Beberapa tahun lalu, Multi-Factor Authentication (MFA) diposisikan sebagai langkah besar dalam keamanan identitas. Password saja dianggap tidak cukup, dan MFA menjadi simbol “keamanan yang lebih matang”.

Hari ini, narasinya mulai bergeser. Berita tentang MFA fatigue, phishing proxy, SIM swapping, dan helpdesk social engineering memunculkan satu pertanyaan yang terdengar masuk akal:

Jika MFA bisa dilewati, apakah MFA masih relevan?

Jawaban singkatnya: ya, masih relevan.
 Jawaban jujurnya: tidak lagi cukup jika berdiri sendiri.

MFA Tidak “Rusak”, Tapi Sering Disalahpahami

Banyak diskusi tentang MFA dimulai dari asumsi yang keliru: bahwa MFA diciptakan untuk menghentikan semua bentuk serangan identitas.

Padahal, tujuan awal MFA jauh lebih spesifik. MFA dirancang untuk:

• mengurangi risiko password reuse
• menghentikan credential stuffing otomatis
• menaikkan biaya serangan berbasis kredensial

Dalam konteks itu, MFA masih bekerja dengan sangat baik.

Masalah muncul ketika MFA diharapkan untuk melindungi organisasi dari hal-hal yang tidak pernah menjadi domainnya, seperti:

• social engineering terhadap helpdesk
• manipulasi pengguna lewat push notification
• pencurian session token setelah autentikasi berhasil

Ketika ekspektasi melampaui desain, kegagalan terlihat seperti bukti bahwa teknologinya usang.

Bagaimana MFA Sering Dilewati dalam Praktik

Yang sering disebut sebagai “MFA bypass” jarang berarti MFA ditembus secara kriptografis. Dalam banyak kasus, penyerang hanya berjalan di sekeliling MFA, bukan menembusnya.

Pola yang sering terjadi:

• pengguna ditekan untuk menyetujui push MFA berulang kali
• kredensial dicuri melalui phishing yang memproxy halaman login
• session token dicuri setelah autentikasi sah
• helpdesk diyakinkan untuk mereset faktor autentikasi

Dalam semua contoh ini, MFA tetap berfungsi sesuai desain. Yang gagal adalah konteks di sekitarnya.

Masalah Sebenarnya: MFA Diposisikan sebagai Jawaban Final

Di banyak organisasi, MFA diperlakukan sebagai garis akhir, bukan garis awal. Setelah MFA diaktifkan, diskusi tentang identitas sering berhenti.

Ini menciptakan ilusi perlindungan:

• akun dianggap aman hanya karena MFA aktif
• aktivitas login dianggap sah hanya karena faktor kedua lolos
• proses manusia dianggap tidak perlu diaudit karena “sudah ada MFA”

Padahal, identitas modern tidak berhenti di autentikasi. Ia berlanjut ke sesi, perangkat, perilaku, dan proses operasional.

Relevansi MFA di Lanskap Ancaman Saat Ini

MFA tetap relevan karena tanpa MFA, risiko langsung melonjak drastis. Organisasi yang tidak menggunakan MFA hampir selalu lebih rentan terhadap serangan dasar.

Namun relevansi ini bersifat kondisional.

MFA hari ini perlu dipahami sebagai:

• kontrol minimum, bukan kontrol puncak
• lapisan pertama, bukan lapisan terakhir
• bagian dari sistem identitas, bukan solusi tunggal

Dengan pemahaman ini, diskusi tentang MFA menjadi lebih rasional dan tidak ekstrem.

Dari MFA ke Identity Assurance

Pertanyaan yang lebih tepat bukan “apakah MFA masih relevan”, tetapi:
 apa yang dibutuhkan di atas MFA?

Di sinilah organisasi mulai berbicara tentang:

• phishing-resistant MFA
• device trust dan posture
• conditional access berbasis konteks
• monitoring penyalahgunaan akun sah
• penguatan proses helpdesk dan recovery

Semua ini tidak menggantikan MFA. Mereka melengkapi MFA.

Penutup

MFA tidak mati, tetapi era “MFA saja sudah cukup” memang sudah berakhir.

Organisasi yang matang tidak membuang MFA hanya karena ada bypass. Mereka justru menempatkan MFA pada posisi yang tepat — sebagai fondasi, bukan tameng tunggal.

Keamanan identitas hari ini bukan soal menambah faktor, tetapi memahami niat, konteks, dan perilaku di balik autentikasi.

Dan diskusi ini jauh lebih penting daripada perdebatan apakah MFA masih relevan atau tidak.