Abdul Aziz

Email : abdulazizprakasa@ymail.com

Ada 2 langkah dalam proses login:

Identifikasi

Proses untuk memberitahu kepada

sistem operasi kalau kita mau login

Otentikasi

Proses untuk membuktikan bahwa

yang mau login adalah benar kita.

There are two steps in the login

process:

•Identification

Process to inform the operating

system if we want to login

•Authentication

Process to prove that that is true we

want to log.

Ada 3 cara untuk identifikasi dan

otentikasi:

Sesuatu yang kita tahu, misalnya

password, PIN

secara teori, yang mengetahui

password adalah pemiliknya sendiri,

namun dalam prakteknya terdapat

beberapa permasalahan:

◦ diberikan ke orang lain lalu orang

lain itu memberitahukan ke orang

lain

◦ dicuri orang lain

◦ dituliskan di suatu tempat

◦ terlalu mudah ditebak

There are 3 ways to identification and

authentication:

Something that we know, for

example: passwords, PIN

in theory, who knows the password is

the owner himself, but in practice there

are several problems:

given to other people and other people

were told to others

stolen someone else

written down somewhere

too easy to guess

Sesuatu yang kita miliki, misalnya ID

Card, security token, kunci

◦ Secara teori, yang punya kunci

adalah pemilik.

◦ Masalahnya:

Kunci hilang atau dipinjam ke

seseorang lalu diduplikasi

Sesuatu yang ada di tubuh kita,

misalnya fingerprint, signature, voice

Saat ini yang masih paling sering

digunakan untuk identifikasi dan

otentikasi adalah account dan

password

Something that we have, for example

ID card, security token, a key.

•In theory, that have a key is the owner.

•The problem:

•The key is lost or borrowed to

someone and then duplicated

Something that is in our bodies, such

as fingerprint, signature, voice

Today is still the most commonly

used for identification and

authentication is the account and

password

Tipe penyerangan terhadap password

Brute Force

◦ Mencoba segala kombinasi huruf dan angka (trial and error)

Dictionary based

◦ Dengan bantuan file yang berisi daftar password-password yang sering dipakai orang

Password sniffing

◦ Menyadap data yang lewat di jaringan komputer

Social Engineering

◦ Menyadap pembicaraan orang

◦ Membuat agar orang menyebutkan passwordnya

This type of attack against the password

brute Force Tried every combination of letters and numbers (trial and error)

Dictionary-based With the help file that contains a list of passwords that are often used people

password sniffing Intercepting data that passes in computer networks

Social Engineering

• Tapped into people's conversations

• Make the people mentioned his/her password

Petunjuk Proteksi Dengan Password

Jangan biarkan user/account tanpa

password

Jangan biarkan password awal yang

berasal dari sistem operasi

Jangan menuliskan password

Jangan mengetik password, selagi

diawasi

Jangan mengirim password secara

online

Segera ubah bila password kita bocor

Jangan menggunakan password

sebelumnya

Password Protection Directive

Do not let the user / account without a

password

Do not allow passwords that are derived

from the operating system

Do not write down passwords

Do not type a password, while supervised

Do not send passwords online

Immediately change if the password has

been leaked

Do not use a previous password

Memilih password yang baik

Pilih yang sukar ditebak dan mudah diingat

Jangan menggunakan data pribadi, seperti nama, tanggal lahir, no. telepon

Pilih password yang panjang, minimal 8 karakter

Gunakan gabungan antara huruf, angka dan spesial karakter. Jangan semuanya angka atau huruf

Bedakan password antar host yang satu dengan yang lain

Jangan menggunakan password sebelumnya

Hati-hati dengan penggunaan kata dalam bahasa Inggris sebagai password

Boleh juga menggunakan kata-kata yang tidak ada artinya, misalnya: s1(z/a%zo2

Choosing a good password

Choose a difficult to guess and easy to remember

Do not use the personal data, such as name, date of birth, no. phone

Choose a password that long, at least 8 characters

Use a combination of letters, numbers and special characters. Do not all the numbers or letters

Distinguish between hosts passwords with one another host

Do not use a previous password

Be careful with the use of English words as passwords

May also use words that mean nothing, for example: s1 (z / a% zo2

Pengontrolan Login/Password

Membatasi kesalahan gagal login

Periode waktu login setiap user dibatasi

Munculkan pesan login terakhir

Munculkan pesan kapan terakhir gagal

login

User dapat merubah password

Password disediakan oleh suatu sistem

Password diberi batas waktu

Panjang minimum suatu password

harus ditentukan

Controls Login / Password

Restrict failed login error (3 times login)

The period of time each user login be

restricted

Come up with a message last login

Come up with the last failed login

message

User can change password

Password provided by a system

Password is timed

The minimum length of a password must

be determined

Password Sniffing

Target

machine

Target

machine

Target

machine

Network Hub

192.168.0.20 192.168.0.30 192.168.0.101

Sniffer

machine

Password sniffing:

SNIFFING, adalah penyadapan terhadap lalu lintas data pada suatu jaringan komputer.

“Sniffer Paket (arti tekstual: pengendus paket — dapat pula diartikan ‘penyadap paket’) Ethereal, Network Analyzers atau Ethernet Sniffer merupakan aplikasi yang dapat melihat lalu lintas data pada jaringan komputer.

Password sniffing:

SNIFFING, is the wiretapping of data traffic

on a network computer.

“Sniffer Paket (textual meaning: packet-

sniffing - it can also be interpreted

‘tapper packages'). Ethereal, Network

Analyzers or Ethernet Sniffers are

applications that can view the data traffic on computer networks.

Pencegahan Password sniffing

Gunakan switch (jangan hub)

Gunakan aplikasi yang mendukung enkripsi

Aplikasikan setting VPN

Password sniffing prevention

Use the switches (not hubs)

Use an application that supports encryption

Gunakan aplikasi yang mendukung enkripsi

VPN (Virtual Private Network) settings apply

Social engineering adalah pemerolehan informasi atau maklumat

rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social

engineering umumnya dilakukan melalui telepon atau Internet. Social engineering

merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh

informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada

korban atau pihak lain yang mempunyai informasi itu. Atau tahap pertama

memperoleh user_id dan password.

Social engineering is the acquisition of confidential information or intimation /

sensitive by cheating the owner of that information. Social engineering is typically

done via telephone or Internet. Social engineering is one of the methods used by

hackers to obtain information about the target, by requesting information directly

to the victim or others who have that information. Or the first stage to get user_id

and password.

Pencegahan Social Engineering

Perlunya pelatihan dan pendidikan bagi user dalam masalah keamanan komputer

Prevention of Social Engineering

The need for user training and education in computer security issues

Comparative Analysis for password breaking

(assumption : software can calculate 500.000 words/sec)

ACCESS CONTROL

Sekali user login ke sistem, maka

user tersebut diberikan otorisasi untuk

mengakses sumber daya sistem,

misalnya file, directory, dll

Yang perlu diperhatikan adalah:

Siapa saja yang boleh membaca isi

file kita

Siapa saja yang boleh merubah isi file

kita

Bolehkah file kita di-share ke user

lain?

ACCESS CONTROL

Once a user logged into the system,

then the user is given authorization to

access the system resources, such

as files, directories, etc.

To note are:

Anyone who can read the contents of

our file

Anyone who can change the contents

of our file

Can we file shared to other users?

Ada 3 tipe dasar pengaksesan file

Read (r)

Write (w)

Execute (x)

There are three basic types of file

access

Read (r)

Write (w)

Execute (x)

Metode Ownership

Pembuat file adalah pemilik file

Identifikasi pembuat file disimpan

Hanya pemilik yang dapat mengakses file miliknya

Administrator dapat mengakses juga

Metode Ownership

File maker is the owner of the file

Identify of the maker files are stored

Only the owner can access his files

Administrators can also access

Metode File Types

File akan didefinisikan sebagai public file, semipublic file atau private file

◦ Public file -> semua user mempunyai hak penuh (rwx)

◦ Semi public file -> user lain hanya mempunyak hak read execute(rx)

◦ Private file -> user lain tidak punya hak

Metode File Types

The file will be defined as a public file, the file semipublic or private files

Public files -> all users have full rights (rwx)

Semi-public files -> other user rights only experiences a read execute (rx)

Private files -> other users have no rights

Metode Self/Group/Public Controls

Disebut juga user/group/other

user – pemilik file

group – sekelompok user

other – user yang tidak termasuk di atas

Setiap file/directory memiliki sekumpulan bit-bit yang disebut file permissions/ Protection mode

Tipe proteksi untuk file:

r -> hak untuk membaca file

w -> hak untuk menulis ke file

x -> hak untuk menjalankan file

- -> tidak mempunyai hak

Metode Self/Group/Public Controls

Also called user / group / other user - the owner of the file group - a group of users other - users who are not included above

Each file / directory has a set of bits called the file permissions / Protection mode

Type of protection for files: r -> right to read file w -> right to write to a file x -> right to run the file - -> Do not have the right

Tipe proteksi untuk directory:

r -> hak untuk membaca Isi directory

w -> hak untuk membuat dan menghapus file

x -> hak untuk masuk ke directory

- -> tidak mempunyai hak

Type of protection for the directory:

r -> right to read the contents of directory

w -> right to create and delete files

x -> the right to enter the directory

- -> Do not have the right

Contoh:

-rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c

-rwx rw- r--

U G O

Abaikan tanda (-) pertama

Pemilik file (budi) mempunyai hak rwx

Anggota group staff mempunyai hak rw

User lainnya hanya mempunyai hak r

Tanda (–) menunjukkan bahwa user tidak punya hak

Contoh:

-rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c

-rwx rw- r-- U G O

Ignore the sign (-) first

Owner files (Budi) has rwx rights

Members of staff have the right group rw

Other users only have the right to r

Sign (-) indicates that the user does not have the right

Metode Access Control Lists

Berisi daftar users dan groups

dengan haknya masing-masing.

Contoh:

file penggajian.exe diberi ACL

<john.akun,r>

<jane.pengj,rw>

<*.persn,r>

Metode Access Control Lists

Contains a list of users and groups

with their own right.

example:

payroll.exe file given ACL

(Acces Control List)

<john.account,r>

<jane.payroll,rw>

<*.persn,r>