Pengantar
Multi-Factor Authentication (MFA) selama ini dianggap sebagai “lapisan emas” dalam keamanan akun digital. Dengan menggabungkan password dan faktor tambahan seperti OTP, aplikasi autentikator, atau biometrik, MFA dirancang untuk menghentikan akses ilegal meskipun kredensial bocor.
Namun dalam praktiknya, MFA bukan sistem yang kebal serangan. Banyak insiden keamanan modern justru menunjukkan bagaimana peretas mampu melakukan MFA bypass, yaitu teknik untuk melewati autentikasi dua faktor tanpa perlu meretas sistem secara langsung. Artikel ini membahas bagaimana MFA dapat dilewati, teknik yang umum digunakan penyerang, serta langkah pencegahan yang efektif.
Apa Itu MFA Bypass?
MFA bypass adalah serangkaian teknik yang digunakan penyerang untuk menghindari atau mengecoh mekanisme autentikasi dua faktor, sehingga mereka tetap bisa masuk ke akun target.
Berbeda dengan serangan brute force klasik, MFA bypass sering memanfaatkan:
-
Kelemahan implementasi
-
Faktor manusia
-
Celah pada alur autentikasi
Karena itulah, MFA yang diaktifkan tetapi tidak dikonfigurasi dengan benar tetap berisiko tinggi.
baca juga : System Hardening: 7 Langkah Mengunci Celah Keamanan pada Windows Server agar Tidak Mudah Dieksploitasi
Teknik MFA Bypass yang Sering Digunakan Peretas
1. Phishing Berbasis Real-Time (Adversary-in-the-Middle)
Ini adalah teknik paling umum saat ini.
Cara kerjanya
-
Korban diarahkan ke situs login palsu
-
Username, password, dan OTP dimasukkan secara real-time
-
Penyerang langsung meneruskan data tersebut ke situs asli
Karena OTP masih valid dalam hitungan detik, MFA tetap “berhasil dilewati” tanpa disadari korban (dikutip dari Cloudflare).
Sumber: https://www.cloudflare.com/learning/access-management/what-is-mfa-bypass/
2. MFA Fatigue / Push Notification Abuse
Teknik ini mengeksploitasi notifikasi MFA berbasis push.
Skenario serangan
-
Penyerang mencoba login berulang kali
-
Korban menerima puluhan notifikasi MFA
-
Karena lelah atau panik, korban menekan “Approve”
Serangan ini efektif pada sistem yang tidak membatasi jumlah permintaan MFA.
3. Session Hijacking dan Token Theft
Pada beberapa kasus, penyerang tidak perlu melewati MFA sama sekali.
Bagaimana bisa terjadi
-
Token sesi dicuri melalui malware atau XSS
-
Browser korban sudah terautentikasi
-
Penyerang menggunakan token tersebut untuk akses langsung
MFA hanya berlaku saat login, bukan pada sesi aktif.
baca juga : Analisis Trafik Anomali: Cara Membedakan Lonjakan Pengunjung Asli dengan Serangan Botnet di Jaringan Anda
4. Exploit Konfigurasi MFA yang Lemah
Kesalahan konfigurasi sering menjadi celah fatal.
Contoh umum
-
MFA tidak diwajibkan untuk semua akun
-
Akun legacy atau service account tanpa MFA
-
Backup code tidak dilindungi
Cara Efektif Mencegah MFA Bypass
1. Gunakan MFA Berbasis Phishing-Resistant
Pilih metode MFA yang tidak mudah ditiru.
Rekomendasi
-
Hardware security key (FIDO2)
-
Certificate-based authentication
-
Passkey
Metode ini tidak dapat digunakan ulang di situs phishing.
2. Batasi dan Pantau Permintaan MFA
Cegah serangan MFA fatigue dengan:
-
Rate limiting permintaan MFA
-
Notifikasi detail (lokasi, device)
-
Opsi “report suspicious login”
3. Lindungi Session dan Token
Langkah teknis yang penting:
-
Gunakan HTTPS secara penuh
-
Aktifkan HttpOnly dan Secure Cookie
-
Batasi masa aktif session
4. Terapkan MFA untuk Semua Akun Tanpa Pengecualian
Pastikan:
-
Admin account wajib MFA
-
Service account diaudit secara rutin
-
Backup code disimpan dengan aman
Kesimpulan
MFA memang meningkatkan keamanan secara signifikan, tetapi bukan jaminan mutlak jika diimplementasikan secara setengah-setengah. Teknik MFA bypass menunjukkan bahwa penyerang kini lebih fokus mengeksploitasi alur autentikasi dan faktor manusia, bukan sekadar memecahkan password.
Dengan memahami teknik MFA bypass dan menerapkan pencegahan yang tepat—mulai dari phishing-resistant MFA hingga pengamanan session—organisasi dapat memastikan bahwa MFA benar-benar berfungsi sebagai pelindung, bukan sekadar formalitas keamanan.
