passwordless MFA
Pada passwordless MFA, user tidak perlu lagi memasukkan password ketika login. Sebagai gantinya, user akan diminta memverifikasi identitas menggunakan faktor lain, seperti biometrik, push notification, atau security key.
Pendekatan ini membantu mengurangi risiko yang berasal dari password lemah, password yang digunakan berulang kali, maupun pencurian kredensial melalui phishing. Selain itu, user juga tidak perlu lagi mengingat banyak password untuk berbagai akun.
Meski tidak menggunakan password, passwordless MFA sebenarnya tetap aman. Sebab, user masih harus melalui verifikasi melalui faktor autentikasi yang kuat. Di sisi lain, pengalaman pengguna menjadi lebih sederhana dan produktivitas dapat meningkat karena proses login berlangsung lebih cepat.
Phishing-resistant MFA
Phishing-resistant MFA menggunakan protokol kriptografi yang menghubungkan proses autentikasi secara langsung dengan layanan atau aplikasi yang sedang diakses. Teknologi seperti FIDO2, WebAuthn, smart card, dan hardware security key menggunakan mekanisme kriptografi kunci publik untuk membuktikan identitas pengguna tanpa perlu mengirimkan informasi sensitif ke server.
Karena kredensial autentikasi terikat pada domain atau layanan tertentu, informasi yang berhasil dicuri oleh penyerang tidak dapat digunakan kembali pada layanan lain. Inilah yang membuat Phishing-Resistant MFA dianggap sebagai salah satu bentuk autentikasi paling aman.
Apa saja metode autentikasi yang sering digunakan?
Ada beberapa metode autentikasi yang sering digunakan organisasi. Setiap metode autentikasi memiliki cara kerja yang berbeda.
Metode | Cara kerja |
Pertanyaan keamanan | User harus menjawab pertanyaan yang sebelumnya ia tetapkan terlebih dahulu jawabannya. Hanya user yang mengetahui jawaban pertanyaan ini |
TOTP (Time-based One-Time Password) | Menghasilkan kode 6 digit yang berubah setiap 30 detik melalui aplikasi seperti Zoho OneAuth |
Push notification | Mengirim permintaan persetujuan ke perangkat mobile user. User cukup menekan approve atau deny |
Push notification dengan number matching | Sama seperti push notification biasa, namun user harus mencocokkan angka yang tampil di layar login dengan angka di notifikasi sebelum menyetujui |
Kode SMS/email OTP | Mengirim kode sekali pakai melalui SMS atau email |
Magic link | Mengirim tautan login sekali pakai ke email user. User cukup mengklik tautan tersebut tanpa perlu memasukkan password |
Biometrik | Verifikasi melalui sidik jari, face recognition, atau iris scan menggunakan sensor pada perangkat |
FIDO2 passkey | Menggunakan public cryptographic key yang terikat pada perangkat dan domain tertentu. Tidak ada kredensial yang dikirim ke server |
Hardware security key | Perangkat fisik seperti YubiKey yang dicolokkan atau di-tap ke perangkat untuk autentikasi |
Smart card | Kartu fisik berchip yang dimasukkan ke card reader. Biasanya digunakan di lingkungan pemerintahan dan enterprise dengan keamanan tinggi |
Apa tantangan implementasi MFA di organisasi?
Implementasi MFA di lingkungan enterprise tidak selalu berjalan mulus. Banyak organisasi menghadapi berbagai tantangan yang berpotensi mengurangi efektivitas MFA jika tidak dikelola dengan baik.
Pengelolaan trusted device yang kurang optimal
Banyak solusi MFA menyediakan fitur trusted device, yaitu perangkat yang dianggap aman sehingga user tidak perlu melakukan autentikasi ulang selama periode tersebut. Akan tetapi, periode trusted device ini sering terlalu lama dan jarang dievaluasi kembali.
Jika trusted device tersebut berada di tangan pihak yang tidak berwenang, attacker dapat memperoleh akses tanpa perlu melewati proses MFA. Oleh karena itu, organisasi perlu menerapkan masa berlaku trusted device yang sesuai.
Memastikan proses enrollment tetap aman
Jika pendaftaran faktor autentikasi baru (MFA enrollment) tidak ada mekanisme verifikasi yang kuat, pelaku yang telah memperoleh akses ke akun pengguna dapat mendaftarkan perangkat atau metode autentikasi miliknya sendiri.
Situasi ini berisiko memberikan akses jangka panjang kepada penyerang, bahkan setelah password pengguna berhasil diubah. Untuk mengurangi risiko tersebut, organisasi perlu menerapkan proses verifikasi tambahan saat enrollment, seperti konfirmasi melalui kanal terpisah, notifikasi real-time kepada pemilik akun, atau persetujuan dari administrator untuk akun dengan hak akses tinggi.
Integrasi dengan sistem dan protokol legacy
Tidak semua aplikasi dan sistem lama dirancang untuk mendukung MFA modern. Beberapa aplikasi masih menggunakan metode autentikasi lama (legacy authentication) yang memungkinkan pengguna login hanya dengan username dan password tanpa verifikasi tambahan.
Kondisi ini menciptakan celah keamanan karena penyerang dapat menargetkan jalur akses yang belum dilindungi MFA.
Menyeimbangkan keamanan dan pengalaman pengguna
Salah satu tantangan terbesar dalam implementasi MFA adalah menjaga keseimbangan antara keamanan dan kenyamanan pengguna. Proses autentikasi yang terlalu kompleks dapat menimbulkan resistensi, meningkatkan beban tim IT, dan mendorong pengguna mencari jalan pintas yang justru berisiko terhadap keamanan.
Karena itu, banyak organisasi mulai mengadopsi pendekatan seperti adaptive MFA dan risk-based authentication untuk memastikan verifikasi tambahan hanya diminta ketika aktivitas pengguna terdeteksi berisiko tinggi.
Mengatasi MFA fatigue
MFA fatigue adalah jenis serangan di mana attacker mencoba log in ke akun user berkali-kali hingga memicu banyak push notification MFA ke perangkat user. Biasanya, karena merasa tertekan atau berada di tengah kebingungan, user akan menyetujui push notification tersebut. Akibatnya, attacker berhasil masuk ke sistem.
Menurut Verizon DBIR 2025, serangan MFA fatigue meningkat 217% secara year-over-year. Untuk mengurangi riskonya, organisasi dapat membatasi jumlah push attempt atau migrasi ke phishing-resistant MFA.
Apa perbedaan 2FA, MFA, dan SSO?
Meski sering digunakan dalam konteks yang sama, 2FA, MFA, dan Single Sign-On (SSO) memiliki fungsi yang berbeda. 2FA dan MFA berfokus pada verifikasi identitas pengguna, sedangkan SSO bertujuan menyederhanakan proses login ke berbagai aplikasi.
2FA: Two-factor authentication (2FA) menggunakan total dua faktor autentikasi untuk memverifikasi identitas pengguna. Contohnya kombinasi password dan kode OTP.
MFA: MFA menggunakan setidaknya dua faktor autentikasi, namun boleh lebih dari itu. Contohnya kombinasi password, sidik jari, dan hardware security key.
SSO (Single Sign-On): Pengguna bisa mengakses berbagai aplikasi atau layanan hanya dengan satu kali proses login. Setelah itu pengguna tidak perlu memasukkan kredensial kembali untuk berpindah antaraplikasi di ekosistem yang sama.
Seperti apa masa depan MFA?
Lanskap autentikasi terus berkembang. Berikut beberapa arah yang membentuk masa depan MFA:
Passkey dan passwordless menjadi standar baru
Passwordless authentication kini semakin sering diterapkan, terutama karena didorong oleh kematangan standar FIDO2 dan WebAuthn. Selain itu, platform besar seperti Apple, Google, dan Microsoft pun sudah mengadopsi passkey yang tersinkronisasi lintas perangkat melalui layanan cloud terenkripsi. Tren ini juga dikonfirmasi oleh Gartner Hype Cycle for Digital Identity (2025) yang menempatkan FIDO2 dan passkey sebagai solusi identitas yang mulai memasuki fase mainstream.
MFA fatigue mendorong implementasi autentikasi phishing-resistant
MFA fatigue attack semakin meningkat, bahkan hingga 217% menurut Verizon DBIR 2025. Peningkatan ini membuat organisasi terdorong untuk mencari alternatif autentikasi yang lebih aman terhadap risiko tinggi, seperti phishing-resistant MFA. Contohnya adalah passkey FIDO2 yang tidak memiliki celah yang bisa dieksploitasi oleh serangan MFA fatigue.
AI dan behavioral biometrics untuk continuous authentication
Tren autentikasi ke depan juga mencakup AI-powered adaptive authentication dan behavioral biometrics. Kedua teknologi ini mampu menganalisis pola perilaku pengguna seperti cara mengetik, gerakan perangkat, dan ritme interaksi untuk memverifikasi identitas secara berkelanjutan, tanpa mengganggu pengalaman pengguna.
Konsolidasi ke platform identitas terpadu
Lanskap keamanan identitas yang sebelumnya terfragmentasi kini bergerak menuju platform terpadu yang mengintegrasikan MFA, identity governance, privileged access management, dan threat detection dalam satu ekosistem.
Seperti apa best practice implementasi MFA di organisasi?
Berikut beberapa praktik terbaik yang dapat membantu memaksimalkan implementasi MFA di organisasi.
Memilih metode autentikasi yang kuat
Pilihlah metode autentikasi yang paling kuat, seperti phishing-resistent FIDO2 passkey dan autentikator TOTP berbasis aplikasi. Jika bisa, hindari metode autentikasi seperti pertanyaan keamanan dan kode SMS, karena mudah terkena serangan SIM-swapping dan phishing.
Mengimplementasikan autentikasi kontekstual
Autentikasi kontekstual sebaiknya diterapkan berdasarkan IP address, perangkat, lokasi, waktu akses, dan pola perilaku. Dengan memanfaatkan berbagai konteks tersebut, sistem dapat menyesuaikan tingkat verifikasi secara dinamis tanpa mengorbankan pengalaman pengguna.
ManageEngine ADSelfService Plus memungkinkan organisasi mengonfigurasi kebijakan autentikasi kontekstual berdasarkan berbagai kondisi, seperti lokasi atau perangkat.
Menyediakan pilihan autentikasi bagi user
Organisasi juga bisa memberikan pilihan metode autentikasi bagi user, sesuai dengan preferensi dan aksesibilitas mereka. Namun, sebelumnya pastikan metode autentikasi yang ditawarkan adalah metode yang kuat.
Sebagai contoh, ManageEngine ADSelfService Plus mendukung lebih dari 20 metode autentikasi, mulai dari FIDO2 passkey, biometrik, TOTP, hingga push notification. Organisasi bisa menawarkan pilihan yang sesuai tanpa mengorbankan keamanan.
Menerapkan MFA secara bertahap
Pendekatan MFA yang realistik adalah menerapkannya secara bertahap. Organisasi bisa mulai dari akun dengan risiko tertinggi, seperti akun admin domain, akses ke sistem keuangan dan HR, akun dengan akses ke data pelanggan, dan akun eksekutif.
Setelah itu, organisasi bisa memperluas penerapan MFA ke seluruh karyawan tetap, bahkan pihak eksternal seperti kontraktor dan mitra.
Menyediakan pilihan backup untuk user
Kode backup recovery membantu user menyelesaikan proses autentikasi ketika perangkat autentikasi mereka tidak tersedia. Lewat cara ini, user dapat tetap login tanpa kerumitan.
Memantau pola penggunaan autentikasi
Implementasi MFA juga perlu dipantau. Lacak berbagai indikator risiko seperti lonjakan percobaan MFA yang gagal menggunakan laporan audit dan mekanisme deteksi aktivitas mencurigakan.
Mengukur efektivitas MFA
MFA dapat diukur dengan beberapa metrik, seperti:
MFA coverage rate per access surface: Persentase akses ke sistem yang benar-benar dilindungi oleh MFA.
MFA bypass rate: Seberapa sering MFA dilewati melalui mekanisme recovery, trusted device yang expired, atau pengecualian yang tidak terdokumentasi.
Failed MFA attempts per user per day: Jumlah kegagalan MFA per user per hari. Jika terjadi lonjakan, bisa menjadi sinyal awal credential stuffing atau MFA fatigue attack.
Time to enroll new users: Waktu yang diperlukan untuk enrollment user baru. Sebaiknya tidak lebih dari 30 menit.
Memilih tool MFA yang tepat
Organisasi perlu memilih tool MFA yang tepat untuk menyederhanakan pengelolaannya. Sebaiknya, pilih tool dengan kapabilitas yang lengkap, mencakup adaptive MFA, single sign-on, self-service password management, remote work enablement, dan password policy enhancer. ManageEngine ADSelfService Plus adalah tool MFA yang mencakup seluruh kapabilitas tersebut dalam satu platform.
Mengoptimalkan keamanan akses dengan ManageEngine
MFA bukan sekadar lapisan keamanan tambahan, tetapi fondasi penting dalam strategi Identity and Access Management (IAM) modern. Ketika diimplementasikan dengan tepat dan terintegrasi dengan proses keamanan organisasi, MFA dapat secara signifikan mengurangi risiko identity-based attack, melindungi akun dengan hak akses tinggi, dan membantu organisasi memenuhi persyaratan compliance.
Untuk mendapatkan manfaat tersebut, organisasi membutuhkan solusi IAM yang mampu mengelola autentikasi secara terpusat, mendukung adaptive MFA, dan memberikan visibilitas penuh terhadap aktivitas akses di seluruh sistem.
ManageEngine ADSelfService Plus menyediakan kemampuan tersebut dalam satu platform terpadu, mulai dari MFA adaptif, passwordless authentication, hingga self-service password management. Dengan begitu, tim IT dapat memperkuat keamanan akses tanpa mengorbankan produktivitas pengguna.
Pelajari tentang ADSelfService Plus selengkapnya melalui demo dengan tim expert kami.