30 Juli 2025

Seorang karyawan masuk dari London dan diminta untuk memasukkan kode sandi sekali pakai (OTP).

Sepuluh menit kemudian, pengguna yang sama masuk dari Sydney dan memasukkan OTP yang lain.

Kedua upaya tersebut gagal autentikasi multi-faktor (MFA). Hanya satu yang sah.

Ini adalah kelemahan utama dalam banyak strategi autentikasi berbasis risiko (RBA): Anda memicu autentikasi tambahan, tetapi tidak benar-benar memverifikasi siapa yang berada di balik layar.

Para penyerang mengetahui hal ini - dan mereka mengeksploitasinya.

Grup seperti Laba-laba yang tersebar memiliki membahayakan organisasi besar, termasuk M&SCo-op, dan Qantas, dengan mengelabui pengguna untuk menyetujui akses yang curang. Berbekal AI, mereka meluncurkan kampanye phishing, kloning suara, dan upaya peniruan yang lebih meyakinkan daripada sebelumnya.

Pada saat yang sama, tenaga kerja lebih terdistribusi, perangkat lebih beragam, dan sinyal identitas lebih sulit dipercaya.

Hasilnya jelas: MFA tradisional tidak lagi cukup pada saat-saat berisiko tinggi. Untuk mempertahankan diri dari ancaman modern, organisasi harus lebih dari sekadar kode sandi dan pemberitahuan push. Mereka membutuhkan cara untuk memverifikasi identitas, bukan hanya pengetahuan atau kepemilikan. Dalam tulisan ini, kita akan mengeksplorasi bagaimana verifikasi biometrik mengisi kesenjangan itu, dan bagaimana pendekatan iProov membantu organisasi beradaptasi dengan lanskap ancaman saat ini tanpa menambah gesekan bagi pengguna yang sah.

Apa yang dimaksud dengan Autentikasi Berbasis Risiko?

Autentikasi berbasis risiko (RBA) adalah pendekatan keamanan yang secara dinamis menyesuaikan persyaratan autentikasi berdasarkan sinyal risiko kontekstual, seperti reputasi perangkat, lokasi geografis, waktu akses, atau anomali perilaku.

Ketika aktivitas tampak berisiko rendah, pengguna diberikan akses tanpa hambatan. Namun, ketika ada sesuatu yang menyimpang dari norma, seperti upaya masuk dari negara yang tidak dikenal, RBA akan memicu langkah verifikasi tambahan.

Model adaptif ini menyeimbangkan antara keamanan dan pengalaman pengguna, membantu mengurangi gesekan sekaligus mempersulit penyerang untuk berhasil, bahkan jika kredensial dibobol.

Grafik blog otentikasi berbasis risiko 1 e1753896209857

 

Peran Otentikasi Berbasis Risiko dalam Zero Trust

RBA bukan hanya sebuah fitur kenyamanan - RBA merupakan pilar utama dari kerangka kerja keamanan Zero Trust. Zero Trust mengasumsikan tidak ada kepercayaan implisit, tidak peduli pengguna, perangkat, atau jaringan. Setiap upaya akses harus diverifikasi, secara terus menerus dan kontekstual.

Dengan mengevaluasi risiko secara real time, RBA memungkinkan Anda untuk melakukannya:

  • Menerapkan verifikasi yang lebih kuat untuk akses berisiko tinggi
  • Meminimalkan gesekan untuk pengguna berisiko rendah
  • Terus memvalidasi identitas di luar peristiwa login

Ini menciptakan model kontrol akses dinamis yang beradaptasi dengan perubahan risiko, selaras dengan prinsip-prinsip Zero Trust.

Masalah Dengan MFA Tradisional

Autentikasi berbasis risiko adalah solusi cerdas untuk pertukaran keamanan vs kecepatan. Namun, keefektifannya sering kali dirusak oleh lemahnya metode autentikasi yang lemah. Sebagian besar organisasi masih mengandalkan OTP, pemberitahuan push, atau pertanyaan keamanan - yang semuanya bisa dicegat, dimanipulasi, atau direkayasa secara sosial. Secara kritis, metode-metode ini hanya memverifikasi jika Anda mengetahui sebuah kredensial (pengetahuan) atau memiliki akses ke sebuah perangkat (kepemilikan). Mereka tidak memverifikasi siapa Anda (inherence).

Grafik lapisan identitas kepercayaan tinggi

Bagaimana Penyerang Melewati MFA dalam Alur Kerja Berbasis Risiko

Aktor ancaman seperti Scattered Spider telah mengungkapkan betapa rentannya MFA ketika terputus dari identitasnya. Taktik mereka meliputi:

  • Kredensial phishing melalui halaman login palsu atau dengan meyakinkan penyedia layanan telekomunikasi untuk mentransfer nomor telepon ke kartu SIM yang dikendalikan oleh penyerang, yang memungkinkan mereka untuk mencegat SMS OTP.
  • Menyamar sebagai karyawan menggunakan klon suara yang dihasilkan AI untuk mengelabui meja bantuan agar membagikan kode MFA atau mengotorisasi perangkat baru.
  • Pembajakan sesi atau emulasi perangkat untuk meniru lingkungan pengguna yang sah dan melewati sinyal risiko.
  • Pengeboman MFA untuk membanjiri pengguna dengan notifikasi push berulang-ulang hingga mereka menyetujui notifikasi tersebut karena frustrasi atau bingung.

Teknik-teknik ini berhasil karena mereka mengeksploitasi kelemahan umum: asumsi bahwa melewati MFA berarti mengonfirmasi identitas. Dengan AI yang membuat serangan ini lebih cepat dan lebih meyakinkan, autentikasi berbasis risiko harus berevolusi untuk menyertakan verifikasi berbasis identitas yang lebih kuat. Dalam skenario berisiko tinggi, memverifikasi kepemilikan tidak lagi cukup - Anda perlu memverifikasi identitas.

Biometrik: Lapisan yang Hilang dalam Autentikasi Berbasis Risiko

Verifikasi biometrik memecahkan masalah inti: verifikasi ini memverifikasi bahwa orang yang tepat yang tepat berada di balik login, bukan hanya seseorang yang memegang perangkat yang tepat. Ini adalah kemampuan yang sangat penting untuk kasus penggunaan yang berisiko tinggi, seperti:

  • Pemulihan akun
  • Penyiapan jarak jauh
  • Manajemen akses istimewa
  • Otorisasi perangkat baru

Biometrik mengikat akses ke individu - bukan kata sandi, telepon, atau email. Biometrik tahan terhadap phishing, tidak dapat dicegat atau dibagikan, dan ketika dilakukan secara pasif, seperti pendekatan iProov, ini hanya menambah sedikit atau bahkan tidak ada gesekan bagi individu yang asli.

Mengapa Biometrik Mengungguli MFA Lama

Ketika ditambahkan ke kerangka kerja RBA, biometrik menawarkan keuntungan yang berbeda:

  • Jaminan yang lebih tinggi: Mengonfirmasi orang yang sebenarnya, bukan hanya perangkat atau token
  • Penipuan yang lebih rendah: Phishing, spoofing, dan deepfakes tidak akan berhasil melawan deteksi kehidupan
  • Pengalaman pengguna yang lebih baik: Verifikasi wajah pasif menghindari langkah tambahan
  • Pemeriksaan masa depan: Tahan terhadap AI, cloud-native, dan mudah beradaptasi dengan ancaman yang terus berkembang

Tidak seperti OTP dan notifikasi push, biometrik wajah iProov memberikan jaminan yang tangguh bahkan ketika para pelaku ancaman mengembangkan taktik mereka - terus menerus mendeteksi, beradaptasi, dan bertahan dari metode serangan yang muncul.

Cara Memperkuat Strategi MFA Anda Hari Ini

Jika Anda mengevaluasi cara-cara untuk menutup kesenjangan jaminan dalam strategi RBA Anda, fokuslah pada area-area ini:

  • Pilih biometrik yang memverifikasi keaktifanbukan hanya pencocokan gambar
  • Carilah metode pasif untuk mengurangi gesekan pengguna
  • Memprioritaskan teknologi tahan banting AI yang mendeteksi pemalsuan mendalam dan beradaptasi dengan ancaman yang berkembang secara real-time
  • Menerapkan biometrik pada interaksi berisiko tinggi
  • Pilih vendor yang berintegrasi secara mulus dengan tumpukan identitas Anda yang sudah ada

Bicaralah dengan konsultan untuk mengetahui bagaimana autentikasi biometrik cocok dengan alur kerja autentikasi berbasis risiko Anda.

MFA 2 v1
Daftar Isi