Technology

TOP 10 OWASP - A07:2025 — Identification and Authentication Failures

Rei Fujian7/6/2026

Apa itu Identification and Authentication Failures?

Identification and Authentication Failures adalah kegagalan dalam memastikan bahwa identitas pengguna yang mengakses sistem benar-benar valid — dan bahwa sesi yang berjalan sesudah autentikasi tetap terlindungi dari kompromi.

Perluasan nama dari "Broken Authentication" menjadi "Identification and Authentication Failures" mencerminkan pemahaman yang lebih luas: ancaman bukan hanya pada mekanisme autentikasi (membuktikan siapa kamu) tetapi juga pada identifikasi (mengklaim siapa kamu) dan manajemen sesi (mempertahankan keamanan setelah login berhasil).

Dalam bahasa bisnis: ini adalah kondisi di mana siapapun dapat berpura-pura menjadi orang lain dalam sistem Anda — baik dengan menebak password, mencuri session token, memanfaatkan alur reset password yang lemah, atau mengeksploitasi implementasi autentikasi yang cacat.

Mengapa Turun dari #2 ke #7?

Di edisi 2017, Broken Authentication berada di posisi #2 — mencerminkan betapa prevalennya masalah ini. Penurunan ke posisi #7 di 2021 dan 2025 mencerminkan dua hal yang saling bertentangan:

Kabar Baik: Adopsi framework autentikasi yang mature (OAuth 2.0, OpenID Connect) dan password manager telah mengurangi prevalensi implementasi autentikasi yang paling naif. Kesadaran industri tentang pentingnya MFA juga meningkat signifikan.

Kabar Buruk: Penurunan posisi TIDAK berarti ancaman berkurang. Data menunjukkan:

Credential stuffing attack meningkat 300% dalam 3 tahun terakhir
80%+ dari insiden hacking melibatkan penggunaan kredensial yang lemah atau dicuri
Serangan berbasis identitas — identity-based attacks — adalah vektor serangan #1 yang dilaporkan dalam insiden enterprise global 2024–2025
Adopsi MFA masih rendah di banyak sektor — terutama di Indonesia

Posisi #7 lebih mencerminkan bahwa ancaman lain lebih universal, bukan bahwa authentication failures lebih jarang terjadi.

Jenis-Jenis Utama Authentication Failures

1. Password yang Lemah dan Tidak Dilindungi

Kebijakan password yang tidak memadai memungkinkan pengguna menggunakan password yang mudah ditebak — "123456", "password", nama sendiri, tanggal lahir. Data dari berbagai breach menunjukkan bahwa password yang paling umum hampir tidak berubah dari tahun ke tahun.

Top 10 password paling umum di 2024 (NordPass):

Apa itu Identification and Authentication Failures?

Mengapa Turun dari #2 ke #7?

Di edisi 2017, Broken Authentication berada di posisi #2 — mencerminkan betapa prevalennya masalah ini. Penurunan ke posisi #7 di 2021 dan 2025 mencerminkan dua hal yang saling bertentangan:

Kabar Buruk: Penurunan posisi TIDAK berarti ancaman berkurang. Data menunjukkan:

Credential stuffing attack meningkat 300% dalam 3 tahun terakhir

80%+ dari insiden hacking melibatkan penggunaan kredensial yang lemah atau dicuri

Serangan berbasis identitas — identity-based attacks — adalah vektor serangan #1 yang dilaporkan dalam insiden enterprise global 2024–2025

Adopsi MFA masih rendah di banyak sektor — terutama di Indonesia

Posisi #7 lebih mencerminkan bahwa ancaman lain lebih universal, bukan bahwa authentication failures lebih jarang terjadi.

Jenis-Jenis Utama Authentication Failures

1. Password yang Lemah dan Tidak Dilindungi

Top 10 password paling umum di 2024 (NordPass):