I. Auntentikasi
Sekarang ini , teknologi
informasi sedang berkembang dengan pesat
yang memungkinkan semua orang dapat berkomunikasi dari satu tempat ke tempat
lain dengan jarak ribuan kilometer. Data
yang dikirimkan itu menggunakan jalur transmisi telekomunikasi yang belum tentu
terjamin keamananya. Bila data yang sedang dikirim melalui media transmisi itu
dicuri atau diubah oleh penyadap dan cracker untuk kepentingan tertentu. Hal
ini sedang menjadi masalah bagi dunia telekomunikasi terutama dalam pengiriman
data penting yang memerlukan kerahasiaan tinggi seperti informasi intelijen
kemeliteran, keuangan bank, informasi rahasia negara dan informasi penting
lainnya.
Berkaitan dengan pengamanan beragam kendali yang dibangun pada
perangkat keras dan sistem operasi yang handal dan tidak terkorupsi untuk
menjaga integritas program dan data.
Untuk mengatasi masalah itu digunakan otentikasi untuk melindungi data
dan informasi pada sistem komputer, agar tidak digunakan atau dimodifikasi
orang yang tidak di otorisasi.bahwa informasi di sistem komputer hanya dapat
diakses oleh pihak-pihak yang diotorisasi dan modifikasi tetap menjaga
konsistensi dan keutuhan data di sistem.
Authentification adalah proses
dalam rangka validasi user pada saat memasuki sistem, nama dan password dari
user di cek melalui proses yang mengecek langsung ke daftar mereka yang
diberikan hak untuk memasuki sistem tersebut. Autorisasi ini di set up oleh
administrator, webmaster atau pemilik situs (pemegang hak tertinggi atau mereka
yang ditunjuk di sistem tersebut. Untuk proses ini masing-masing user akan di
cek dari data yang diberikannya seperti nama, password serta hal-hal lainnya
yang tidak tertutup kemungkinannya seperti jam penggunaan, lokasi yang
diperbolehkan.
Selain itu authentification juga
merupakan salah satu dari banyak metode yang digunakan untuk menyediakan bukti
bahwa dokumen tertentu yang diterima secara elektronik benar-benar datang dari
orang yang bersangkutan dan tak berubah caranya adalah dengan mengirimkan suatu
kode tertentu melaui e-mail dan kemudian pemilik e-mail mereplay email tersebut
atau mengetikan kode yang telah dikirimkan.
Authentication server berfungsi
untuk mengenali user yang berintegrasi ke jaringan dan memuat semua informasi
dari user tersebut, dalam praktek biasanya authentification server mempunyai
backupp yang berfungsi untuk menjaga jika server itu ada masalah sehingga
jaringan dan pelayanan tidak terganggu.
Dalam aplikasi Web dibutuhkan mekanisme yang dapat melindungi data
dari pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web yang
berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota keluarga.
Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang
biasanya terdiri dari tiga buah tahapan yaitu : identifikasi, otentikasi dan
otorisasi
Proses otentifikasi pada prinsipnya berfungsi sebagai kesempatan
pengguna dan pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus mampu memberikan
informasi yang dibutuhkan pemberi layanan untuk berhak mendapatkan resourcenya.
Sedang pihak pemberi layanan harus mampu menjamin bahwa pihak yang tidak berhak
tidak akan dapat mengakses resource ini. Proses
otentikasi dapat dilakukan oleh webserver ataupun PHP.
Informasi log on banyak yang dilewatkan sebagai clear text, yang berarti
dengan mudah seseorang dapat memperoleh logon credential (user name dan
password) orang lain, misalnya pada insecure service seperti pop mail.
Namun otentikasi yang baik lebih dari sekedar memvalidasi sumber yang melakukan
logon awal, melainkan juga memastikan bahwa setelah logon berhasil, sesi logon
ini tidak dibajak orang lain di tengah jalan. Serangan jenis
ini dikenal sebagai session hijacking atau man-in-the-middle attack.
Autentifikasi Pemakai (user authentification) yaitu proses otentifikasi pemakai seperti :
login yaitu proses memasuki sistem, proses ini disebut juga dengan otentifikasi
pemakai (user authentification), log off yaitu proses memutuskan atau
melepaskan dari suatu sistem computer.
Mekanisme ini dapat diimplementasikan dalam bentuk sebuah
proses login yang biasanya terdiri dari tiga buah tahapan yaitu :
1.
Identifikasi. Di tahap ini pengguna memberitahukan siapa dirinya
2. Otentikasi. Di dalam tahap ini si
pengguna memverifikasi klaimnya user yaitu : 1) sesuatu yang mereka ketahui,
contohnya adalah kode PIN dan password; 2) sesuatu yang mereka miliki,
contohnya adalah kartu tanda pengenal dan kartu magnetik; 3) sesuatu yang
menjadi jatidiri, contohnya data sidik jari dan pindai retina
3. Otorisasi. Pada tahapan terakhir ini
jika identifikasi pengguna benar, sistem menyelesaikan proses loginnya dan
mengasosiasikan identitas pengguna dan informasi kontrol akses dengan sesi
pengguna
II.
Metode – Metode Autentikasi
Pada server Apache ada beberapa
metode yang dipakai dalam mengimplemtasikan mekanisme otentikasi. Pada
prinsipnya mekanisme ini dibagi dua jenis yaitu :
1. Otentikasi dasar HTTP (HTTP
Basic Authentication) yang dapat menggunakan beberapa media penyimpanan data
otentikasi seperti file teks, file database DBM, atau RDBMS (misalnya My SQL )
2.
Otentikasi
menggunakan MD5 Digest
Dalam melakukan perlindungan terhadap suatu resource, kedua jenis
otentikasi di atas menggunakan metode berbasis realm (daerah akses yang
dikontrol). Setiap resource baik tunggal maupun jamak yang dilindungi akan
mempunyai sebuah nama realm. nama realm dapat dispesifikasikan
dalam file konfigurasi dengan menggunakan direktif AuthName.
Pengguna yang ingin mengakses
resource ini untuk pertama kalinya harus melakukan otentikasi dengan
menyertakan nama realm . Pada pengaksesan selanjutnya realm secara
implisit akan tercakup dalam URL.
Otentikasi dasar HTTP
Otentikasi dasar HTTP menggunakan teknik base64-encoding sederhana
yang diaplikasikan untuk username dan password sebelum data tersebut ditransfer
ke server
Otentikasi jenis ini dipakai untuk membatasi akses ke halaman-halaman web
dengan berdasarkan kepada :
·
nama host dari
browser;
·
password yang
dimasukkan oleh user
Proses pengontrolan terhadap resource yang
dilindungi ini biasanya menggunakan direktif yang dapat dituliskan dalam file
konfigurasi httpd.conf secara langsung atau disimpan dalam file
.htaccess. Pengguna nama file yang lain dapat dilakukan dengan cara mengeset direktif
AccessFileName dalam file konfigurasi httpd.conf. Isi dari direktif ini adalah instruksi yang dipakai
oleh Webserver untuk memastikan siapa yang berhak mengakses dan siapa yang
tidak berhak mengakses seuatu resource.
Dalam contoh ini kita akan menggunakan file
.htAccess untuk menyimpan instruksi
tersebut.
Otentikasi
dasar berbasis password
Jika seorang pengguna untuk pertama kalinya mencoba mengakses
direktori yang dilindungi, maka ia harus terlebih dahulu menuliskan nama dan
password ke dalam sebuah form yang muncul dalam bentuk window pop up.
Jika nama dan password pengguna ini diizinkan untuk mengakses, maka browser
berhak mengakses ke direktori ini selama sisa sesi browsing.
Untuk pengguna fasilitas ini,
kita harus menuliskan beberapa instruksi ke dalam file. htaccess yang harus disimpan dalam direktori yang akan
dilindungi. Sebagai contoh adalah sebagai berikut :
AuthType Basic
AuthName “Protected Directory”
AuthUserFile/usr/local/httpd/.htpasswd
require valid-user
Disini setiap kali direktori
diakses, Webserver akan melihat ke file.htpasswd yang berada direktori /usr/local/httpd untuk memastikan apakah browser mempunyai akses atau tidak. File ini dapat
dibuat dengan bantuan program htpasswd yang disertakan bersama Apache. Isi dari file ini kurang lebih baris-baris
seperti berikut :
budi:Yq8VgagJ3WXCo
Dimana kolom pertama (sebelum titik
dua) adalah nama pengguna dan kolom berikutnya adalah password yang
sudah terenkripsi
Otentikasi dasar berbasis Host
Jenis otentikasi
dasar lainnya adalah pembatasan akses berdasarkan host klien. Host dapat berupa
nama domain seperti f117.bopmber.org atau alamat IP seperti
172.20.172.10.
contoh dari file . htaccess yang hanya mengizinkan host ddengan alamat IP
172.20.172.10. untuk mengakses direktori adalah seperti berikut ini :
AuthType Basic
AuthName “Protected Directory”
AuthUserFile/dev/null
order deny,allow
deny from all
allow from 172.20.172.10
Dukungan otentikasi di atas diimplementasikan
oleh modul Apache mod_auth. Untuk menggunakan metode otentikasi yang sama, namun
dengan menggunakan media penyimpanan informasi yang otentikasi lain (bukan file.htpasswd), dapat digunakan modul mod_auth_dbm_auth_db, atau mod_auth_mysql.
Otentikasi
Digest HTTP
Otentikasi yang diimplementasikan
dalam modul mod_auth_digest ini mempunyai kelebihan yaitu
sistem passwordnya lebih aman dibandingkan dengan otentikasi dasar. Password
yang ditulis oleh user akan mengalami proses message digest dengan
metode MD5 terlebih dahulu sebelum dikirimkan ke server. Untuk
memanfaatkan dukungan ini, di sisi browser harus ada dukungan untuk MD5.
Internet Explorer 5.0, Amaya, dan Mozilla mendukung otentikasi digest.
Cara menggunakan otentikasi ini cukup sederhana seperti pada otentikasi
dasar. Berikut contoh konfigurasi file.httpd.conf untuk menggunakan otentikasi
ini:
<Location /private/>
AuthType Basic
AuthName “Protected Directory”
AuthDigestDomain/private
AuthDigestFile/usr/local/httpd/.digestpw
require valid-user
</Locaton>
Sebagai AuthType digunakan nilai Digest. File yang akan menyimpan nama
pengguna dengan passwordnya dapat diset dengan instruksi AuthDigestFile. Pada contoh di atas, nama file ini adalah .digestpw yang berada dalam direktori /usr/local/httpd. File ini dapat dihasilkan dengan bantuan program
aplikasi htdigest
yang juga disertakan bersama Apache. Contoh isi dari file adalah seperti
berikut :
budi :Protectd directory : fbbd87bdfc47774c42100bf1f5dfe29
Kolom pertama membuat nama pengguna yang dipakai sebagai
login. Kolom kedua adalah nama realm tempat pengguna yang bersangkutan memiliki
akses. Sedang kolom ketiga adalah hasil message digest.
Otentikasi Kerberos
Kerberos merupakan
layanan autentikasi yang dikembangkan
oleh MIT (Massachusetts Institute of Technology) Amerika Serikat,
dengan bantuan dari Proyek
Athena.
Tujuannya
adalah
untuk memungkinkan pengguna (user) dan layanan (service) untuk saling mengautentikasi
satu
dengan
yang
lainnya.
Dengan
kata
lain, saling menunjukkan identitasnya.
Inovasi utama
dalam Kerberos adalah gagasan bahwa password tersebut dapat dilihat
sebagai
suatu
shared secret, sesuatu rahasia yang hanya pengguna dan server yang
mengetahuinya. Menunjukkan identitas dilakukan
tanpa pengguna harus membuka rahasia tersebut. Ada suatu cara
untuk membuktikan bahwa kita mengetahui rahasia tersebut
tanpa
mengirimnya ke jaringan.
Sebelum
menjelaskan
bagaimana
kerberos beroperasi atau bekerja,
kita
harus
mengetahui
paket
apa saja yang dikirim
di antara pengguna
dan KDC (AS dan TGS),
dan antara pengguna dengan layanan
selama proses
autentikasi. Perlu diingat bahwa layanan
tidak
pernah
berkomunikasi
secara
langsung dengan KDC (Key
Distribution
Center).
Berikut
adalah
daftar paket-paket:
AS_REQ adalah
request
autentikasi
pengguna
awal.
Pesan
ini ditujukan kepada komponen KDC, yaitu AS.
AS_REQ =
(
PrincipalClient, PrincipalService , IP_list , Lifetime )
AS_REP adalah jawaban dari AS terhadap pesan sebelumnya. Pada
dasarnya
pesan
ini
mengandung
TGT
(dienkripsi menggunakan TGS secret
key)
dan
session
key
(dienkripsi menggunakan secret key dari pengguna).
Timestamp , Lifetime , SKTGS )
TGS_REQ adalah request
dari
pengguna kepada
Ticket
Granting Server (TGS) untuk
mendapatkan
service
ticket. Paket ini mengandung TGT yang didapat dari pesan sebelumnya dan authenticator yang dibuat
oleh
pengguna
dan dienkripsi dengan session key.
TGS_REQ =
(
PrincipalService , Lifetime , Authenticator) {
TGT }KTGS
TGS_REP adalah jawaban dari Ticket
Granting Server terhadap pesan sebelumnya. Dalam paket ini terdapat service ticket yang diminta
(dienkripsi dengan secret key dari layanan) dan session
key
milik
layanan yang dibuat oleh TGS dan dienkripsi dengan session
key
sebelumnya
yang
dibuat oleh AS.
TGS_REP = { PrincipalService ,Timestamp, Lifetime ,
SKService }SKTGS { TService
}KService
AP_REQ adalah request
yang
dikirimkan
oleh pengguna kepada layanan/aplikasi agar dapat mengakses layanannya. Komponennya adalah service ticket yang
didapat
dari
TGS dengan
jawaban sebelumnya dan authenticator
yang dibuat oleh pengguna,tetapi kali ini dienkripsi
menggunakan session key milik layanan (dibuat oleh TGS).
AP_REQ = Authenticator { TService }KService
AP_REP adalah jawaban yang diberikan oleh layanan kepada pengguna
untuk membuktikan bahwa layanan tersebut adalah benar merupakan layanan yang
ingin diakses oleh pengguna. Paket ini
tidak selalu diminta.
Otentikasi Secutity Token
Security token merupakan
sebuah objek fisik yang digunakan untuk autentikasi pada sebuah sistem. Dewasa ini security token kerap digunakan
dalam pengamanan internet banking. Hal ini disinyalir dengan adanya security
token diharapkan keamanan pada sistem perbankan internet menjadi lebih kuat
sehingga dapat melindungi kepentingan nasabah dan menumbuhkan kepercayaan
nasabah pada bank. Selain itu keuntungan pemakaian security token ini salah
satunya adalah PIN yang selalu berganti setiap bertransaksi sehingga sukar
dilacak oleh orang lain. Ditambah lagi token PIN ini unik bagi setiap nomor
rekening dan tidak bisa digunakan pada rekening lain. Dengan fasilitas ini,
rekening customer tidak mungkin disalahgunakan meskipun informasi yang
dimasukkan oleh customer telah tertangkap oleh orang lain (misalnya dengan menggunakan
keylogger).
Tipe-tipe security token
1. Digital signature
2. Single sign-on software
3. One-time passwords