Selama bertahun-tahun, keamanan digital dibangun di atas satu asumsi sederhana:
jika seseorang berhasil login, maka ia adalah pengguna yang sah.
Asumsi ini dulu masuk akal. Hari ini, asumsi itu semakin berbahaya.
Laporan insiden dan investigasi forensik dalam beberapa tahun terakhir menunjukkan bahwa banyak serangan modern tidak diawali dengan eksploitasi teknis, tetapi dengan penggunaan kredensial dan sesi yang valid. Login berhasil, MFA dilewati, dan aktivitas berlanjut tanpa memicu alarm awal.
Apa yang Sebenarnya Dibuktikan oleh Sebuah Account?
Sebuah account hanya membuktikan bahwa proses autentikasi berhasil pada satu titik waktu.
Ia tidak membuktikan siapa yang sedang memegang akses tersebut setelahnya.
Berbagai laporan insiden dari vendor keamanan dan lembaga pemerintah menunjukkan bahwa akun sah sering digunakan dalam:
- initial access
- persistence
- lateral movement
Account membuktikan akses, namun tidak membuktikan identitas secara menyeluruh.
Identity Lebih Luas dari Sekadar Login
Framework keamanan modern mulai membedakan antara authentication dan identity assurance. Identity tidak hanya tentang kredensial, tetapi tentang konteks dan kontinuitas kepercayaan.
Identity mencakup:
- perangkat yang digunakan
- lokasi dan jaringan
- sesi login dan durasinya
- pola perilaku pasca-login
Inilah sebabnya banyak serangan tetap berjalan meskipun autentikasi awal berhasil dan tervalidasi.
Bagaimana Penyerang Memanfaatkan Login Sah
Investigasi serangan besar dalam beberapa tahun terakhir memperlihatkan pola yang konsisten:
- MFA dilewati melalui tekanan psikologis (push bombing)
- phishing kit mem-proxy autentikasi dan MFA secara real-time
- session token dicuri setelah login berhasil
- proses helpdesk dimanipulasi untuk reset akses
Dalam banyak kasus, MFA tidak gagal.
Ia berhasil dilewati, lalu tidak lagi relevan karena penyerang beroperasi di level sesi dan perilaku.
Ini selaras dengan observasi MITRE ATT&CK, di mana teknik valid account dan session abuse terus muncul dalam berbagai kampanye serangan.
Mengapa MFA Tidak Menyelesaikan Masalah Ini
MFA tetap merupakan kontrol yang penting dan terbukti menurunkan risiko serangan berbasis password. Namun laporan dari Microsoft, CISA, dan berbagai vendor endpoint menunjukkan bahwa MFA tidak dirancang untuk menangani seluruh spektrum ancaman identitas.
MFA tidak:
- memverifikasi niat pengguna
- melindungi sesi login dari penyalahgunaan
- mendeteksi social engineering
- mengevaluasi ulang kepercayaan secara berkelanjutan
Ketika MFA diperlakukan sebagai titik akhir kepercayaan, organisasi menciptakan blind spot yang dapat dieksploitasi tanpa harus mematahkan kontrol teknis apa pun.
Blind Spot yang Umum Terjadi di Organisasi
Banyak organisasi yang telah mengadopsi MFA masih mengalami insiden berbasis identitas karena:
- login sukses dianggap sebagai indikator keamanan
- sesi login jarang dipantau secara aktif
- helpdesk dan proses recovery menjadi titik lemah
- akun sah dipercaya terlalu lama tanpa evaluasi ulang
Laporan insiden menunjukkan bahwa serangan sering berlangsung lama sebelum terdeteksi karena aktivitas terlihat “normal” dari sudut pandang autentikasi.
Bagaimana Cara Berpikir tentang Identity Harus Berubah
Lanskap ancaman saat ini menuntut perubahan cara berpikir, bukan sekadar penambahan kontrol.
Beberapa prinsip yang mulai diadopsi secara luas:
- kepercayaan tidak bersifat permanen
- autentikasi adalah awal, bukan akhir
- sesi dan perilaku harus dipantau
- identitas harus dievaluasi secara kontekstual dan berkelanjutan
Pendekatan ini tidak muncul dari teori semata, tetapi dari akumulasi insiden nyata yang menunjukkan bahwa login sah bukan lagi jaminan keamanan.
Penutup
Pertanyaan penting hari ini bukan:
“Apakah akun ini berhasil login?”
Melainkan:
“Apakah identitas ini masih layak dipercaya saat ini?”
Selama organisasi masih menyamakan identity dengan account, serangan berbasis login sah akan terus menjadi salah satu vektor paling senyap dan paling berbahaya.