Authentication Methods

            Pemahaman akan authentication dan authorization sangat penting karena semua proses security berpusat pada dua hal itu. Banyak orang yang masih bingung dengan kedua istilah penting itu. Banyak yang mengira bahwa authentication dan authorization itu sama, padahal keduanya sangat berbeda. Salah satu tujuan dari security adalah menjamin agar resource hanya boleh diakses oleh orang yang berhak dan orang yang berhak itu bisa mengakses resource tanpa halangan.

Bayangkan dalam satu pesawat umum terdapat dua kelas penumpang, yaitu kelas VIP dan kelas ekonomi. Prosedur dan proses security harus menjamin agar penumpang menempati tempat duduk sesuai haknya. Untuk itu penumpang harus menunjukkan bukti berupa tiket yang di situ tertera namanya. Kemudian dari daftar penumpang pramugari akan tahu bahwa anda berhak duduk di kelas VIP atau ekonomi. Bila anda memegang tiket ekonomi mencoba duduk di kelas VIP maka pramugari akan menolak anda. Apalagi bila anda tidak memegang tiket, mencoba naik pesawat itu, sudah pasti anda akan ditendang.

Authentication: Proof That You are Who You Claim to Be

Sebelum bisa memberikan layanan kepada pengguna, penyedia layanan perlu tahu siapa anda. Jika anda menyatakan bahwa anda adalah Tukul Arwana, maka buktikanlah bahwa anda memang Tukul. Proses membuktikan siapa anda (identitas) inilah yang disebut authentication. Bila authentication berhasil, maka akan terjalin hubungan trust antara pemberi layanan dan pengguna layanan.

Salah satu bukti identitas yang bisa diterima adalah informasi rahasia. Logikanya adalah bila ada orang yang bisa menyebutkan suatu rahasia yang tidak mungkin orang lain tahu kecuali Tukul, maka saya akan yakin bahwa orang itu adalah benar-benar Tukul.

Bukti identitas lain yang bisa diterima adalah sesuatu yang unik, hanya dimiliki oleh satu orang saja di seluruh dunia. Logikanya adalah bila ada orang yang membawa barang yang hanya mungkin dimiliki Tukul, maka saya akan yakin bahwa dia adalah benar-benar Tukul. Dalam film kungfu cina biasanya pejabat utusan Kaisar akan membawa stempel kerajaan. Stempel ini adalah metode authentication yang sangat ampuh. Siapa saja yang memegang stempel itu otomatis identitasnya dijamin sebagai utusan kaisar.

Metode authentication yang berbasis pada kerahasiaan informasi adalah:

  • Password/PIN: Hanya pemiliknya yang tahu password/pin.
  • Digital Certificate: Berbasis pada asymmetric cryptography yang mengandung informasi rahasia yaitu private key.
  • Private Key: Hanya pemiliknya yang tahu private key, orang lain hanya tahu public key.

Sedangkan metode authentication yang berbasis pada keunikan adalah:

  • Retina: Tidak mungkin ada 2 orang yang pola retinanya sama.
  • Fingerprint: Tidak mungkin ada 2 orang yang sidik jarinya sama.
  • Paspor: Hanya pemiliknya yang bisa menunjukkan foto di paspor sesuai dengan wajahnya.
  • Tandatangan: Hanya pemiliknya yang bisa menuliskan tandatangan dengan sempurna.

Setelah terjalin hubungan trust, selanjutnya layanan apa yang bisa dinikmati pengguna tergantung dari proses authorization.

Authorization: What are You Allowed to Do

Authorization adalah proses menentukan apa sajakah layanan yang bisa dinikmati pengguna yang telah jelas identitasnya (authenticated user). Jadi sebelum ada authorization, harus melalui proses authentication. Identitas yang telah dibuktikan di proses authentication menjadi dasar untuk menentukan layanan yang berhak dinikmati seorang pengguna.

Logikanya adalah tanpa mengetahui siapa anda, saya tidak tahu apa saja yang boleh dan tidak boleh untuk anda. Jadi tanpa authentication tidak ada authorization. Contohnya setelah saya tahu anda adalah Tukul Arwana, maka saya tahu anda boleh memandu acara empat mata, dan tidak boleh memandu di acara Dorce Show. Biasanya pengguna yang tidak ter-otentikasi (anonymous guest) tetap bisa menikmati layanan, namun dengan akses yang sangat terbatas.

 

Hubungan antara client,server,authentication dan authorization system bisa dilihat pada gambar di atas. Client sebelum bisa menikmati layanan server harus melalui proses authentication. Setelah authentication berhasil akan terjalin hubungan trust antara client dan server sehingga cukup sekali saja authentication sampai client logout/keluar. Selanjutnya setiap ada permintaan layanan, server akan menghubungi system authorization untuk menentukan apakah client tersebut berhak atas layanan yang dimintanya.

Authentication dan authorization adalah kunci untuk mendapatkan akses kepada resources corporate – banyak jenis authentication method yang bisa diadopsi dengan keuntungan dan kerugiannya

Dalam suatu infrastructure jaringan business atau corporasi yang berskala menengah dan besar , perhatian terhadap perlindungan asset corporate yang berupa informasi begitu besarnya. Keamanan terhadap segala macam ancaman jaringan maupun ancaman dari internet adalah yang paling utama. Adanya manajemen keamanan terhadap informasi adalah seuatu keharusan, yang merupakan framework, procedure, kebijakan dan lain-2 yang tujuannya adalah keamanan total terhadap asset informasi. Salah satu pintu masuk kompromi keamanan adalah mendapatkan akses melalui authentication dan authorization.

Authentication adalah proses dimana seorang user (melalui berbagai macam akses fisik berupa komputer , melalui jaringan , atau melalui remote access ) mendapatkan hak akses kepada suatu entity (dalam hal ini jaringan suatu corporate). Seorang user melakukan logon kedalam suatu infrastruckture jaringan dan system mengenali user ID ini dan menerimanya untuk kemudian diberikan akses terhadap resources jaringan sesuai dengan authorisasi yang dia terima.

Authorization adalah proses penentuan apakah user tersebut diijinkan / ditolak untuk melakukan satu atau beberapa action atau akses terhadap resources tertentu dalam system. User logon terhadap system dengan menggunakan user-ID dan password, kemudian system mengenalinya dan user mendapatkan akses atau ditolak terhadap suatu resource system tertentu.

Authentication

Ada banyak method yang berbeda yang bisa digunakan untuk melakukan user authentication, diantaranya adalah seperti berikut ini.

User name and password Authentication

Kebanyakan system operasi dan server Web mempunyai beberapa jenis system authentication dengan menggunakan user-name dan password. Kebanyaka system ini mempunyai beberapa jenis mekanisme untuk memanaje architecture user-name dan password – seperti account expiration (kadaluarsa account), password expiration, panjang password minimum, dan atau kualitas password (perpaduan capital, angka, symbol). Metoda inilah yang banyak dipakai dalam hampir sebagian besar web-pages di internet. Lihat petunjuk masalah password .

keuntungan

  • Gampang diimplementasikan dan di manage
  • Murah – banyak tersedia dengan hampir sebagian besar system operasi dan web-pages.
  • Hanya memerlukan pelatihan sebentar saja untuk user

 

Kerugiannya

  • User name dan password dikirim dalam bentuk clear text untuk authentication dasar (walau tidak semua kasus dan SSL dapat meng-inkripsi pada level network)
  • User name dan password rentan terhadap serangan password dictionary
  • Pada internet, user bisa mempunyai banyak user-name dan password yang berbeda-beda yang hanya bikin pusing untuk mengingatnya.

Certificates Authentication

User certificate bisa digunakan oleh end-user untuk menjamin identitas mereka. Akses terhadap certificate normalnya dikendalikan oleh sebuah password yang local terhadap certificate. Banyak company sudah mulai memanfaatkan dan mengimplementasikan user certificate dalam jaringan internal mereka.

Keuntungan / Advantages

  • Certificate menyatu terhadap user
  • Kemampuan meng-inkripsi data dan melakukan signature digital terhadap message.
  • Didukung hampir sebagian besar browser dan paket email.
  • Menawarkan beberapa mekanisme solusi single sign-on
  • Kebal terhadap serangan dictionary
  • Mengijinkan roaming user, yaitu user pindah dari satu lokasi ke lokasi lainnya (hanya jika vendor anda mendukung fitur ini)
  • Dapat meng-inkrip data, e-mail, dan sign hanya dengan satu certificate saja (sesungguhnya akan lebih baik untuk membedakan certificate untuk signing dan inkryption

Kerugian / Disadvantages

  • Mahal – jika mengimplementasikan suatu PKI (public key infrastructure)
  • Pelatihan user yang extensive
  • Memerlukan stuktur support
  • Roaming users, yaitu users berpindah dari satu lokasi ke lokasi lainnya (dimana tidak semua vendor mendukung fitur ini – akan tetapi hal ini menjadi lebih bagus)

Biometric techniques Authentication

System authentication Biometric menggunakan piranti semacam sidik jari atau scanner mata untuk mendapatkan akses. Jenis authentication ini mempunyai tingkat keamanan yang sangat tinggi untuk lingkungan berresiko tinggi dengan membatasi dan mengendalikan akses kepada system yang sangat sensitive seperti instalasi militer. Dengan method ini membatasi user lain menggunakan semacam user-name dan password orang lain.

Advantages

  • Authentication berupa orang – yang sangat sulit untuk diserupakan
  • Directory attacks adalah hampir tidak mungkin
  • Menawarkan solusi mekanisme single sign-on
  • Disadvantages
  • Tidak semua vendor mendukung technology biometric ini. Tetapi beberapa jenis laptop sudah banyak menggunakan teknologi sidik jari ini untuk authenticasi logon.
  • Imlementasinya sangat mahal, terkecuali diproduksi dalam jumlah masal.

Smart cards Authentication

Suatu authenticasi Smart Card adalah mirip kartu kridit yang mempunyai chip sirkuit (IC) tertempel didalam kartu smart ini. Smart card bisa menyimpan semua jenis informasi, yang bisa ditransfer melalui interface electronic yang terhubung melalui sebuah komputer.

Smart card ini bisa menyimpan informasi tentang siapa anda dan dan kunci cryptography dan melakukan algoritme cryptography semacam inkripsi. Akses terhadap smart card dikendalikan melalui suatu PIN atau suatu password. Akses semacam ini banyak digunakan dalam akses pintu area dengan tingkat keamanan yang sangat tinggi seperti dalam instalasi militer, bank, atau goldroom.

Keuntungan / Advantages

  • Gampang menggabungkan kartu ini dengan orang
  • Card ii bisa menyimpan informasi kunci dan informasi lainnya tentang user.
  • Jika kunci juga dimasukkan, maka akan mudah melakukan inkripsi data dan email.
  • Pelatihan user tentang teknologi ini mudah dilakukan.
  • Solusi yang bagus untuk roaming user; certificate bisa dengan mudah ditransport kedalam

Kerugiannya / Disadvantages

  • Sangat mahal, walau technology semacam ini harganya menurun.
  • Masih juga rentan digunakan oleh user lain yang tidak berhak – istilahnya tailgating
  • Memerlukan system support dan memerlukan hardware tambahan kedalam komputer.

Anonymous Authentication

Suatu user anonymous adalah metoda untuk memberikan akses user terhadap file sehingga tidak memerlukan identifikasi user terhadap server. user memasukkan anonymous sebagai user ID. Metoda ini umum dipakai untuk mendapatkan akses terhadap server untuk hanya sekedar melihat / membaca dan download file yang disediakan untuk umum.

Dengan penggunaan anonymous hal ini dimaksudkan sebaghai metoda authentication dan sekaligus authorization. Pastikan anda menyadari bahwa dengan control anonymous, berarti anda memberikan akses authentication dan authorization sekaligus. Tapi pastikan bahwa anonymous bukan menjadi setting default anda, hal ini sangat berbahaya. Pastikan bahwa data yang mestinya harus mendapatkan access khusus, jangan dibuka untuk umum dengan memberikan control anonymous.

Advantages / Keuntungan

  • Mudah diimplementasikan
  • Sedikit dan bahkan tidak memerlukan training user
  • Memberikan kemampuan melakukan transaksi aman tanpa harus memberikan / meregister user-name dan password. Bagaimana mungkin? Pernahkan anda membeli barang online seperti di Amazon? Tidak semua company meminta anda membuat suatu account. Yang anda perlukan adalah memberikan nomor credit card – dan pastikan lewat secure channel seperti SSL (https) atau semacam Paypall.

Disadvantages / Kerugian

  • Jelas bahwa tidak ada sangkut pautnya terhadap user tertentu. Konsequensinya anda tidak tahu siapa yang mengakses data.
  • Tidak bisa memblokir berdasarkan user
  • Mempunyai potensi serangan spam, dimana bakal banyak sampah masuk ke site anda.
  • Tidak ada logging atau audit trail

 

Tentang Elsipuspitasari97842

Nama : Elsi Puspita Sari Nim//BP : 97842 Jurusan : Elektronika Prodi : Pendidikan Teknik Informatika Komputer
Pos ini dipublikasikan di Uncategorized. Tandai permalink.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s