Pertemuan 4
Identification and Authentication (Autentikasi dan Identifikasi)
A. User Authentication (Autentikasi Pengguna)
Autentikasi merupakan proses untuk melakukan verifikasi identitas pengguna. Ada dua alasan autentikasi pengguna perlu dilakukan, yaitu :
1. Identitas pengguna adalah parameter dalam keputusan kontrol akses
2. Identitas pengguna dicatat saat mencatat peristiwa keamanan yang relevan di jejak audit.
B. Identification & Authentication (Authentication dan Identifikasi)
Saat masuk ke komputer atau laptop, kita memasuki nama pengguna dan kata sandi. Saat memasuki nama pengguna, itu merupakan proses identifikasi. Pada tahap tersebut kita memberitahukan siapa yang masuk ke dalam komputer atau laptop tersebut. Saat memasukkan kata sandi, itu merupakan proses autentikasi. Pada tahap tersebut kita membuktikan bahwa kita adalah pengguna yang kita klaim.
C. Entity Authentication (Autentikasi Entitas)
Untuk membedakan janis "autentikasi" dari interpretasi lain, kita dapat merujuk secara khusus ke otentikasi entitas. Autentikasi entitas merupakan proses untuk melakukan verifikasi identitas yang di klaim.
D. Password (Kata Sandi)
Kata Sandi adalah kumpulan atau karakter atau string yang dapat berupa gabungan huruf, angka dan simbol. Hal ini digunakan oleh user (pengguna) jaringan atau sebuah sistem operasi yang mendukung multiuser (banyak pengguna) untuk melakukan verifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut.
Masalah yang ada pada kata sandi :
1. Cara mendapatkan kata sandi untuk pengguna
2. Lupa kata sandi
3. Menebak kata sandi
4. Spoofing kata sandi
5. Kompromi file kata sandi
E. Bootstrapping Authentication
Kata sandi harus menjadi rahasia yang dibagikan antara pengguna dan sistem yang melakukan autentikasi pengguna. Dalam suatu perusahaan, pengguna dapat mengumpulkan sandi mereka secara pribadi. Jika tidak, kata sandi dapat dikirim melalui surat, email, atau telepon, atau dimasukkan oleh pengguna di halaman web.
F. Mengautentikasi pengguna jarak jauh (Remote User)
Jangan berikan kata sandi kepada penelpon tetapi panggil kembali nomor telepon resmi dari file anda, misalnya dari buku alamat internal perusahaan. Kirim kata sandi yang hanya valid untuk satu permintaan login sehingga pengguna harus segera mengganti kata sandi yang tidak diketahui oleh pengirim. Kirim surat melalui kurir dengan pengiriman pribadi. Minta konfirmasi di saluran lain untuk mengaktifkan akun pengguna, misalnya masukkan sandi pada halaman web dan kirim konfirmasi melalui SMS (telepon).
G. Mengatur ulang kata sandi (Resetting Password)
Saat membuat akun pengguna baru, penundaan dalam mendapatkan kata sandi dapat ditoleransi. Jika anda lupa kata sandi tetapi sedang mengerjakan tugas penting, mana anda memerlukan bantuan instan. Prosedur untuk mengatur ulang kata sandi sama seperti yang disebutkan sebelumnya, tetapi sekarang reaksi cepat diinginkan. Dalam organisasi global, hot desk harus tersedia sepanjang waktu. Dukungan kata sandi dapat menjadi faktor biaya utama. Pelatihan keamanan yang tepat harus diberikan kepada personel di hot desk tersebut. Mekanisme keamanan mungkin gagal memberikan akses ke pengguna yang sah. Solusi kemanan anda harus mampu menangani situasi seperti itu secara efisien.
Menebak Kata Sandi (Guessing Password) :
1. Exhaustive search (brute force).
2. Intelligent search.
3. Contoh umum untuk pendekatan kedua : serangan kamus mencoba semua kata sandi dari kamus online.
4. Anda tidak dapat mencegah penyerang secara tidak sengaja menebak kata sandi yang valid, tetapi anda dapat mencoba mengurangi kemungkinan penyusupan kata sandi.
Pertahanan (Defences) :
1. Atur kata sandi
2. Ubah kata sandi default
3. Panjang kata sandi
4. Format kata sandi
5. Hindari kata sandi yang jelas
6. Pembuat kata sandi
7. Umur kata sandi
8. Mencegah pengguna kembali ke kata sandi lama
9. Batasi upaya login
10. Informasikan pengguna
H. Keamanan Kata Sandi (Password Security)
Pengguna tidak mungkin mengingat kata sandi yang panjang dan rumit. Kata sandi tersebut akan ditulis di selembar kertas yang disimpan di dekat komputer, yang mana merupakan tempat yang paling berguna baik untuk pengguna yang sah maupun calon penyusup.
I. Spoofing Attacks
Identifikasi dan otentikasi melalui nama pengguna dan kata sandi memberikan otentikasi sepihak. Komputer memverifikasi identitas pengguna tetapi pengguna tidak memiliki jaminan tentang identitas pihak yang telah menerima kata sandi. Ini bisa dimanfaatkan dengan serangan spoofing.
Serangan Spoofing :
1. Penyerang memulai program yang menampilkan layar login palsu dan meninggalkan komputer.
2. Pengguna berikutnya yang datang ke masin ini dimintai nama pengguna dan kata sandi. Ini kemudian disimpan oleh penyerang.
3. Login kemudian biasanya dibatalkan dengan pesan kesalahan (palsu) dan program spoofing dihentikan.
4. Kontrol dikembalikan ke sistem operasi yang sekarang meminta pengguna dengan permintaan login asli.
Penanggulangan :
Menampilkan jumlah login yang gagal dapat menunjukkan kepada pengguna bahwa serangan seperti itu telah terjadi. Trusted path, yakni menjamin bahwa pengguna berkomunikasi dengan sistem operasi dan bukan dengan program spoofing. Misalnya, Windows memiliki tombol perhatian aman CTRL + ALT + DEL yang memanggil layar masuk sistem operasi. Mutual authentication, yakni ketika pengguna memerlukan jaminan tentang identitas sistem tempat mereka berkomunikasi, sistem harus mengotentikasi dirinya sendiri kepada pengguna.
J. Melindungi File Kata Sandi
Sistem operasi memelihara file dengan nama pengguna dan kata sandi penyerang dapat mencoba meretas kerahasiaan atau integritas file kata sandi ini. Opsi untuk melindungi file kata sandi :
1. Perlindungan kriptografi.
2. Kontrol akses diberlakukan oleh sistem operasi.
3. Kombinasi perlindungan kriptografi dan kontrol akses.
