Pengertian Autentikasi
Authentification
adalah proses dalam rangka validasi user pada saat memasuki sistem,
nama dan password dari user di cek melalui proses yang mengecek langsung
ke daftar mereka yang diberikan hak untuk memasuki sistem tersebut.
Autorisasi ini di set up oleh administrator, webmaster atau pemilik
situs (pemegang hak tertinggi atau mereka yang ditunjuk di sistem
tersebut. Untuk proses ini masing-masing user akan di cek dari data yang
diberikannya seperti nama, password serta hal-hal lainnya yang tidak
tertutup kemungkinannya seperti jam penggunaan, lokasi yang
diperbolehkan.
Autentikasi
adalah suatu langkah untuk menentukan atau mengonfirmasi bahwa
seseorang (atau sesuatu) adalah autentik atau asli. Melakukan
autentikasi terhadap sebuah objek adalah melakukan konfirmasi terhadap
kebenarannya. Sedangkan melakukan autentikasi terhadap seseorang
biasanya adalah untuk memverifikasi identitasnya. Pada suatu sistem komputer, autentikasi biasanya terjadi pada saat login atau permintaan akses.
Selain
itu authentification juga merupakan salah satu dari banyak metode yang
digunakan untuk menyediakan bukti bahwa dokumen tertentu yang diterima
secara elektronik benar-benar datang dari orang yang bersangkutan dan
tak berubah caranya adalah dengan mengirimkan suatu kode tertentu melaui
e-mail dan kemudian pemilik e-mail mereplay email tersebut atau
mengetikan kode yang telah dikirimkan.
Authentication
server berfungsi untuk mengenali user yang berintegrasi ke jaringan dan
memuat semua informasi dari user tersebut, dalam praktek biasanya
authentification server mempunyai backupp yang berfungsi untuk menjaga
jika server itu ada masalah sehingga jaringan dan pelayanan tidak
terganggu.
Dalam
aplikasi Web dibutuhkan mekanisme yang dapat melindungi data dari
pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web yang
berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota
keluarga. Mekanisme ini dapat diimplementasikan dalam bentuk sebuah
proses login yang biasanya terdiri dari tiga buah tahapan yaitu :
identifikasi, otentikasi dan otorisasi
Proses
otentifikasi pada prinsipnya berfungsi sebagai kesempatan pengguna dan
pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus
mampu memberikan informasi yang dibutuhkan pemberi layanan untuk berhak
mendapatkan resourcenya. Sedang pihak pemberi layanan harus mampu
menjamin bahwa pihak yang tidak berhak tidak akan dapat mengakses
resource ini.
Metode-Metode Autentikasi
Autentikasi
bertujuan untuk membuktika siapa anda sebenarnya, apakah anda
benar-benar orang yang anda klaim sebagai dia (who you claim to be). Ada
banyak cara untuk membuktikan siapa anda.
Metode autentikasi bisa dilihat dalam 4 kategori metode:
a. Something you know
Ini
adalah metode autentikasi yang paling umum. Cara ini mengandalkan
kerahasiaan informasi, contohnya adalah password dan PIN. Cara ini
berasumsi bahwa tidak ada seorangpun yang mengetahui rahasia itu kecuali
anda seorang.
b. Something you have
Cara
ini biasanya merupakan faktor tambahan untuk membuat autentikasi
menjadi lebih aman. Cara ini mengandalkan barang yang sifatnya unik,
contohnya adalah kartu magnetic/smartcard, hardware token, USB token dan
sebagainya. Cara ini berasumsi bahwa tidak ada seorangpun yang memiliki
barang tersebut kecuali anda seorang.
c. Something you are
Ini
adalah metode yang paling jarang dipakai karena faktor teknologi dan
manusia juga. Cara ini menghandalkan keunikan bagian-bagian tubuh anda
yang tidak mungkin ada pada orang lain seperti sidik jari, suara atau
sidik retina. Cara ini berasumsi bahwa bagian tubuh anda seperti sidik
jari dan sidik retina, tidak mungkin sama dengan orang lain.
d. Something you do
Melibatkan bahwa setiap user dalam melakukan sesuatu dengan cara yang berbeda. Contoh : Penggunaan analisis suara (voice recognation), dan analisis tulisan tangan.
Ada beberapa metode untuk melakukan autentikasi, salah satunya dan yang paling umum adalah menggunakan password. Metode
autentikasi dengan menggunakan password statis adalah yang paling
banyak digunakan. Tetapi jika user menggunakan password yang sama
(password statis) beberapa kali untuk masuk ke dalam suatu sistem,
password tersebut akan menjadi rentan terhadap sniffer jaringan. Salah
satu bentuk serangan ke sistem komputer jaringan adalah seseorang
mencoba masuk ke dalam suatu koneksi jaringan untuk mendapatkan
informasi autentikasi, seperti ID login dan password yang berbeda setiap
kali user akan masuk ke sistem. Sistem autentikasi One Time Password
(OTP) dibuat untuk mengatasi serangan seperti diatas.
Untuk
menghindari pencurian password dan pemakaian sistem secara illegal,
akan bijaksana bila jaringan kita dilengkapi sistem password sekali
pakai. Cara penerapan sistem password sekali pakai yaitu dengan cara:
- Menggunakan sistem perangko terenkripsi. Dengan cara ini, password baru dikirimkan setelah terlebih dulu dimodifikasi berdasarkan waktu saat itu.
- Menggunakan sistem challenge-response (CR), dimana password yang kita berikan tergantung challenge dari server. Dapat dianalogikan kita menyiapkan suatu daftar jawaban/response yang berbeda bagi pertanyaan/challenge yang diberikan oleh server. Untuk menghafal sekian banyak password bukanlah mudah, sehingga akan lebih mudah jika yang dihafal itu adalah aturan untuk mengubah challenge yang diberikan menjadi response (jadi tidak random). Misalnnya aturan kita adalah : “kapitalkan huruf kelima dan hapus huruf keempat”, maka password yang kita berikan adalah MxyPtlk1W2 untuk challenge sistem Mxyzptlk1W2.
Faktor-Faktor Autentikasi
Tiga jenis faktor autentikasi yang umum digunakan adalah:
a. Sesuatu yang diketahui oleh pengguna Contoh: password, passphrase, dan PIN (Personal Identification Number)
b. Sesuatu yang dimiliki oleh pengguna Contoh: ID card, kartu kredit, telepon seluler, dan perangkat token
c. Sesuatu yang ‘ada’ pada pengguna Contoh: sidik jari, DNA, suara, pola retina,
atau aspek biometrik lain.
Sedangkan, beberapa faktor autentikasi lain yang lebih jarang digunakan adalah:
a. Berbasis pengenalan (recognition)
atau autentikasi cognometric, yaitu sesuatu yang dikenal oleh pengguna
Contoh: Pengguna harus mengenali dari beberapa wajah yang dirahasiakan.
b. Berbasis cybermetric,
yaitu sesuai yang ada pada komputer Contoh: Membatasi akses hanya dari
komputer yang memiliki kombinasi unik hardware dan software tertentu.
c.
Berbasis lokasi Contoh: Membatasi penggunaan ATM atau kartu kredit
hanya pada cabang tertentu, membatasi login root hanya dari terminal
tertentu.
d. Berbasis waktu Contoh: Membatasi penggunaan sebuah account hanya pada waktu tertentu, misalnya jam kerja.
e. Berbasis ukuran Contoh: Membatasi terjadinya transaksi hanya pada sejumlah tertentu saja.
Proses Autentikasi
Setiap aplikasi memiliki ApplicationID. ApplicationID tersebut harus telah terdaftar di authentication server. ApplicationID sendiri didaftarkan secara manual oleh system administrator ke
dalam Autentikasi server. Perancangan proses pendaftaran ApplicationID
dapat dilihat pada bab perancangan. Gambar dibawah ini menunjukkan
bagaimana MEZO bekerja.
Berikut penjelasan dari gambar diatas:
Aplikasi
yang membutuhkan data dari Sistem Informasi Nilai(SIN), terlebih dahulu
sistem harus memiliki RegisterID1. Untuk mendapatkan RegisterID,
aplikasi harus mengirimkan ApplicationIDnya ke authentication server. Jika ApplicationID yang dikirimkan telah terdaftar di authentication server, maka authentication server akan
mengirimkan RegisterID ke aplikasi. Jika tidak terdaftar, koneksi akan
diputuskan dan aplikasi tidak berhak melakukan akses ke SIA. Jika
aplikasi mencoba hingga 3(tiga) kali untuk autentikasi dan gagal, Internet Protocol
(IP) dari aplikasi ini akan di blok, tidak bisa melakukan proses
autentikasi. Aplikasi dari IP yang sama bisa kembali melakukan
autentikasi jika sudah di-enable kembali IP-nya oleh system administrator. Web services digunakan pada proses request-response RegisterID yang dilakukan pada proses autentikasi.
Setelah
mendapatkan RegisterID, RegisterID bersamaan dengan ApplicationID, dan
data 2 kemudian dikirim oleh Aplikasi ke SIN untuk mendapatkan
informasi. Ketika request diterima, SIN akan mencatat waktu penerimaan dan
mengecek apakah RegisterID dan ApplicationID yang diterima telah terdaftar di Application Server.
1 RegisterID menandakan aplikasi tersebut diberikan izin
pada saat itu berhak mendapatkan informasi dari SIA
sampai kurun waktu tertentu
2 Data merupakan data yang dibutuhkan untuk mendapatkan
informasi yang diinginkan dari SIN.
Jika valid, authentication server akan mengirim balik status “OK” yang menandakan bahwa RegisterID dan ApplicationID tersebut valid dan lama waktu (time)
yang diperbolehkan aplikasi mengakses informasi di SIN. Jika salah satu
atau kedua-duanya antara RegisterID dan ApplicationID tidak terdaftar
di authentication server maka akan dikirim status “Not Registered” dan aplikasi tidak mendapatkan informasi dan koneksi diputuskan.
Tidak ada komentar:
Posting Komentar