Metode autentikasi pada WiFi

I.      Auntentikasi

Sekarang ini , teknologi informasi  sedang berkembang dengan pesat yang memungkinkan semua orang dapat berkomunikasi dari satu tempat ke tempat lain dengan  jarak ribuan kilometer. Data yang dikirimkan itu menggunakan jalur transmisi telekomunikasi yang belum tentu terjamin keamananya. Bila data yang sedang dikirim melalui media transmisi itu dicuri atau diubah oleh penyadap dan cracker untuk kepentingan tertentu. Hal ini sedang menjadi masalah bagi dunia telekomunikasi terutama dalam pengiriman data penting yang memerlukan kerahasiaan tinggi seperti informasi intelijen kemeliteran, keuangan bank, informasi rahasia negara dan informasi penting lainnya.

Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang handal dan tidak terkorupsi untuk menjaga integritas program dan data.

Untuk mengatasi masalah itu digunakan otentikasi untuk melindungi data dan informasi pada sistem komputer, agar tidak digunakan atau dimodifikasi orang yang tidak di otorisasi.bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang diotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di sistem.

Authentification adalah proses dalam rangka validasi user pada saat memasuki sistem, nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar mereka yang diberikan hak untuk memasuki sistem tersebut. Autorisasi ini di set up oleh administrator, webmaster atau pemilik situs (pemegang hak tertinggi atau mereka yang ditunjuk di sistem tersebut. Untuk proses ini masing-masing user akan di cek dari data yang diberikannya seperti nama, password serta hal-hal lainnya yang tidak tertutup kemungkinannya seperti jam penggunaan, lokasi yang diperbolehkan.

Selain itu authentification juga merupakan salah satu dari banyak metode yang digunakan untuk menyediakan bukti bahwa dokumen tertentu yang diterima secara elektronik benar-benar datang dari orang yang bersangkutan dan tak berubah caranya adalah dengan mengirimkan suatu kode tertentu melaui e-mail dan kemudian pemilik e-mail mereplay email tersebut atau mengetikan kode yang telah dikirimkan.

Authentication server berfungsi untuk mengenali user yang berintegrasi ke jaringan dan memuat semua informasi dari user tersebut, dalam praktek biasanya authentification server mempunyai backupp yang berfungsi untuk menjaga jika server itu ada masalah sehingga jaringan dan pelayanan tidak terganggu.

Dalam aplikasi Web dibutuhkan mekanisme yang dapat melindungi data dari pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web yang berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota keluarga. Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang biasanya terdiri dari tiga buah tahapan yaitu : identifikasi, otentikasi dan otorisasi

Proses otentifikasi pada prinsipnya berfungsi sebagai kesempatan pengguna dan pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus mampu memberikan informasi yang dibutuhkan pemberi layanan untuk berhak mendapatkan resourcenya. Sedang pihak pemberi layanan harus mampu menjamin bahwa pihak yang tidak berhak tidak akan dapat mengakses resource ini. Proses otentikasi dapat dilakukan oleh webserver ataupun PHP.

Informasi log on banyak yang dilewatkan sebagai clear text, yang berarti dengan mudah seseorang dapat memperoleh logon credential (user name dan password) orang lain, misalnya pada insecure service seperti pop mail. Namun otentikasi yang baik lebih dari sekedar memvalidasi sumber yang melakukan logon awal, melainkan juga memastikan bahwa setelah logon berhasil, sesi logon ini tidak dibajak orang lain di tengah jalan. Serangan jenis ini dikenal sebagai session hijacking atau man-in-the-middle attack.

Autentifikasi Pemakai (user authentification) yaitu proses otentifikasi pemakai seperti : login yaitu proses memasuki sistem, proses ini disebut juga dengan otentifikasi pemakai (user authentification), log off yaitu proses memutuskan atau melepaskan dari suatu sistem computer.

Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang biasanya terdiri dari tiga buah tahapan yaitu :

                                                                                                        

1.       Identifikasi. Di tahap ini pengguna memberitahukan siapa dirinya

2.       Otentikasi. Di dalam tahap ini si pengguna memverifikasi klaimnya user yaitu : 1) sesuatu yang mereka ketahui, contohnya adalah kode PIN dan password; 2) sesuatu yang mereka miliki, contohnya adalah kartu tanda pengenal dan kartu magnetik; 3) sesuatu yang menjadi jatidiri, contohnya data sidik jari dan pindai retina

3.   Otorisasi. Pada tahapan terakhir ini jika identifikasi pengguna benar, sistem menyelesaikan proses loginnya dan mengasosiasikan identitas pengguna dan informasi kontrol akses dengan sesi pengguna

II.   Metode – Metode Autentikasi

Pada server Apache ada beberapa metode yang dipakai dalam mengimplemtasikan mekanisme otentikasi. Pada prinsipnya mekanisme ini dibagi dua jenis yaitu :

1.      Otentikasi dasar HTTP (HTTP Basic Authentication) yang dapat menggunakan beberapa media penyimpanan data otentikasi seperti file teks, file database DBM, atau RDBMS (misalnya My SQL )

2.      Otentikasi menggunakan MD5 Digest

Dalam melakukan perlindungan terhadap suatu resource, kedua jenis otentikasi di atas menggunakan metode berbasis realm (daerah akses yang dikontrol). Setiap resource baik tunggal maupun jamak yang dilindungi akan mempunyai sebuah nama realm. nama realm dapat dispesifikasikan dalam file konfigurasi dengan menggunakan direktif AuthName.

Pengguna yang ingin mengakses resource ini untuk pertama kalinya harus melakukan otentikasi dengan menyertakan nama realm . Pada pengaksesan selanjutnya realm secara implisit akan tercakup dalam URL.

Otentikasi dasar HTTP

Otentikasi dasar HTTP menggunakan teknik base64-encoding sederhana yang diaplikasikan untuk username dan password sebelum data tersebut ditransfer ke server

Otentikasi jenis ini dipakai untuk membatasi akses ke halaman-halaman web dengan berdasarkan kepada :

·         nama host dari browser;

·         password yang dimasukkan oleh user

Proses pengontrolan terhadap resource yang dilindungi ini biasanya menggunakan direktif yang dapat dituliskan dalam file konfigurasi httpd.conf  secara langsung atau disimpan dalam file .htaccess. Pengguna nama file yang lain dapat dilakukan dengan cara mengeset direktif AccessFileName dalam file konfigurasi httpd.conf. Isi dari direktif ini adalah instruksi yang dipakai oleh Webserver untuk memastikan siapa yang berhak mengakses dan siapa yang tidak berhak mengakses seuatu resource.

Dalam contoh ini kita akan menggunakan file .htAccess untuk menyimpan instruksi tersebut.

Otentikasi dasar berbasis password

Jika seorang pengguna untuk pertama kalinya mencoba mengakses direktori yang dilindungi, maka ia harus terlebih dahulu menuliskan nama dan password ke dalam sebuah form yang muncul dalam bentuk window pop up. Jika nama dan password pengguna ini diizinkan untuk mengakses, maka browser berhak mengakses ke direktori ini selama sisa sesi browsing.

Untuk pengguna fasilitas ini, kita harus menuliskan beberapa instruksi ke dalam file. htaccess yang harus disimpan dalam direktori yang akan dilindungi. Sebagai contoh adalah sebagai berikut :

AuthType Basic

AuthName “Protected Directory”

AuthUserFile/usr/local/httpd/.htpasswd

require valid-user

Disini setiap kali direktori diakses, Webserver akan melihat ke file.htpasswd yang berada direktori /usr/local/httpd untuk memastikan apakah browser mempunyai akses atau tidak. File ini dapat dibuat dengan bantuan program htpasswd yang disertakan bersama Apache. Isi dari file ini kurang lebih baris-baris seperti berikut :

budi:Yq8VgagJ3WXCo

Dimana kolom pertama (sebelum titik dua) adalah nama pengguna dan kolom berikutnya adalah password yang sudah terenkripsi

Otentikasi dasar berbasis Host

Jenis otentikasi dasar lainnya adalah pembatasan akses berdasarkan host klien. Host dapat berupa nama domain seperti f117.bopmber.org atau alamat IP seperti 172.20.172.10.

contoh dari file . htaccess yang hanya mengizinkan host ddengan alamat IP 172.20.172.10. untuk mengakses direktori adalah seperti berikut ini :

AuthType Basic

AuthName “Protected Directory”

AuthUserFile/dev/null

order deny,allow

deny from all

allow from 172.20.172.10

Dukungan otentikasi di atas diimplementasikan oleh modul Apache mod_auth. Untuk menggunakan metode otentikasi yang sama, namun dengan menggunakan media penyimpanan informasi yang otentikasi lain (bukan file.htpasswd), dapat digunakan modul mod_auth_dbm_auth_db, atau mod_auth_mysql.

Otentikasi Digest HTTP

Otentikasi  yang diimplementasikan dalam modul mod_auth_digest ini mempunyai kelebihan yaitu sistem passwordnya lebih aman dibandingkan dengan otentikasi dasar. Password yang ditulis oleh user akan mengalami proses message digest dengan metode MD5 terlebih dahulu sebelum dikirimkan ke server. Untuk memanfaatkan dukungan ini, di sisi browser harus ada dukungan untuk MD5. Internet Explorer 5.0, Amaya, dan Mozilla mendukung otentikasi digest.

Cara menggunakan otentikasi ini cukup sederhana seperti pada otentikasi dasar. Berikut contoh konfigurasi file.httpd.conf untuk menggunakan otentikasi ini:

<Location /private/>

AuthType Basic

AuthName “Protected Directory”

AuthDigestDomain/private

AuthDigestFile/usr/local/httpd/.digestpw

require valid-user

</Locaton>

Sebagai AuthType digunakan nilai Digest. File yang akan menyimpan nama pengguna dengan passwordnya dapat diset dengan instruksi AuthDigestFile. Pada contoh di atas, nama file ini adalah .digestpw yang berada dalam direktori /usr/local/httpd. File ini dapat dihasilkan dengan bantuan program aplikasi htdigest yang juga disertakan bersama Apache. Contoh isi dari file adalah seperti berikut :

budi :Protectd directory : fbbd87bdfc47774c42100bf1f5dfe29

Kolom pertama membuat nama pengguna yang dipakai sebagai login. Kolom kedua adalah nama realm tempat pengguna yang bersangkutan memiliki akses. Sedang kolom ketiga adalah hasil message digest.

Otentikasi Kerberos

Kerberos merupakan layanan autentikasi yang dikembangkan oleh MIT (Massachusetts Institute of Technology) Amerika Serikat, dengan  bantuan  dari  Proyek  Athena.  Tujuannya  adalah  untuk memungkinkan            pengguna (user) dan layanan (service) untuk saling  mengautentikasi  satu  dengan  yang  lainnya.  Dengan  kata lain, saling menunjukkan identitasnya.

Inovasi utama dalam Kerberos adalah gagasan bahwa password  tersebut  dapat  dilihat  sebagai  suatu  shared   secret, sesuatu rahasia yang hanya pengguna dan server yang mengetahuinya. Menunjukkan identitas  dilakukan tanpa pengguna harus membuka rahasia tersebut. Ada suatu cara untuk membuktikan  bahwa  kita  mengetahui  rahasia  tersebut  tanpa mengirimnya ke jaringan.

Sebelum  menjelaskan  bagaimana kerberos  beroperasi  atau  bekerja,  kita  harus  mengetahui  paket apa saja yang dikirim di antara pengguna dan KDC (AS dan TGS), dan antara pengguna dengan layanan selama proses autentikasi. Perlu  diingat  bahwa  layanan  tidak  pernah  berkomunikasi  secara langsung  dengan  KDC  (Key  Distribution  Center).  Berikut  adalah daftar paket-paket:

   AS_REQ  adalah  request  autentikasi  pengguna  awal.  Pesan ini ditujukan kepada komponen KDC, yaitu AS.

     AS_REQ  =  (  PrincipalClient,  PrincipalService ,  IP_list  , Lifetime )

   AS_REP adalah jawaban dari AS terhadap pesan sebelumnya.  Pada  dasarnya  pesan  ini  mengandung  TGT (dienkripsi  menggunakan  TGS  secret  key)  dan  session  key (dienkripsi menggunakan secret key dari pengguna).

            TGT = ( PrincipalClient, krbtgt/REALM@REALM , IP_list ,

            Timestamp , Lifetime , SKTGS  )

   TGS_REQ adalah   request   dari   pengguna   kepada   Ticket Granting  Server  (TGS)  untuk  mendapatkan  service  ticket. Paket ini  mengandung TGT yang didapat            dari pesan sebelumnya  dan  authenticator  yang  dibuat  oleh  pengguna dan dienkripsi dengan session key.

            TGS_REQ  =  (  PrincipalService ,  Lifetime  ,  Authenticator)  {

                      TGT }KTGS

   TGS_REP adalah jawaban dari Ticket Granting Server terhadap pesan sebelumnya. Dalam paket ini terdapat service ticket yang diminta (dienkripsi dengan secret key dari layanan)  dan  session  key  milik  layanan  yang  dibuat  oleh TGS  dan  dienkripsi  dengan  session  key  sebelumnya  yang dibuat oleh AS.

      TGS_REP =        {        PrincipalService ,Timestamp, Lifetime ,

     SKService  }SKTGS  { TService  }KService

   AP_REQ  adalah  request  yang  dikirimkan oleh  pengguna kepada layanan/aplikasi agar dapat mengakses layanannya. Komponennya  adalah  service  ticket  yang  didapat  dari  TGS dengan jawaban sebelumnya dan authenticator yang dibuat oleh pengguna,tetapi kali ini dienkripsi menggunakan session key milik layanan (dibuat oleh TGS).

      AP_REQ = Authenticator { TService  }KService

   AP_REP adalah jawaban yang diberikan oleh layanan kepada pengguna untuk membuktikan bahwa layanan tersebut adalah benar merupakan layanan yang ingin diakses oleh  pengguna. Paket ini tidak selalu diminta.

Otentikasi Secutity Token

Security token merupakan sebuah objek fisik yang digunakan untuk autentikasi pada sebuah sistem. Dewasa ini security token kerap digunakan dalam pengamanan internet banking. Hal ini disinyalir dengan adanya security token diharapkan keamanan pada sistem perbankan internet menjadi lebih kuat sehingga dapat melindungi kepentingan nasabah dan menumbuhkan kepercayaan nasabah pada bank. Selain itu keuntungan pemakaian security token ini salah satunya adalah PIN yang selalu berganti setiap bertransaksi sehingga sukar dilacak oleh orang lain. Ditambah lagi token PIN ini unik bagi setiap nomor rekening dan tidak bisa digunakan pada rekening lain. Dengan fasilitas ini, rekening customer tidak mungkin disalahgunakan meskipun informasi yang dimasukkan oleh customer telah tertangkap oleh orang lain (misalnya dengan menggunakan keylogger).

Tipe-tipe security token

1. Digital signature

2. Single sign-on software

3. One-time passwords