Metode Autentikasi User pada Sistem Informasi Berbasis Web

Tugas ke IV Mata Kuliah Sistem Informasi Berbasis Web

Oleh : Nama NIM : Ovi Dyantina : 09071003028

Kelas: SI-6B JURUSAN SISTEM INFORMASI FAKULTAS ILMU KOMPUTER UNIVERSITAS SRIWIJAYA PALEMBANG

Daftar Isi
Daftar Isi ......................................................................................................2 I. Autentikasi ................................................................................................3 II. Metode Metode Autentikasi .................................................................6 Refrensi...................................................................................................... 12

I. Auntentikasi
Sekarang ini , teknologi informasi sedang berkembang dengan pesat yang memungkinkan semua orang dapat berkomunikasi dari satu tempat ke tempat lain dengan jarak ribuan kilometer. Data yang dikirimkan itu menggunakan jalur transmisi telekomunikasi yang belum tentu terjamin keamananya. Bila data yang sedang dikirim melalui media transmisi itu dicuri atau diubah oleh penyadap dan cracker untuk kepentingan tertentu. Hal ini sedang menjadi masalah bagi dunia telekomunikasi terutama dalam pengiriman data penting yang memerlukan kerahasiaan tinggi seperti informasi intelijen kemeliteran, keuangan bank, informasi rahasia negara dan informasi penting lainnya. Berkaitan dengan pengamanan beragam kendali yang dibangun pada perangkat keras dan sistem operasi yang handal dan tidak terkorupsi untuk menjaga integritas program dan data. Untuk mengatasi masalah itu digunakan otentikasi untuk melindungi data dan informasi pada sistem komputer, agar tidak digunakan atau dimodifikasi orang yang tidak di otorisasi.bahwa informasi di sistem komputer hanya dapat diakses oleh pihak-pihak yang diotorisasi dan modifikasi tetap menjaga konsistensi dan keutuhan data di sistem. Authentification adalah proses dalam rangka validasi user pada saat memasuki sistem, nama dan password dari user di cek melalui proses yang mengecek langsung ke daftar mereka yang diberikan hak untuk memasuki sistem tersebut. Autorisasi ini di set up oleh administrator, webmaster atau pemilik situs (pemegang hak tertinggi atau mereka yang ditunjuk di sistem tersebut. Untuk proses ini masing-masing user akan di cek dari data yang diberikannya seperti nama, password serta hal-hal lainnya yang tidak tertutup kemungkinannya seperti jam penggunaan, lokasi yang diperbolehkan. Selain itu authentification juga merupakan salah satu dari banyak metode yang digunakan untuk menyediakan bukti bahwa dokumen tertentu yang diterima secara elektronik benar-benar datang dari orang yang bersangkutan dan tak berubah caranya adalah dengan mengirimkan suatu kode tertentu melaui e-mail dan kemudian pemilik email mereplay email tersebut atau mengetikan kode yang telah dikirimkan. Authentication server berfungsi untuk mengenali user yang berintegrasi ke jaringan dan memuat semua informasi dari user tersebut, dalam praktek biasanya authentification

server mempunyai backupp yang berfungsi untuk menjaga jika server itu ada masalah sehingga jaringan dan pelayanan tidak terganggu. Dalam aplikasi Web dibutuhkan mekanisme yang dapat melindungi data dari pengguna yang tidak berhak mengaksesnya, misalnya sebuah situs Web yang berisikan foto-foto keluarga dan hanya dapat diakses sesama anggota keluarga. Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang biasanya terdiri dari tiga buah tahapan yaitu : identifikasi, otentikasi dan otorisasi Proses otentifikasi pada prinsipnya berfungsi sebagai kesempatan pengguna dan pemberi layanan dalam proses pengaksesan resource. Pihak pengguna harus mampu memberikan informasi yang dibutuhkan pemberi layanan untuk berhak mendapatkan resourcenya. Sedang pihak pemberi layanan harus mampu menjamin bahwa pihak yang tidak berhak tidak akan dapat mengakses resource ini. Proses otentikasi dapat dilakukan oleh webserver ataupun PHP. Informasi log on banyak yang dilewatkan sebagai clear text, yang berarti dengan mudah seseorang dapat memperoleh logon credential (user name dan password) orang lain, misalnya pada insecure service seperti pop mail. Namun otentikasi yang baik lebih dari sekedar memvalidasi sumber yang melakukan logon awal, melainkan juga memastikan bahwa setelah logon berhasil, sesi logon ini tidak dibajak orang lain di tengah jalan. Serangan jenis ini dikenal sebagai session hijacking atau man-in-the-middle attack. Autentifikasi Pemakai (user authentification) yaitu proses otentifikasi pemakai seperti : login yaitu proses memasuki sistem, proses ini disebut juga dengan otentifikasi pemakai (user authentification), log off yaitu proses memutuskan atau melepaskan dari suatu sistem computer. Mekanisme ini dapat diimplementasikan dalam bentuk sebuah proses login yang biasanya terdiri dari tiga buah tahapan yaitu :
1. 2.

Identifikasi. Di tahap ini pengguna memberitahukan siapa dirinya Otentikasi. Di dalam tahap ini si pengguna memverifikasi klaimnya user yaitu : 1) sesuatu yang mereka ketahui, contohnya adalah kode PIN dan password; 2) sesuatu yang mereka miliki, contohnya adalah kartu tanda pengenal dan kartu magnetik; 3) sesuatu yang menjadi jatidiri, contohnya data sidik jari dan pindai retina

3. Otorisasi. Pada tahapan terakhir ini jika identifikasi pengguna benar, sistem menyelesaikan proses loginnya dan mengasosiasikan identitas pengguna dan informasi kontrol akses dengan sesi pengguna

II. Metode Metode Autentikasi

Pada server Apache ada beberapa metode yang dipakai dalam mengimplemtasikan mekanisme otentikasi. Pada prinsipnya mekanisme ini dibagi dua jenis yaitu : 1. Otentikasi dasar HTTP (HTTP Basic Authentication) yang dapat menggunakan beberapa media penyimpanan data otentikasi seperti file teks, file database DBM, atau RDBMS (misalnya My SQL ) 2. Otentikasi menggunakan MD5 Digest Dalam melakukan perlindungan terhadap suatu resource, kedua jenis otentikasi di atas menggunakan metode berbasis realm (daerah akses yang dikontrol). Setiap resource baik tunggal maupun jamak yang dilindungi akan mempunyai sebuah nama realm. nama realm dapat dispesifikasikan dalam file konfigurasi dengan menggunakan direktif AuthName. Pengguna yang ingin mengakses resource ini untuk pertama kalinya harus melakukan otentikasi dengan menyertakan nama realm . Pada pengaksesan selanjutnya realm secara implisit akan tercakup dalam URL. Otentikasi dasar HTTP Otentikasi dasar HTTP menggunakan teknik base64-encoding sederhana yang diaplikasikan untuk username dan password sebelum data tersebut ditransfer ke server Otentikasi jenis ini dipakai untuk membatasi akses ke halaman-halaman web dengan berdasarkan kepada : nama host dari browser; password yang dimasukkan oleh user Proses pengontrolan terhadap resource yang dilindungi ini biasanya menggunakan direktif yang dapat dituliskan dalam file konfigurasi httpd.conf secara langsung atau disimpan dalam file .htaccess. Pengguna nama file yang lain dapat dilakukan dengan cara mengeset
direktif AccessFileName

dalam file konfigurasi httpd.conf. Isi dari direktif ini adalah instruksi yang

dipakai oleh Webserver untuk memastikan siapa yang berhak mengakses dan siapa yang tidak berhak mengakses seuatu resource. Dalam contoh ini kita akan menggunakan tersebut. Otentikasi dasar berbasis password Jika seorang pengguna untuk pertama kalinya mencoba mengakses direktori yang dilindungi, maka ia harus terlebih dahulu menuliskan nama dan password ke dalam sebuah form yang muncul dalam bentuk window pop up. Jika nama dan password pengguna ini diizinkan untuk mengakses, maka browser berhak mengakses ke direktori ini selama sisa sesi browsing. Untuk pengguna fasilitas ini, kita harus menuliskan beberapa instruksi ke dalam file.
htaccess file .htAccess

untuk menyimpan instruksi

yang harus disimpan dalam direktori yang akan dilindungi. Sebagai contoh adalah

sebagai berikut :
AuthType Basic AuthName Protected Directory AuthUserFile/usr/local/httpd/.htpasswd require valid-user

Disini setiap kali direktori diakses, Webserver akan melihat ke berada direktori
/usr/local/httpd

file.htpasswd

yang

untuk memastikan apakah browser mempunyai akses atau

htpasswd

tidak. File ini dapat dibuat dengan bantuan program

yang disertakan bersama

Apache. Isi dari file ini kurang lebih baris-baris seperti berikut :
budi:Yq8VgagJ3WXCo

Dimana kolom pertama (sebelum titik dua) adalah nama pengguna dan kolom berikutnya adalah password yang sudah terenkripsi Otentikasi dasar berbasis Host Jenis otentikasi dasar lainnya adalah pembatasan akses berdasarkan host klien. Host dapat berupa nama domain seperti f117.bopmber.org atau alamat IP seperti 172.20.172.10.

contoh dari

file . htaccess

yang hanya mengizinkan host ddengan alamat IP 172.20.172.10.

untuk mengakses direktori adalah seperti berikut ini :

AuthType Basic AuthName Protected Directory AuthUserFile/dev/null order deny,allow deny from all allow from 172.20.172.10

Dukungan otentikasi di atas diimplementasikan oleh modul Apache mod_auth. Untuk menggunakan metode otentikasi yang sama, namun dengan menggunakan media penyimpanan informasi yang otentikasi lain (bukan
mod_auth_dbm_auth_db, file.htpasswd),

dapat digunakan modul

atau mod_auth_mysql.

Otentikasi Digest HTTP Otentikasi yang diimplementasikan dalam modul

mod_auth_digest

ini mempunyai

kelebihan yaitu sistem passwordnya lebih aman dibandingkan dengan otentikasi dasar. Password yang ditulis oleh user akan mengalami proses message digest dengan metode MD5 terlebih dahulu sebelum dikirimkan ke server. Untuk memanfaatkan dukungan ini, di sisi browser harus ada dukungan untuk MD5. Internet Explorer 5.0, Amaya, dan Mozilla mendukung otentikasi digest. Cara menggunakan otentikasi ini cukup sederhana seperti pada otentikasi dasar. Berikut contoh konfigurasi file.httpd.conf untuk menggunakan otentikasi ini:
<Location /private/> AuthType Basic AuthName Protected Directory AuthDigestDomain/private AuthDigestFile/usr/local/httpd/.digestpw require valid-user </Locaton>

Sebagai AuthType digunakan nilai Digest. File yang akan menyimpan nama pengguna dengan passwordnya dapat diset dengan instruksi AuthDigestFile. Pada contoh di atas, nama file ini adalah .digestpw yang berada dalam direktori /usr/local/httpd. File ini dapat dihasilkan dengan bantuan program aplikasi htdigest yang juga disertakan bersama Apache. Contoh isi dari file adalah seperti berikut :

budi :Protectd directory : fbbd87bdfc47774c42100bf1f5dfe29

Kolom pertama membuat nama pengguna yang dipakai sebagai login. Kolom kedua adalah nama realm tempat pengguna yang bersangkutan memiliki akses. Sedang kolom ketiga adalah hasil message digest. Otentikasi Kerberos Kerberos merupakan layanan autentikasi yang dikembangkan oleh MIT (Massachusetts Institute of Technology) Amerika Serikat, dengan bantuan dari Proyek Athena. Tujuannya adalah untuk memungkinkan menunjukkan identitasnya. Inovasi utama dalam Kerberos adalah gagasan bahwa password tersebut dapat dilihat sebagai suatu shared secret, sesuatu rahasia yang hanya pengguna dan server yang mengetahuinya. Menunjukkan identitas dilakukan tanpa pengguna harus membuka rahasia tersebut. Ada suatu cara untuk membuktikan bahwa kita mengetahui rahasia tersebut tanpa mengirimnya ke jaringan. Sebelum menjelaskan bagaimana kerberos beroperasi atau bekerja, kita harus mengetahui paket apa saja yang dikirim di antara pengguna dan KDC (AS dan TGS), dan antara pengguna dengan layanan selama proses autentikasi. Perlu diingat bahwa layanan tidak pernah berkomunikasi secara langsung dengan KDC (Key Distribution Center). Berikut adalah daftar paket-paket: AS_REQ adalah request autentikasi pengguna awal. Pesan ini ditujukan kepada komponen KDC, yaitu AS. pengguna (user) dan layanan (service) untuk saling mengautentikasi satu dengan yang lainnya. Dengan kata lain, saling

AS_REQ = ( PrincipalClient, PrincipalService , IP_list , Lifetime )

AS_REP adalah jawaban dari AS terhadap pesan sebelumnya. Pada dasarnya pesan ini mengandung TGT (dienkripsi menggunakan TGS secret key) dan session key (dienkripsi menggunakan secret key dari pengguna).

TGT = ( PrincipalClient, krbtgt/REALM@REALM , IP_list , Timestamp , Lifetime , SKTGS )

TGS_REQ adalah request dari pengguna kepada Ticket Granting Server (TGS) untuk mendapatkan service ticket. Paket ini mengandung TGT yang didapat dari

pesan sebelumnya dan authenticator yang dibuat oleh pengguna dan dienkripsi dengan session key.

TGS_REQ = ( PrincipalService , Lifetime , Authenticator) { TGT }KTGS

TGS_REP adalah jawaban dari Ticket Granting Server terhadap pesan sebelumnya. Dalam paket ini terdapat service ticket yang diminta (dienkripsi dengan secret key dari layanan) dan session key milik layanan yang dibuat oleh TGS dan dienkripsi dengan session key sebelumnya yang dibuat oleh AS.

TGS_REP = { PrincipalService ,Timestamp, Lifetime , SKService }SKTGS { TService }KService

AP_REQ adalah request yang dikirimkan oleh pengguna kepada layanan/aplikasi agar dapat mengakses layanannya. Komponennya adalah service ticket yang didapat dari TGS). TGS dengan jawaban sebelumnya dan authenticator yang dibuat oleh pengguna,tetapi kali ini dienkripsi menggunakan session key milik layanan (dibuat oleh

AP_REQ = Authenticator { TService }KService

AP_REP adalah jawaban yang diberikan oleh layanan kepada pengguna untuk membuktikan bahwa layanan tersebut adalah benar merupakan layanan yang ingin diakses oleh pengguna. Paket ini tidak selalu diminta. Otentikasi Secutity Token Security token merupakan sebuah objek fisik yang digunakan untuk autentikasi pada sebuah sistem. Dewasa ini security token kerap digunakan dalam pengamanan internet banking. Hal ini disinyalir dengan adanya security token diharapkan keamanan pada sistem perbankan internet menjadi lebih kuat sehingga dapat melindungi kepentingan nasabah dan menumbuhkan kepercayaan nasabah pada bank. Selain itu keuntungan pemakaian security token ini salah satunya adalah PIN yang selalu berganti setiap bertransaksi sehingga sukar dilacak oleh orang lain. Ditambah lagi token PIN ini unik bagi setiap nomor rekening dan tidak bisa digunakan pada rekening lain. Dengan fasilitas ini, rekening customer tidak mungkin disalahgunakan meskipun informasi yang dimasukkan oleh customer telah tertangkap oleh orang lain (misalnya dengan menggunakan keylogger).

Tipe-tipe security token 1. Digital signature 2. Single sign-on software 3. One-time passwords

Refrensi
o Akhmad Budiharjo, 2003. OTENTIKASI PADA APLIKASI BERBASIS WEB, Institut Teknologi Bandung o Taufiqurrahman, Resi, Dewi, Budi, 2009. KERBEROS : Deskripsi , Operasi dan Implementasi. Universitas Sriwijaya o Redho, Rahmi, Dyah, 2009. Security Token. Universitas Sriwijaya o