Keamanan online kini makin penting, terutama untuk akun-akun penting seperti email, perbankan, dan aplikasi kerja.
Salah satu cara populer untuk melindungi akun adalah dengan Multi-Factor Authentication (MFA) — yang meminta kamu memasukkan lebih dari satu bukti identitas saat login.

Tapi, apakah MFA ini bisa menangkal serangan CSRF (Cross-Site Request Forgery) sepenuhnya? Yuk kita bahas dengan bahasa yang mudah!

Apa Itu CSRF?

CSRF adalah serangan di mana penyerang memanfaatkan browser kamu yang sedang login di sebuah situs untuk mengirim permintaan palsu ke situs tersebut tanpa sepengetahuanmu.
Misalnya, memindahkan uang atau mengubah data tanpa kamu sadar.

Apa Itu Multi-Factor Authentication (MFA)?

MFA adalah metode keamanan yang meminta kamu memberikan lebih dari satu bukti identitas, misalnya:

  • Password

  • Kode OTP dari aplikasi authenticator

  • SMS verifikasi

  • Sidik jari atau face recognition

Apakah MFA Bisa Menangkal CSRF?

Jawaban singkat: Tidak sepenuhnya.

MFA melindungi saat proses login dan autentikasi, tapi CSRF terjadi setelah kamu berhasil login.

Misalnya, saat kamu sudah login dan punya sesi aktif, CSRF bisa membuat browser kamu mengirim permintaan tanpa kamu sadar, meskipun sudah pakai MFA sebelumnya.

Kenapa MFA Tidak Cukup untuk CSRF?

  • CSRF mengandalkan sesi yang sudah aktif, jadi MFA yang cuma muncul saat login tidak membantu mencegahnya.

  • CSRF tidak membutuhkan username dan password baru — cukup memakai sesi yang sudah ada.

  • Permintaan palsu dibuat oleh browser yang sudah dipercaya server.

Lalu, Apa yang Bisa Melindungi dari CSRF?

Untuk melawan CSRF, biasanya diperlukan:

  • CSRF Token di setiap form atau permintaan penting

  • Validasi header seperti Origin dan Referer

  • Pengaturan cookie dengan atribut SameSite

  • Autentikasi tambahan saat melakukan transaksi penting (misalnya konfirmasi PIN)

Jadi, MFA vs CSRF: Apa Hubungannya?

  • MFA meningkatkan keamanan login, sehingga mencegah pencurian akun secara langsung.

  • Tapi, MFA bukan solusi lengkap untuk serangan CSRF karena CSRF terjadi setelah sesi login aktif.

  • Kedua metode ini harus dipakai bersamaan agar keamanan lebih maksimal.

Kesimpulan

MFA itu penting dan sangat membantu untuk keamanan akun, terutama mencegah akses ilegal saat login.
Tapi untuk melindungi aplikasi dari serangan CSRF, MFA tidak cukup.

Gunakan MFA sebagai lapisan pertama,
dan pastikan aplikasi kamu juga memiliki proteksi CSRF yang baik agar benar-benar aman.

Penulias : Muhammad Aditya Alkhawarizmi

Nim : 23156201023

jurusan : Sistem Komputer