ACCESS CONTROL
Access Control adalah suatu proses dimana user
diberikan akses dan hak untuk melihat sistem, sumber atau informasi. Untuk
keamanan komputer, access control meliputi otorisasi, otentikasi, dan audit
dari suatu kesatuan untuk memperoleh akses. Access control memiliki subjek dan
objek. User (manusia), adalah subjek yang mencoba untuk mendapatkan akses dari
objek, Software. Dalam sistem komputer, daftar access control berisi perizinan
dan data kemana user memberikan izin tersebut. Data yang telah memiliki izin
hanya dapat dilihat oleh beberapa orang dan ini tentunya sudah dikontrol
oleh access control.
Hal ini memungkinkan administrator untuk mengamankan informasi dan mengatur
hak atas informasi apa saja yang boleh diakses, siapa yang bisa mengakses
informasi tersebut, dan kapan informasi tersebut bisa diakses.
Tantangan dalam Access Control
·
Berbagai macam tipe user membutuhkan
level akses yang berbeda
·
Berbagai macam sumber memiliki
klasifikasi level yang berbeda
·
Bermacam-macam data identitas harus
disimpan di tipe user berbeda
·
Lingkungan perusahaan berubah secara
kontinuitas
Prinsip-prinsip dalam Access Control
·
Principle of Least Privilege: Jika tidak ada sesuatu yang sudah di konfigurasi secara spesifik untuk
individu atau kelompok, dimana ia berada, user harusnya tidak bisa mengakses
sumber tersebut.
·
Separation of Duties: Memisahkan area yang bertentangan dari tugas yang bertujuan untuk
mengurangi modifikasi data yang tidak sah dalam aset atau informasi dari suatu
organisasi.
·
Need to Know: Prinsip ini bedasarkan konsep atas individu harus diberikan akses hanya
untuk informasi yang mereka butuhkan untuk menjalankan tugas mereka.
Kriteria Access Control
·
Tugas (Duties)
·
Kelompok (Groups)
·
Lokasi (Location)
·
Waktu (Time)
·
Tipe Transaksi (Transaction Type)
Kategori Access Control
1.
Administrative Control
Dietapkan oleh top management dalam suatu organisasi.
Dietapkan oleh top management dalam suatu organisasi.
Komponen:
·
Kebijakan dan Prosedur
·
Kontrol Pegawai
·
Struktur Pengawasan
·
Latihan untuk Security-Awareness
·
Testing
2. Physical
Control
Mendukung dan bekerja dengan administratif dan technical control untuk menyediakan access control yang benar.
Mendukung dan bekerja dengan administratif dan technical control untuk menyediakan access control yang benar.
Komponen:
·
Pemisahan Jaringan
·
Keamanan Perimeter
·
Computer Controls
·
Pemisahan Area Kerja
·
Backup Data
·
Cabling
·
Zona Kontrol
3. Technical
Control
Alat yang digunakan untuk membatasi akses subjek ke objek. Melindungi integritas dan ketersediaan sumber dengan membatasi jumlah subjek yang bisa mengakses objek. Melindungi kenyamanan sumber dengan mencegah penyingkapan ke subjek yang tidak dikenal.
Alat yang digunakan untuk membatasi akses subjek ke objek. Melindungi integritas dan ketersediaan sumber dengan membatasi jumlah subjek yang bisa mengakses objek. Melindungi kenyamanan sumber dengan mencegah penyingkapan ke subjek yang tidak dikenal.
Komponen:
·
Akses Sistem
·
Akses Jaringan
·
Enkripsi dan Protokol
·
Proses Audit
·
Rancangan Jaringan
Tipe Access Control
·
Preventative: Menghindari munculnya hal-hal yang tidak diinginkan
·
Detective: Mengidentifikasi kejadian tidak diinginkan yang sudah muncul
·
Corrective: Membenahi kejadian tidak diinginkan yang sudah muncul
·
Deterrent: Menghalangi pelanggaran keamanan
·
Recovery: Mengembalikan sumber dan kemampuan
·
Compensative: Menyediakan alternatif ke kontrol lainnya
Ancaman Access Control
·
Penolakan Pelayanan (Denial of
Service)
·
Melimpahnya Penyangga (Buffer
Overflows)
·
Malfungsi Software (Malicious
Software)
·
Peretas Kata Sandi (Password Crackers)
·
Penipuan (Spoofing / Masquerading)
·
Emanasi (Emanations)
·
Shoulder Surfing
·
Penggunaan Objek Kembali (Object
Reuse)
·
Data Remanence
·
Jebakan (Backdoor / Trapdoor)
·
Dictionary Attacks
·
Bruteforce Attacks
·
Social Engineering
Teknologi Access Control
·
Single Sign-On: Teknologi yang memungkinkan user untuk menginputkan satu perintah untuk
mengakses semua sumber di domain jaringan primer dan sekunder
·
Kerberos: Protokol otentikasi yang di desain pada pertengahan 1980 sebagai bagian
dari projek MIT Athena. Bekerja bedasarkan kunci kriptografi simetris.
Digunakan di sistem UNIX dan menjadi metode otentikasi untuk Windows 2k &
2k3. Standar de-facto untuk jaringan heterogen.
·
SESAME (Secure
European System for Application in a Multi-vendor Environtment): Teknologi
SSO yang dikembangkan untuk peningkatan kualitas Kerberos. Menggunakan teknik
kriptografi simetris dan asimetris untuk melindungi pertukaran data dan untuk
mengautentikasi subjek ke sumber jaringan.
·
Security Domain: Sekumpulan sumber yang tersedia untuk subjek (user). Mengacu kepada
sekumpulan sumber dengan sistem keamanan yang sama dan dikelola oleh grup yang
sama.
·
Thin Clients: Kadang disebut sebagai “Dumb Terminals”. Bedasarkan atas
teknologi dimana user harus login terlebih dahulu kedalam server untuk
menggunakan komputer dan sumber jaringannya. Menyediakan tipe lain dari akses
SSO untuk user, karena user hanya mengautentikasi ke mainframe saja yang
kemudian akan memfasilitasi user untuk mengakses ke seluruh data jaringan yang
dibutuhkan.
Model Access Control
Susunan yang menjelaskan tentang bagaimana subjek (user) mengakses objek
(software). Menggunakan teknologi dan sistem keamanan access control untuk
melaksanakan peraturan dan mencapai tujuan.
·
Discretionary Access Control (DAC): Akses kontrol yang bedasarkan atas kemauan pemiliknya.
Menggunakan sistem DAC yang memungkinkan pemilik sumber untuk menspesifikasi
subjek mana yang bisa mengakses sumber spesifik.
·
Mandatory Access Control (MAC): Model ini sangat terstruktur dan sangat ketat. Askses
kontrol ini bedasarkan atas label keamanan yang terlampir di semua objek. User
diberi izin keamanan dengan mengklasifikasi subjek (secret, top secret,
confidential, dll) dan klasifikasi ini berlaku juga untuk objek.
·
Non Discretionary or Role Based Access
Control (RBAC): RBAC bedasarkan atas tugas user
dan menggunakan kontrol administrasi sentral untuk memastikan interaksi antara
subjek dan objek.
·
DAC v MAC v RBAC
·
Intent-based Access Control (IBAC). Sebuah sistem access control yang mendeteksi tujuan
user meminta akses dengan menjawab pertanyaan mengapa user meminta akses
tersebut dan siapa yang meminta akses tersebut. IBAC didesain untuk mencegah
ancaman dari dalam dan luar. Merupakan sebuah risk-based access control yang
menilai resiko dari akses yang bedasarkan dari maksud yang terdeteksi dan level
motivasi terhadap pengeksekusian maksud tersebut.
·
Emotion-based Access Control (EBAC). Sebuah sistem access control yang mendeteksi emosi
user saat meminta akses dengan tujuan untuk menentukan keputusan akses. EBAC
menambahkan aspek sensitivitas untuk menganalisis lebih jauh mengenai resiko
dari memberikan akses kepada user. Menggunakan teknologi untuk mendeteksi emosi
dengan tujuan untuk melengkapi sistem access control dan menggunakan hasil
deteksi tersebut untuk menambahkan faktor autentikasi bersamaan dengan
identitas user.
·
Attribute-based Access Control (ABAC). Dalam ABAC, akses diberikan tidak bedasarkan dari hak
subjek terkait dengan user setelah proses autentikasi, melainkan bedasarkan
dari atribut user. User harus membuktikan so-called claims tentang atribut
untuk mengakses control engine. Kebijakan ABAC menetapkan bahwa klaim harus
terpenuhi agar user bisa mengakses objek. User bisa menjadi anonimus ketika
proses autentikasi dan identifikasi tidak terlalu diperlukan.
Teknik Access Control
·
Rule-Based Access Control: Menggunakan peraturan spesifik yang menginidikasi apa yang bisa dan tidak
bisa terjadi antara subjek dan objek. Subjek harus mematuhi beberapa paraturan
yang sudah tertera sebelum mengakses sebuah objek.
·
Constrained User Interface: Membatasi kemampuan user dengan tidak mengizinkan user untuk meminta
beberapa informasi atau memberikan akses untuk membuka sumber sistem yang
spesifik.
·
Matrix Access Control: Tabel dari subjek dan objek yang mengindikasi tindakan apa yang subjek
lakukan terhadap objek. Teknik ini menggunakan tabel kapabilitas untuk
menspesifikasi kemampuan dari sebuah subjek yang berkaitan dengan objek.
·
Content Dependant Access Control: Akses ke sebuah objek bedasarkan konten dari objek tersebut.
·
Context Dependant Access Control: Keputusan akses lebih bedasarkan atas konteks dari kumpulan informasi
dari pada tingkat kesensitivan data.
Administrasi Access Control
·
Centralized Access Control: Sebuah kesatuan (departemen atau individual) yang bertanggungjawab untuk
mengawasi akses ke semua sumber yang terhubung. Administrasi tipe ini
memberikan metode yang konsisten dan seragam untuk mengendalikan hak akses
user.
·
Decentralized Access Control: Memberikan pengendalian akses kepada user untuk lebih dekat ke sumber.
Sering digunakan oleh manajer yang memberikan akses kontrol kepada karyawannya.
Administrasi tipe ini akan lebih mudah untuk menghasilkan perubahan karena tidak
hanya satu kesatuan yang membuat perubahan untuk suatu organisasi. Kemungkinan
untuk terjadinya sebuah konflik tetap ada karena, manajer dari departemen
berbeda bisa saja menerapkan sistem keamanan dan access control yang berbeda.
Access Control Monitoring
Metode untuk melacak siapa saja yang mengakses sumber jaringan yang
spesifik.
·
Intruision Detection Systems (IDS): Proses untuk mendeteksi penggunaan yang tidak sah dari
sebuah komputer, jaringan, atau infrastruktur telekomunikasi. IDS didesain
untuk membantu mengurangi kerusakan yang bisa disebabkan oleh peretasan sistem
komputer dan jaringan.
·
Intrusion Prevention System (IPS): Tujuan IPS adalah untuk mendeteksi sesuatu yang buruk
(dan mengirimkan peringatan akan hal tersebut) dan tidak mengijinkan lalu
lintas dari IDS untuk mengakses target. IPS adalah teknologi pencegah dan
proaktif. Sedangkan, IDS adalah sebuah teknologi detektif dan after-the-fact.
IPS adalah perluasan dari IDS dan apapun yang menguasai IDS juga menguasai IPS.
Lalu, IPS bersifat mencegah dan IDS bersifat detektif.
PASSWORD
MANAGEMENT
Terlepas dari beraneka-ragamnya keberadaan
sistem dan model keamanan informasi berbasis teknologi yang canggih yang ada di
pasaran, pada tataran penggunaannya – terutama untuk user awam dan kebanyakan –
kata kunci atau yang dikenal sebagai “password” merupakan
pendekatan keamanan yang paling lumrah
dipakai. Mulai dari cara mengoperasikan ATM, internet banking, email account,
dan sistem operasi sampai dengan mengendalikan mobil, mengakses kamera
keamanan, menjalankan robot, dan mengkonfigurasi sistem, password merupakan hal
yang sangat krusial dalam menjaga keamanan hak aksesnya.
System Password yang umum digunakan adalah
“one-way function” menggunakan hash function.
Fungsi hash: fungsi yang menerima masukan string yang
panjangnya sembarang, lalu mentransformasikannya menjadi string keluaran
yang panjangnya tetap (fixed) (umumnya
berukuran
jauh lebih kecil daripada ukuran string semula).
Ada beberapa fungsi hash satu-arah yang sudah dibuat
orang, antara lain:
-
MD2, MD4, MD5,
-
Secure Hash Function (SHA),
-
Snefru,
-
N-hash,
-
RIPE-MD, dan lain-lain
Kelebihan Password
Dengan menggunakan autentikasi menggunkan
password kita memiliki 3 Proses Kelebihan yaitu
1.
Mudah : Dengan
menggunakan password akan mempermudah kita dalam proses autentikasi dan masuk
ke dalam system, Karena kita hanya mengisikan user name dan password. Jika data
yang kita masukkan valid kita akan langsung masuk ke dalam system. Tanpa harus
memalui alat atau proses – proses yang ribet.
2.
Murah : Dengan
menggunakan password kita tidak perlu menggunakan alat – alat lagi seperti
finger print, scanner , barcode dan sebagainya. Kita hanya menyediakan form
Login yang kita buat lewat script bahasa pemrograman. Tanpa Harus membeli alat.
3.
Cepat : Dengan menggunakan password kita langsung
terkoneksi dengan system tanpa dihubungkan dengan suatu alat apapun, sehingga
akan mempercepat proses autentikasinya.
Kelemahan Password
System autentikasi seperti ini tidak aman
apabila kita terkoneksi pada jaringan orang lain men-tap jaringan, salah satunya
menggunakan program sniffer untuk menangkap data, dan akhirnya diperoleh
data username beserta passwordnya
(passive attack). Akibatnya orang ini dapat mengaku sebagai user dan
memperoleh akses seperti halnya user sebenarnya.
Cara Mengatasinya
Untuk mengatasi kelemahan ini dibuatlah sistem
crypto-based authentication. Di sini pengiriman data dilakukan dengan
mengenkrip username dan password yang akan dikirim dengan kunci
tertentu, dan kemudian didekrip di sisi server. Demikian pula halnya
dengan data-data yang dikomunikasikan antara user dan server.
Dengan begitu passive attack dapat
diatasi
karena yang disadap adalah garbage (karena penyerang tidak mengetahui
kuncinya).
Memilih
Password yang Baik
Kriteria
password yang baik sebenarnya cukup sederhana, hanya dibatasi oleh dua syarat,
yaitu:
mudah diingat oleh pemiliknya, dan pada saat yang sama sulit ditebak oleh orang
lain
atau
mereka yang tidak berhak mengetahuinya. Dalam prakteknya, persyaratan tersebut
merupakan
sesuatu yang susah-susah mudah untuk diterapkan. Kebanyakan password yang
mudah
diingat oleh pemiliknya cenderung mudah ditebak oleh orang lain. Sementara
sebuah
password
yang dinilai aman karena sulit diterka oleh mereka yang tidak berhak, cenderung
sulit
diingat oleh yang memilikinya. Oleh karena itulah maka diperlukan suatu teknik
khusus
untuk
memilih password agar di satu pihak aman karena terdiri dari susunan karakter
yang
sulit
ditebak, namun di sisi lain mudah bagi sang pemilik untuk mengingatnya.
Kebiasaan User Membuat password dari :
Birth date
Social Security Number
Children’s name
Name of favorite artist
Word from dictionary
Word Spell Backwords
Kriteria Password Ideal
Password
yang baik disarankan memiliki sejumlah karakteristik sebagai berikut:
Terdiri dari minimum 8 karakter – dimana pada
prinsipnya adalah makin banyak
karakternya
semakin baik, direkomendasikan password yang relatif aman jika terdiri
dari
15 karakter;
Pergunakan campuran secara random dari
berbagai jenis karakter, yaitu: huruf besar,
huruf
kecil, angka, dan simbol;
Hindari password yang terdiri dari kata yang
dapat ditemukan dalam kamus bahasa;
Pilih password yang dengan cara tertentu
dapat mudah mengingatnya; dan
Jangan pergunakan password yang sama untuk
sistem berbeda.
Dalam menentukan password tersebut,
ada sejumlah hal yang sebaiknya dihindari karena
karakteristik password berikut ini
telah banyak “diketahui” variasinya oleh para kriminal,
yaitu:
Jangan menambahkan angka atau simbol setelah
atau sebelum kata-kata yang biasa
dikenal,
seperti: pancasila45, nusantara21, 17agustus45, dan lain-lain;
Jangan menggunakan pengulangan dari
kata-kata, seperti: rahasiarahasia, racunracun,
ayoayoayo,
dan lain-lain;
Jangan hanya membalikkan karakter dari sebuah
kata yang lazim, seperti: gnudih,
adamra,
kumayn, dan lain-lain;
Jangan merupakan sebuah kata yang dihilangkan
huruf vokalnya, seperti: ndns (dari
kata
‘indonesia’), pncsl (dari kata ‘pancasila’), pnsrn (dari kata ‘penasaran’), dan
lainlain;
Jangan menggunakan susunan karakter yang
merupakan urutan penekanan pada
tombol-tombok
keyboard, seperti: qwerty, asdfghjk, mnbvcxz, dan lain-lain; dan
Jangan hanya sekedar menggantikan karakter
huruf dengan angka seperti halnya
nomor
cantik pelat mobil tanpa melakukan sejumlah improvisasi, seperti: s3l4m4t,
g3dungt1ngg1,
5ul4we5i, dan lain-lain.
Teknik
Membuat Password
Berdasarkan
prinsip-prinsip yang telah dipaprkan sebelumnya, berikut adalah sejumlah trik
dalam
mendesain atau menentukan password yang baik. Ada sejumlah pendekatan yang
dipergunakan,
yang pada intinya bertumpu pada bagaimana cara mengingat sebuah password
yang
aman.
Trik
#1: Berbasis Kata
Katakanlah
Donny seorang pemain basket ingin menentukan sebuah password yang aman
dan
sekaligus mudah diingat. Hal-hal yang dilakukannya mengikuti langkah-langkah
sebagai
berikut:
1.
Memilih sebuah kata yang sangat kerap didengar olehnya dalam kapasistasnya
sebagai
pemain basket, misalnya adalah: JORDAN.
2.
Merubah huruf “O” dengan angka “0” dan merubah huruf “A” dengan angka “4”
sehingga
menjadi: J0RD4N.
3.
Merubah setiap huruf konsonan kedua, keempat, keenam, dan seterusnya menjadi
huruf
kecil, sehingga menjadi: J0rD4n.
4.
Memberikan sebuah variabel simbol tambahan di antaranya; karena Donny terdiri
dari
5
huruf, maka yang bersangkutan menyelipkan suatu variabel simbol pada urutan
huruf
yang kelima, menjadi: J0rD %4n.
Trik
#2: Berbasis Kalimat
Ani
adalah seorang karyawan perusahaan yang memiliki hobby bernyanyi, untuk itulah
maka
yang
bersangkutan akan menggunakan kegemarannya tersebut sebagai dasar pembuatan
password
aman yang mudah diingat. Berikut adalah urutan pelaksanaannya:
1.
Mencari kalimat pertama sebuah lagu yang disenangi, misalnya adalah:
“Terpujilah
Wahai
Engkau Ibu Bapak Guru, Namamu Akan Selalu Hidup Dalam Sanubariku”,
dimana
kumpulan huruf pertama setiap kata akan menjadi basis password menjadi:
TWEIBGNASHDS.
2.
Ubahlah setiap huruf kedua, keempat, keenam, dan seterusnya menjadi huruf
kecil,
sehingga
menjadi: TwEiBgNaShDs.
3.
Untuk sisa huruf konsonan, ubahlah menjadi angka, seperti: Tw3i8gNa5hDs.
4.
Kemudian untuk huruf kecil, ubahlan dengan simbol yang mirip dengannya: Tw3!
8gN@5hDs.
Kedua
trik di atas hanyalah sejumlah contoh pendekatan yang dapat dipergunakan oleh
siapa
saja
yang ingin menentukan atau menyusun password yang mudah diingat dan relatif
aman
seperti
yang disyaratkan dalam paparan terdahulu.
Teknik Mencuri Password
Password
Cracker
Adanya
program-program pembobol password (password cracker) sangat berbahaya karena
bisa
dipakai
untuk merusak, tetapi juga mendidik agar setiap orang selalu teliti dan
perhatian terhadap
hal
yang dimilikinya. Prinsip program ini adalah melakukan coba dan mencoba.
Program
pembobol
tersebut sangat mudah didapat/download dari internet, seperti tools: Hades,
Claymore,
Cain,
PWLFind, LopthCrack, ScanNT, NTCrack, Password NT, Brutus, Crack, Crackerjack,
Viper,
John The Ripper, Hellfire, Guess, dan masih banyak lagi yang bergentayangan dan
terus
bertambah
canggih. Setelah mendapatkan nama atau nomor user id, akan dicoba untuk
mendapatkan
’pasangannya’ dengan beberapa metode, di antaranya:
Dictionary
Attack
Mengambil
perbendaharaan kata dari kamus (dictionary). Pemecahan password dilakukan
melalui
uji coba kata atau kalimat yang dikumpulkan dari berbagai sumber. Karenanya,
akan
sangat
berisiko jika sobat memilih password dari kata-kata umum, termasuk juga istilah
populer,
nama,
kota, atau lokasi. Seperti: bandung, jakarta, cihampelas, dsb. Mencocokkan kata
sandi
dengan
isi kamus dari A-Z bukan hal yang sulit. Jika beruntung! Semakin cepat
kemampuan
komputer,
akan semakin singkat menemukan kecocokan.
Hybrid
Attack
Teknik
ini mengandalkan beberapa algoritma heuristic, seperti menambahkan angka atau
perkataan
di belakang atau di depannya, membaca dari belakang (terbalik), dan cara-cara
unik
lainnya.
Sang cracker mengumpulkan segala informasi tentang calon korbannya. Kemudian
dijadikan
bahan kombinasi, sering dijumpai penggunaan password, seperti nama user-nya
kemudian
hanya ditambah tahun lahir atau tahun sekarang, contoh: yunus78 atau agus2006
Brute
Force Attack
Cara
terakhir ini cukup jitu, hanya kelemahannya adalah terlalu banyak waktu yang
dihabiskan.
Apalagi,
jika pin password yang ditebak cukup panjang dan merupakan perpaduan dari
banyak
karakter.
Dengan memakai teknik ini, setiap karakter dalam keyboard, seperti: huruf dari
a-z, A-Z,
dan
0-9, serta ASCII character akan dikombinasikan satu per satu sampai mendapatkan
jawabannya.
Ilustrasi
praktis dalam mencari kombinasi password adalah dengan rumus berikut ini.
A
= b ^ c
Keterangan
:
a
= Jumlah kombinasi password
b
= Jumlah karakter yang dipersyaratkan
c
= Jumlah karakter password yang harus ditebak
^
= Pangkat
Contoh:
Password
yang ditebak terdiri atas angka, berarti karakternya hanya 10
(1,2,3,4,5,6,7,8,9,0)
Jumlah
atau panjang karakter passwordnya = 6, misalnya (050679)
Maka
dipastikan password tersebut bagian dari:
10
^ 6 = 1.000.000 kombinasi
Bisa
dibayangkan, berapa waktu yang dihabiskan jika karakter kombinasi password-nya
terdiri
atas
alpha-numerik dan karakter spesial lainnya, ditambah lagi dengan panjang
karakternya. Hal
itu
akan membutuhkan banyak sekali kemungkinan kombinasi. Dan pasti membutuhkan
komputer
untuk men-generate kombinasi serta mencocokkanya satu per satu dalam waktu
berjam-jam,
berhari-hari, bahkan berbulan-bulan.
Sumber :
