Pendahuluan

Multi-Factor Authentication (MFA) sering dianggap sebagai tameng paling aman dalam dunia keamanan siber. Banyak yang beranggapan bahwa jika suatu sistem menggunakan MFA, maka hampir mustahil untuk diretas. Tapi apakah benar demikian?

Meskipun MFA sangat efektif dalam mencegah akses tidak sah, faktanya ia tetap bisa diretas — terutama jika tidak diterapkan atau digunakan dengan benar. Dalam artikel ini, kita akan membahas bagaimana MFA bisa diretas, jenis ancamannya, serta bagaimana cara melindungi diri secara maksimal.

Apakah MFA Tidak Bisa Ditembus?

Tidak ada sistem keamanan yang 100% kebal. MFA memang memperkuat keamanan, tetapi bukan berarti tidak bisa dilewati sama sekali. Banyak kasus menunjukkan bahwa peretas dapat mengakali sistem MFA dengan berbagai teknik canggih.

Metode Serangan terhadap MFA

1. Phishing MFA (Social Engineering Level Lanjut)

Peretas membuat situs palsu yang meniru halaman login asli. Setelah pengguna memasukkan username, password, dan bahkan OTP atau kode autentikasi, semua dikirim ke peretas secara real-time.

Contoh:
Serangan menggunakan tools seperti Evilginx atau Modlishka untuk bypass MFA berbasis browser.

2. Man-in-the-Middle (MitM) Attack

Dalam serangan ini, peretas memposisikan diri di antara pengguna dan server, mencegat seluruh komunikasi termasuk kode MFA.

Jika koneksi tidak dienkripsi dengan benar (misalnya tanpa HTTPS), MitM sangat berbahaya.

3. SIM Swap / SIM Hijacking

Jika MFA menggunakan OTP via SMS, peretas bisa mengganti kepemilikan nomor ponsel dengan berpura-pura menjadi korban di hadapan provider seluler.

Setelah menguasai nomor, mereka menerima OTP langsung ke ponsel mereka.

4. Malware atau Keylogger

Jika perangkat korban terinfeksi malware, maka semua input, termasuk kode OTP, dapat dicuri.

Bahkan aplikasi autentikator pun bisa menjadi target jika perangkat tidak aman.

5. Prompt Bombing (MFA Fatigue Attack)

Peretas membanjiri korban dengan permintaan login hingga korban akhirnya menekan “terima” secara tidak sadar.

Sering terjadi pada sistem push notification, seperti Microsoft Authenticator atau Okta.

Apakah MFA Masih Layak Digunakan?

Sangat layak.
Meskipun bisa diretas, MFA jauh lebih aman daripada hanya menggunakan password saja. Faktanya, serangan terhadap MFA jauh lebih sulit dilakukan, dan hanya terjadi jika pengguna lengah atau sistem tidak dikonfigurasi dengan benar.

Tips untuk Membuat MFA Lebih Aman

  1. Gunakan Aplikasi Autentikator, Bukan SMS

    • Google Authenticator, Authy, Microsoft Authenticator

  2. Aktifkan Notifikasi Login Mencurigakan

    • Supaya kamu tahu jika ada percobaan akses yang tidak sah

  3. Jangan Sembarangan Klik “Terima” di Notifikasi MFA

    • Selalu periksa apakah kamu benar-benar sedang login

  4. Lindungi Perangkat

    • Gunakan antivirus, firewall, dan jangan instal aplikasi sembarangan

  5. Gunakan MFA Berbasis Hardware

    • Seperti YubiKey untuk keamanan maksimal

Kesimpulan

Multi-Factor Authentication adalah sistem yang sangat efektif dalam melindungi akun dan data, namun bukan tanpa celah. Dengan memahami bagaimana serangan terhadap MFA terjadi, kita bisa lebih waspada dan mengatur sistem autentikasi dengan lebih aman.

Gunakan MFA secara cerdas, jangan hanya mengaktifkan — tapi juga pahami bagaimana cara melindunginya dari manipulasi dan penyalahgunaan.

Penulis: Andi Waldiyunso

NIM: 23156201003

Jurusan: Sistem Komputer, STMIK Catur Sakti Kendari