Multi-Factor Authentication (MFA) selama ini dianggap sebagai lapisan pertahanan paling andal untuk mencegah pembobolan akun. Namun dua insiden yang terjadi pada Microsoft Entra ID sepanjang tahun ini menunjukkan sisi lain dari ketergantungan tersebut: ketika infrastruktur MFA itu sendiri mengalami gangguan, organisasi yang paling disiplin menerapkan keamanan justru bisa menjadi yang paling lumpuh operasionalnya.
Pada 23 Februari 2026, ribuan pengguna enterprise di Amerika Serikat mendadak tidak bisa mengakses Microsoft 365. Bukan karena serangan siber, melainkan karena sistem keamanan yang seharusnya melindungi mereka mengalami kegagalan teknis berupa error 504 Gateway Timeout pada tahap verifikasi MFA. Layanan yang terdampak mencakup Exchange Online, Microsoft Teams, SharePoint Online, hingga akses VPN yang digerbangi Conditional Access. Aplikasi pihak ketiga yang menggunakan Microsoft sebagai identity provider melalui OAuth 2.0 turut terkena imbasnya.
Insiden serupa kembali terjadi pada 1 Juni 2026. Microsoft mengonfirmasi gangguan pada layanan My Sign-Ins yang membuat sebagian pengguna tidak dapat mengatur MFA maupun mengakses portal mysignins.microsoft.com, juga ditandai dengan error 504 Gateway Timeout. Microsoft kemudian mengungkapkan bahwa penyebabnya adalah perubahan konfigurasi cache yang memicu proses failover, namun infrastruktur pengganti tidak mampu menangani lonjakan permintaan akibat konsumsi CPU dan memori yang berlebihan saat puncak trafik dari kawasan Eropa. Layanan baru pulih sepenuhnya setelah tim Microsoft mengalihkan trafik ke infrastruktur lain dan membatalkan langkah mitigasi awal.
Paradoks Zero Trust: Semakin Ketat Kebijakan, Semakin Luas Dampak Gangguan
Kedua insiden ini menyingkap sebuah paradoks yang jarang dibahas secara terbuka oleh arsitek keamanan: semakin ketat sebuah organisasi menerapkan MFA di seluruh lingkungannya, semakin luas pula dampak lumpuh yang ditimbulkan ketika layanan autentikasi itu sendiri gagal berfungsi.
Conditional Access di Microsoft Entra ID bekerja dengan mengevaluasi sinyal identitas pengguna, kepatuhan perangkat, lokasi, dan tingkat risiko sign-in untuk memutuskan apakah akses diberikan atau ditolak. Selama gangguan berlangsung, kebijakan ini tetap bekerja sesuai rancangannya, namun karena sinyal MFA tidak pernah sampai, sistem secara “benar” menolak akses. Organisasi dengan kebijakan Conditional Access yang ketat, terutama yang tidak memiliki akun akses darurat atau jalur autentikasi cadangan, mengalami lockout total bagi penggunanya.
Microsoft sendiri menyebut bahwa MFA mampu memblokir lebih dari 99% percobaan pembobolan akun otomatis, sehingga MFA tetap menjadi kontrol keamanan yang direkomendasikan oleh kerangka kerja seperti CISA dan NIST SP 800-63B. Persoalannya bukan pada efektivitas MFA, melainkan pada arsitektur yang menjadikan satu penyedia layanan sebagai satu-satunya jalur verifikasi identitas — tanpa redundansi.
Bagaimana dengan Konteks Indonesia?
Ketergantungan pada satu titik kegagalan otentikasi bukan sekadar risiko teoretis bagi organisasi di Indonesia. Badan Siber dan Sandi Negara (BSSN) mencatat lebih dari 5,16 miliar anomali trafik siber sepanjang tahun 2025, sementara pada semester pertama 2026 tercatat 3,64 miliar serangan siber, dengan mayoritas berbasis malware, disusul akses tidak sah (unauthorized access) dan eksploitasi sistem. BSSN secara konsisten mendorong penerapan otentikasi berlapis dan segmentasi jaringan sebagai bagian dari empat domain keamanan siber industri, mulai dari identifikasi aset hingga penyusunan rencana tanggap insiden.
Bagi sektor keuangan yang diawasi Otoritas Jasa Keuangan (OJK) maupun sektor lain yang dikategorikan sebagai infrastruktur informasi vital berdasarkan PP No. 82/2022, gangguan pada sistem otentikasi bukan hanya persoalan produktivitas, melainkan berpotensi menyentuh kewajiban kepatuhan, kontinuitas layanan publik, dan reputasi terhadap regulator maupun nasabah. Ketika satu vendor identity provider mengalami downtime global, organisasi Indonesia yang menaruh seluruh proses autentikasinya pada satu titik yang sama akan ikut merasakan dampaknya, terlepas dari seberapa matang kebijakan keamanan internal mereka.
Pelajaran Utama: Resiliensi Identitas Tidak Boleh Bergantung pada Satu Vendor
Insiden MFA Microsoft menegaskan satu prinsip penting: Zero Trust mengasumsikan bahwa infrastruktur verifikasi itu sendiri dapat diandalkan. Ketika asumsi ini tidak terpenuhi, organisasi dihadapkan pada dua pilihan yang sama-sama tidak ideal — menolak akses bagi pengguna sah (kegagalan operasional) atau melewati kontrol verifikasi (kegagalan keamanan). Satu-satunya cara keluar dari dilema ini adalah merancang resiliensi ke dalam arsitektur identitas sejak awal, bukan menambahkannya setelah insiden terjadi.
Sejumlah langkah yang umum direkomendasikan meliputi penyediaan akun akses darurat (break-glass account) yang dikecualikan dari kebijakan Conditional Access, diversifikasi metode autentikasi agar tidak bergantung pada satu jalur verifikasi cloud, serta pemantauan proaktif terhadap tingkat kegagalan dan latensi autentikasi sebagai sinyal peringatan dini sebelum gangguan meluas.
RSA ID Plus EAM: Lapisan Autentikasi Independen di Atas Microsoft Entra ID
Di sinilah pendekatan External Authentication Method (EAM) dari RSA ID Plus menjadi relevan. Melalui kapabilitas EAM milik Microsoft, RSA ID Plus dapat diintegrasikan langsung ke dalam Microsoft Entra ID sebagai lapisan verifikasi identitas tambahan, tanpa memindahkan pengelolaan identitas keluar dari Entra ID seperti pada metode federasi konvensional. Artinya, organisasi tetap mempertahankan kontrol terpusat, namun memperoleh jalur autentikasi yang tidak sepenuhnya bergantung pada satu rantai infrastruktur.
Beberapa kapabilitas RSA ID Plus EAM yang relevan dengan pelajaran dari insiden di atas:
Diversifikasi metode autentikasi. RSA Authenticator App tersedia untuk perangkat iOS dan Android, sementara untuk skenario BYOD atau lingkungan air-gapped di mana instalasi aplikasi korporat tidak dimungkinkan, tersedia hardware authenticator seperti RSA iShield Key 2 Series dan DS100 yang menawarkan autentikasi phishing-resistant.
Resiliensi operasional melalui RSA ID Plus Hybrid Failover, yang menjaga kontinuitas otentikasi di lingkungan cloud, hybrid, maupun on-premises — sehingga ketika satu jalur mengalami gangguan, organisasi tetap memiliki jalur cadangan yang berfungsi.
Perlindungan terhadap perubahan konfigurasi tak terduga. RSA EAM dirancang untuk menjaga konsistensi pengaturan keamanan, mengurangi risiko akibat perubahan default atau konfigurasi yang tidak disengaja pada sisi Microsoft — persis jenis akar masalah yang memicu insiden Juni 2026.
Validasi tambahan anti-phishing, yang mencegah pengguna diarahkan ke situs phishing setelah proses autentikasi berlangsung, memberikan lapisan proteksi yang tidak bergantung pada satu titik kegagalan.
Cakupan kepatuhan yang lebih luas, termasuk untuk organisasi yang harus memenuhi standar Microsoft GCC High, serta keselarasan dengan kerangka kepatuhan seperti CMMC, DORA, dan NIS2 — relevan bagi entitas Indonesia yang berafiliasi dengan mitra multinasional atau rantai pasok global.
Penutup
Insiden gangguan MFA Microsoft pada Februari dan Juni 2026 bukan alasan untuk melonggarkan penerapan MFA, melainkan pengingat bahwa arsitektur identitas modern perlu dirancang dengan asumsi bahwa satu vendor pun bisa mengalami downtime. Bagi organisasi di Indonesia yang beroperasi di tengah lanskap ancaman siber yang terus meningkat serta tuntutan kepatuhan yang semakin ketat, membangun lapisan autentikasi independen seperti RSA ID Plus EAM adalah langkah strategis untuk memastikan operasional bisnis tetap berjalan bahkan ketika infrastruktur identitas utama mengalami gangguan.