Saat ini, istilah password sudah sangat meluas dan mendunia. Di jaman yang serba digital ini, password sangatlah penting karena password masih merupakan kunci utama untuk kebanyakan sistem atau aplikasi yang berhubungan dengan komputer. Selain itu, password dibutuhkan karena ada sesuatu yang sifatnya confidential. Password digunakan sebagai salah satu otentikasi yang diketahui oleh pemakai. Untuk itu, biasanya sebelum kita masuk atau ingin membuka sesuatu yang bersifat pribadi, alangkah baiknya jika ada otentikasi dahulu. Hal-hal yang biasanya menggunakan password adalah
login untuk masuk ke sebuah aplikasi, email, messenger, operating system, database, dokumen, USB dan hal-hal lain yang memiliki informasi bernilai tinggi. Oleh karena itu, untuk mendapatkan informasi yang bernilai tersebut banyak orang melakukan berbagai macam cara untuk menembus password, hal ini sering dinamakan hacking. Semakin kuat sistem keamanan informasi yang digunakan, semakin canggih pula teknik hacking yang digunakan. Salah satunya adalah dengan cara Brute Force Attack. Dengan cara ini, dapat diestimasi berapa lama waktu yang dibutuhkan untuk mendapatk an password yang diinginkan. Semakin panjang dan bervariasi password yang digunakan, semakin lama waktu yang dibutuhkan untuk memperolehnya. Untuk menghindari hal tersebut terjadi, para pengguna password seharusnya mengerti kebijakan password (policy) dan mengetahui password seperti apa yang dapat dikatakan baik dan kuat, karena password digunakan untuk mengamankan suatu informasi.
Password / Kata Sandi
Pengertian Password adalah suatu bentuk dari data otentikasi rahasia yang digunakan untuk mengontrol akses ke dalam suatu sumber informasi. Password akan dirahasiakan dari mereka yang tidak diijinkan untuk mengakses, dan mereka yang ingin mengetahui akses tersebut akan diuji apakah layak atau tidak untuk memperolehnya. Walaupun de mikian, password bukan berarti suatu bentuk kata-kata; tentu saja password yang bukan suatu kata yang mempunyai arti akan lebih sulit untuk ditebak. Sebagai tambahan, password sering digunakan untuk menggambarkan sesuatu yang lebih tepat disebut pass phrase. Password kadang-kadang digunakan juga dalam suatu bentuk yang hanya berisi angka (numeric); salah satu contohnya adalah Personal Identification Number (PIN). Password umumnya cukup pendek sehingga mudah untuk diingat. Perkembangan otentikasi password ini dapat dilihat dengan contoh-contoh dari kelemahan, sistem yang mudah dibahayakan, yang kebanyakan masih digunakan sampai saat ini. Dibawah ini akan diperlihatkan beberapa kategori utama dari sistem otentikasi password , bersamaan dengan beberapa contoh implementasi yang mengilustrasikan kekurangan masing-masing:
1) Otentikasi Lemah (Weak Authentication) Secara umum, sistem dengan otentikasi yang lemah dicirikan dengan protokol yang memiliki kebocoran password langsung diatas jaringan atau membocorkan informasi yang cukup untuk diketahui ‘penyerang’ sehingga password dapat dianalisis dan ditebak.
- Cleartext Passwords Metode otentikasi yang paling tidak aman adalah menyimpan password pada database di suatu tempat di server. Selama otentikasi, user mengirim password langsung ke server dan server akan membandingkan dengan password yang ada di server. Masalah keamanan disini sangat jelas terlihat.
- Hashed Passwords Password pengguna dapat dijalankan melalui suatu fungsi one-way hash , dimana dapat mengubahnya ke dalam urutan byte secara acak. Sebagai fungsi ini akan lebih susah dikembalikkan: lebih mudah mengubah password menjadi hash daripada hash menjadi password. Otentikasi terdiri dari menjalankan fungsi hash ketika passwo rd diketik dan membandingkannya dengan password yang telah disimpan. Sistem seperti ini masih digunakan sampai sekarang pada sistem utama UNIX.
- Challange-Response Untuk menghindari kemunculan password secara langsung pada jaringan yang tidak terpercaya, dibuatlah sistem challange-response. Server akan mengirim beberapa challange, yang mencirikan beberapa string pendek secara acak. Sayangnya, sistem challange-response sudah tidak mampu lagi mengimbangi aplikasi jaringan modern.
2) Otentikasi Kuat (Strong Authentication) Walaupun enkripsi yang baik sudah ada sejak beberapa dekade yang lalu, pengembangan dari otentikasi protokol langsung yang kuat baru dimulai tahun 1990 dengan publikasi dari “EKE family of algorithms”.
- EKE Merupakan keluarga protokol yang terdiri dari simetrik dan public-key cryptosystems untuk melakukan otentikasi password. Untuk pertama kalinya, protokol dapat menghindari dictionary attacks dan memung-kinkan pemberitahuan secara rahasia tanpa melibatkan pihak ketiga atau key-management.
- DH-EKE, SPEKE EKE yang paling terkenal dan aman, sama dengan protokol pengganti kunci Diffie-Hellman. Sebagai contoh: DH-EKE, adalah EKE yang di-implementasikan menggunakan Diffie-Hellman. Perbedaan yang paling signifikan yaitu pada pertukaran pesan pada DH yang sekarang dienkripsi dengan shared password. Demikian juga dengan SPEKE, yang juga berbasis Diffie-Hellman. Tetapi password sekarang digunakan untuk mempengaruhi pemilihan dari parameter generator di dalam fungsi session-key generation .
- A-EKE Merupakan modifikasi dari EKE, biasa disebut Augmented-EKE; di-mana server dapat menyimpan beberapa yang tidak plaintext-equivalent ke password pengguna. Protokol ini adalah satu-satunya protokol yang sampai saat ini tahan terhadap dictionary attacks dan tidak mempunyai database password yang plaintext-equivalent. Sayangnya, A-EKE mengorbankan kerahasiaan dalam usahanya untuk menghindari plaintext-equivalence.
3) Gangguan Otentikasi (Inconvenient Authentication) Ketidakhadiran otentikasi yang kuat, teknologi otentikasi password yang mudah, membuat para pendesain sistem tahun 1980an mencoba teknik lain untuk menjamin keamanan password. Kebanyakan dari sistem yang ada, tidak sepenuhnya password -based dan sering membutuhkan sesuatu yang lebih pada bagian pengguna, administrator, atau keduanya untuk meng-operasikan secara halus. Ada tiga metode yang dapat dilakukan, yaitu one-time passwords, Kerberos, dan SSH.
Upaya untuk mengamankan proteksi password tersebut antara lain:
a) Salting String password yang diberikan pemakai ditambah suatu string pendek sehingga mencapai panjang password tertentu.
b) One-time Passwords Password yang dimiliki oleh pemakai diganti secara teratur, dimana seorang pemakai memiliki daftar password sendiri sehingga untuk login ia selalu menggunakan password berikutnya. Dengan cara ini pemakai akan menjadi lebih direpotkan karena harus menjaga daftar password tersebut tidak sampai tercuri atau hilang.
c) Satu pertanyaan dan jawaban yang panjang Yang mengharuskan pemakai memberikan satu pertanyaan yang panjang beserta jawabannya, dimana pertanyaan dan jawabannya dapat dipilih oleh pemakai, yang mudah untuk diingat sehingga ia tidak perlu menuliskannya pada kertas. d) Tanggapan-tanggapan Pemakai diberikan kebebasan untuk menggunakan satu atau beberapa algoritma sekaligus.
Password Policy / Kebijakan Pengamanan Kebijakan pengamanan atau yang biasa dikenal dengan password policy adalah sekelompok peraturan yang dibuat untuk meningkatkan keamanan informasi dengan mendorong pengguna untuk memakai password yang kuat dan menggunakannya dengan tepat. Kebijakan pengamanan sering menjadi bagian dari regulasi resmi suatu organisasi. Kebijakan pengamanan dapat dilaporkan atau ditugaskan dengan melakukan berbagai jenis pengujian ke dalam operating system. Kebijaksanaan pengamanan biasanya sederhana dan umum digunakan, dimana setiap pengguna dalam sistem dapat mengerti dan mengikutinya. Isinya berupa tingkatan keamanan yang dapat melindungi data-data penting yang disimpan oleh setiap user. Beberapa hal yang dipertimbangkan dalam kebijaksanaan pengamanan adalah siapa sajakah yang memiliki akses ke sistem, siapa sajakah yang diizinkan untuk menginstall program ke dalam sistem, siapa memiliki data apa, perbaikan terhadap kerusakan yang mungkin terjadi, dan penggunaan yang wajar dari sistem. Dalam Panjang Pengamanan banyak kebijakan yang membutuhkan batas minimal panjang password (password length ), umumnya 6-8 karakter. Beberapa sistem bahkan telah menentukan panjang maksimum yang dapat digunakan.
Formasi Pengamanan
Beberapa kebijakan menyarankan atau menentukan persyaratan dalam menentukan password apa yang dapat digunakan, seperti:
1) Penggunaan karakter uppercase dan lowercase (case sensitivity )
2) Penyisipan satu atau beberapa digit angka
3) Penyisipan karakter-karakter spesial, seperti %, $, ?, &, dll
4) Larangan untuk penggunaan kata-kata yang ada pada kamus
5) Larangan untuk penggunaan tanggal-tanggal yang memiliki makna
Durasi Pengamanan Beberapa kebijakan membutuhkan pengguna untuk mengganti password secara berkala, misalnya 90 atau 180 hari. Hal ini dikenal dengan istilah password duration. Sistem yang mengimplementasikan kebijakan seperti itu terkadang mencegah pengguna dari penggunaan password sebelumnya. Kebijakan seperti ini sering membuat password mudah ditebak. Sulitnya untuk memilih password yang ‘kuat’ dan mudah untuk diingat karena mereka harus menggantinya secara berkala, membuat mereka sering menggunakan password yang ‘lemah’. Hal ini membuat lebih baik untuk menggunakan password yang ‘kuat’ dan dapat digunakan dalam kurun waktu yang lama daripada harus mengubah-ubah password yang mungkin akan sering menggunakan password -nya mudah untuk ditebak. Pengamanan yang ‘Sehat’ Biasa dikenal dengan istilah password hygiene. Kebijakan pengamanan sering termasuk nasehat yang tepat untuk manajemen password, seperti:
a. Tidak menggunakan account computer bersama orang lain
b. Tidak menggunakan password yang sama untuk otentikasi yang berbeda
c. Tidak memberitahukan password kepada orang lain
d. Tidak menulis password disuatu tempat
e. Tidak menginformasikan password lewat telepon, email, dll f. Jangan lupa untuk melakukan logout sebelum meninggalkan komputer
Dalam penggunaan password yang baik ada beberapa cara untuk menjaga keamanan komputer, terutama dalam hal pemakaian password. Password merupakan hal vital dalam proses otentikasi. Penggunaan password yang baik dan efektif seharusnya:
1) Minimal mempunyai panjang 6-8 karakter, yang dikombinasikan dengan karakter angka, simbol atau menggunakan sensitive case.
2) Tidak memiliki maksud atau makna. Password yang memiliki makna relatif mudah untuk ditebak. Jadi penggunaan nama anggota keluarga, alamat, tanggal lahir, dan sejenisnya harus dihindari.
3) Tidak terdiri dari urutan abjad atau angka, misalnya ‘67890’ atau ‘hijklmn’.
4) Sebaiknya diberi periode berlaku. Ini berarti harus sering mengganti password.
5) Jangan gunakan nama login (username) sebagai password dalam bentuk apapun, baik dengan mengganti huruf kapital, dibalik, diulang, dan sebagainya.
6) Jangan menggunakan kata-kata yang umum dan terdapat dalam kamus.
7) Jangan pernah menuliskan password yang Anda pakai di tempat-tempat yang dapat diakses umum.
8) Jangan membuat password yang membuat Anda kesulitan untuk menghafalnya. Buatlah password yang mudah diingat, namun sulit untuk ditebak.
9) Jangan pernah memberitahu password Anda kepada orang lain.
10) Apabila diperlukan, ada baiknya jika menggunakan software atau utilitas tambahan untuk menambah keamanan komputer Anda.
Daftar Pustaka :
- Anderson, Ross. 2001. Social Engineering: A Guide to Building Dependable Distributed System. USA: Wiley Publishing, Inc.
- Beaver, Kevin. 2004. Hacking for Dummies. USA: Wiley Publishing, Inc.
Tidak ada komentar:
Posting Komentar