Lanskap ancaman identitas mengalami transformasi fundamental. Pada tahun 2025, organisasi melaporkan lonjakan dramatis dalam serangan berbasis identitas, dengan fokus bergeser dari volume tinggi ke sofistikasi tinggi. Tingkat fraud keseluruhan menurun dari 2,6% menjadi 2,2%, namun serangan multi-langkah meningkat 180% year-over-year, menunjukkan bahwa penyerang kurang lagi melakukan ancaman oportunistik dan semakin fokus pada kampanye terkoordinasi. AI-powered attacks melonjak 4.000% sejak 2022, dengan 87% pelanggaran dikaitkan dengan kerentanan identitas.[1][2][3][4]

Organisasi menghadapi tantangan yang berkembang pesat di mana identitas manusia dan non-manusia sama-sama menjadi target serangan. Setiap agen otomasi, script, dan proses AI memerlukan kredensial uniknya sendiri, menciptakan permukaanlangsung serangan yang luas. Prediksi menunjukkan bahwa pada 2026, identitas akan bergeser dari kontrol pendukung menjadi tulang punggung operasi keamanan, dengan kebutuhan untuk mengelola identitas di seluruh endpoint, jaringan, dan platform cloud.[5]

Serangan SSO, OAuth, dan MFA Fatigue

MFA Fatigue Attack dan Mekanisme Penyerangan

Serangan MFA fatigue telah menjadi vektor serangan pilihan bagi threat actor. Dalam laporan yang dilacak oleh Microsoft, lebih dari 382.000 serangan MFA fatigue dicatat selama periode 12 bulan, dengan penelitian menunjukkan bahwa 1% pengguna akan membuta-membuta menyetujui permintaan push MFA pertama yang mereka terima di ponsel mereka. Mekanisme serangan berfungsi dalam tiga tahap yang jelas.[6]

Serangan ini sangat efektif karena memanfaatkan aspek-aspek fundamental dari push MFA—kemudahan penggunaan yang dirancang untuk mengurangi gesekan otentikasi justru menjadi kelemahan ketika dihadapi dengan bombardemen permintaan.[7]

Konsep SSO dan OAuth Architecture

Untuk memahami kerentanan SSO, perlu dipahami alur otentikasi fundamental. Dalam alur SAML SSO, pengguna pertama kali mencoba mengakses aplikasi yang dilindungi pada Service Provider (SP). SP kemudian mengarahkan pengguna ke Identity Provider (IdP) dengan mengirimkan permintaan otentikasi SAML. Pengguna masuk ke IdP, dan setelah verifikasi berhasil, IdP mengirimkan SAML Assertion kembali ke SP. SP memvalidasi asersi tersebut dan menyetujui akses.[8]

Token dan Jenis-Jenisnya dalam Sistem Modern

Dalam ekosistem OAuth 2.0 dan OIDC, tiga jenis token utama digunakan:

Jenis Token	Masa Berlaku	Fungsi Utama
Access Token	Pendek (1 jam)	Mengakses sumber daya yang dilindungi
Refresh Token	Panjang (90+ hari)	Memperoleh access token baru tanpa login ulang
ID Token	Pendek	Berisi klaim tentang identitas pengguna

Teknik Penyalahgunaan Token dalam Aplikasi Modern

Penyalahgunaan token mengikuti pola-pola yang telah terbukti dalam insiden nyata tahun 2024-2025.

• Token Replay Attack: Penyerang menangkap token OAuth yang valid dan menggunakan kembali token tersebut untuk mengakses sumber daya.
• Refresh Token Abuse: Refresh token dari satu klien dapat digunakan untuk memperoleh access token untuk resource lain tanpa aktivasi eksplisit.
• Session Token Hijacking: Dalam insiden Okta Oktober 2023, penyerang mengakses HAR files yang mengandung session tokens dari pengguna yang telah berhasil autentikasi.
• Consent Phishing (Illicit Consent Attacks): Penyerang membuat aplikasi OAuth palsu dengan nama yang menyerupai aplikasi legitimate dan memandu pengguna untuk memberikan persetujuan.

Arsitektur SSO dan Pemrosesan Assertion

Alur Pemrosesan SAML Assertion oleh Identity Provider

Ketika Identity Provider menerima SAML AuthnRequest dari Service Provider, IdP melakukan beberapa langkah pemrosesan.

Titik Lemah dalam Alur Autentikasi

Meskipun SSO dirancang untuk aman, ada beberapa titik lemah kritis yang telah diidentifikasi:

• Validasi Redirect URI yang Tidak Memadai: Penelitian empiris menunjukkan bahwa banyak Identity Provider vulnerable terhadap path confusion dan parameter pollution attacks.
• Penyimpanan Token yang Tidak Aman: Access token sering disimpan di localStorage atau sessionStorage yang vulnerable terhadap XSS attacks.
• Session Fixation: Jika aplikasi tidak meregenerasi session ID setelah login berhasil, penyerang dapat memaksa pengguna menggunakan session ID yang diketahui.
• Validasi Signature yang Lemah: Beberapa implementasi SAML tidak dengan benar memvalidasi signature pada SAML responses.
• OIDC Mix-Up Attack: Penyerang dapat menciptakan konflik di mana client menggunakan response dari satu IdP sebagai jika berasal dari IdP lain yang legitimate.

Insiden Nyata dari Laporan Keamanan 2024-2025

Okta Breach (Oktober 2023)

Dalam insiden Okta, penyerang mengakses akun service account dalam sistem support Okta. Mereka kemudian mendownload HAR files yang berisi HTTP transactions lengkap, termasuk session cookies dan session tokens dari support requests pelanggan.[13]

Impact: 134 pelanggan langsung terpengaruh, dengan data yang didownload mencakup nama pengguna support dan email addresses dari 18.400 pengguna support Okta.

Salesforce Breach (Agustus-September 2025)

Insiden Salesforce pada 2025 melibatkan dua attack vector yang terkoordinasi:

• Vector Pertama - Vishing dan OAuth Token Consent: Penyerang melakukan vishing terhadap Salesforce users dan mencuri MFA credentials mereka.
• Vector Kedua - Stolen OAuth Tokens dari Salesloft: Penyerang mendapatkan akses ke Salesloft dan mengekstrak OAuth tokens serta refresh tokens.

Microsoft Entra ID Vulnerability (September 2025)

Kerentanan kritis yang ditemukan dalam Entra ID melibatkan dua komponen fatal:

Kebutuhan Telemetry dan Logging Granular

Pencatatan Login Granular

Untuk mendeteksi serangan identity, organisasi harus mengumpulkan telemetry yang detail tentang setiap login attempt. Logging yang efektif harus merekam beberapa data point:

Kategori Data	Data Point Kunci
Timestamp dan Durasi	Waktu login, durasi session, pola waktu akses
IP Address dan Geolocation	Source IP, geolocation, detection impossible travel
Device Information	Device ID, OS, browser, User Agent, TLS certificate
Behavioral Signals	Failed login attempts, session duration, resource access patterns
MFA Information	Jenis MFA, waktu respons, approval/denial rate

Teknik Analisis Perilaku Pengguna

Mendeteksi login yang tidak legitimate berbeda dengan login normal memerlukan pemahaman tentang "normal" untuk setiap pengguna. Behavioral analytics menggunakan beberapa teknik:

• Statistical Baseline Establishment: Menganalisis 30-60 hari data historis untuk mengidentifikasi pattern normal.
• Z-Score dan Standard Deviation Analysis: Mengevaluasi login attempt berdasarkan seberapa jauh mereka deviasi dari mean user behavior.
• Time Series Analysis: Menganalisis trend login over time untuk mendeteksi perubahan pattern.
• Machine Learning Approaches: Supervised, unsupervised, dan semi-supervised learning untuk anomaly detection.

Mitigasi Konkret dan Implementasi Teknis

Token Binding dan Sender Constraint

Token binding merupakan mekanisme untuk mengikat token ke specific client yang menerima token tersebut, sehingga token tidak dapat di-reuse oleh attacker meski dicuri.

Risk-Based Authentication dan Conditional Access

Risk-based authentication secara dinamis menyesuaikan authentication requirements berdasarkan real-time risk assessment. Risk score dievaluasi berdasarkan:

• Geographic Location & Impossible Travel
• Device Reputation
• User Behavior Patterns
• IP Reputation
• Login Velocity
• MFA History

Risk scoring rubric:

• Score 0-20: Low risk → seamless access, no MFA required
• Score 20-60: Medium risk → require MFA
• Score 60-100: High risk → require step-up authentication atau block access

Proteksi Push MFA dengan Number Matching

Number matching adalah teknik di mana ketika user menerima push MFA notification, screen login juga menampilkan number. User harus type number tersebut ke dalam authenticator app untuk approve login.

Effectiveness: Number matching signifikan reduces MFA fatigue attacks. Attackers bisa send ratusan push notifications, tapi user akan reject sebagian besar karena mereka tidak sedang login dan tidak tahu number yang di-display.

Prediksi untuk 2026 dan Tren Emerging

Adopsi Machine Learning dalam Identity Threat Protection

Pada 2026, machine learning akan menjadi backbone dari identity threat detection dan response. Tren-tren key:

• Shift ke Autonomous Detection: Sistem akan automatically block atau require step-up authentication tanpa human intervention.
• AI-Driven Fraud Agent Detection: Fraud prevention systems akan implement counter-detections yang sophisticated menggunakan generative AI dan reinforcement learning.
• Continuous Model Updates: Systems akan continuously retrain models dengan new data setiap jam atau setiap hari.

Integrasi Deteksi Anomali pada Identity Provider

Identity providers seperti Microsoft Entra ID, Okta, dan Ping akan increasingly integrate sophisticated anomaly detection:

• Behavioral Baseline Integration: IdPs akan secara default maintain behavioral baselines untuk setiap user.
• Real-Time Risk Scoring di IdP Level: IdPs akan compute risk scores pada setiap login attempt dan communicate risk ke relying applications.
• Cross-Tenant Threat Intelligence: IdPs akan share threat intelligence signals tentang attacker IPs dan malicious patterns.

Peningkatan Continuous Authentication

Continuous authentication—ongoing verification dari user identity throughout session, bukan hanya pada login—akan menjadi standard pada 2026:

• Passive Behavioral Monitoring: Systems akan continuously monitor user behavior (typing speed, mouse movement, navigation patterns).
• Step-Up Authentication Triggers: Systems akan dynamically trigger step-up authentication ketika risk indicators change.
• Behavioral Biometrics untuk Non-Repudiation: Behavioral signature bisa prove bahwa user actually authorized specific actions.