Menurut definisi dari CISSP (Certified Information System Security Profesional) Study Guide, Access Control didefinisikan sebagai suatu proses untuk mengatur / mengontrol siapa saja yang berhak mengakses suatu resource-resource tertentu yang terdapat di dalam sebuah sistem.
Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untuk mengases suatu resource tertentu dan apakah orang tersebut memiliki hak akses (authorized) untuk mengakses resource tersebut.
Access control memproteksi data terhadap unauthorize access atau akses yang dilakukan oleh orang yang memang tidak memiliki hak akses terhadap reource tersebut. Akses di sini bisa berupa melihat data (view) ataupun melakukan perubahan terhadapt suatu data (modify).
Dengan demikian Access Control mendukung terwujudnya:
1. Confidentiality
Memastikan data hanya bisa dilihat oleh orang yang memiliki hak akses untuk melihat data tersebut atau dikenal dengan istilah No Unauthorized Read.
2. Integrity
Memastikan data hanya bisa ditulisi dan diubah oleh orang yang memiliki hak akses untuk melakukan penulisan ataupun pengubahan terhadap data tersebut atau dikenal dengan istilah No Unauthorized Write.
Ketika membahas tentang Access Control, kita akan menemui dua entitas utama yang terlibat, yaitu
1. Subject of the Access Control
Yang menjadi subject di sini adalah entitas yang mengajukan request / permintaan untuk melakukan akses ke data.
2. Object of the Access Control
Yang menjadi object di sini adalah entitas yang mengandung atau mengatur data. Atau dengan kata lain object adalah resource yang tersedia di dalam suatu sistem.
Access Control sendiri dapat dibagi menjadi 3, yaitu Physical Access Control, Administrative Access Control, dan Logical Access Control.
Physical Access Control
Physical Access Control ditujukan untuk membatasi akses secara fisik ke perangkat hardware yang membangun suatu sistem.
Physical Access Control terbagi menjadi tiga bentuk, yaitu
1. Perimiter Security
Perimiter Security bertujuan untuk membatasi akses masuk ke area atau lokasi di mana perangkat hardware berada. Contoh nyata dari penerapan Perimiter Security adalah penggunaan pagar dan tembok, penerapan limited access room di mana hanya beberapa orang saja yang diijinkan memasuki suatu ruangan tertentu. Pembatasan masuk ruangan bisa dilakukan menggunakan kunci ruangan ataupun perangkat autentikasi semisal card reader dan perangkat biometric seperti finger print scanner.
2. Cable Protection
Proteksi kabel dapat dilakukan melalui beberapa cara, yaitu shielding untuk meningkatkan ketahanan terhadap EMI (Electro Magnetic Interference), memilih jenis kabel yang tahan terhadap EMI seperti fiber optic, dan juga penggunaan conduit untuk memproteksi kabel dari gangguan kerusakan secara fisik seperti misalnya gigitan tikus.
Penggunaan cable shielding dimaksudkan untuk memproteksi data yang dilewatkan melalui suatu kabel dari gangguan EMI (protected the data). Sedangkan penggunaan conduit dimaksudkan untuk memproteksi kabel itu sendiri secara fisik dari serangan yang mungkin mengakibatkan kerusakan secara fisik (protected the cable).
3. Pembagian Area Kerja (separation of duties and work areas)
Pembagian area kerja secara fisik di antara karyawan ditujukan untuk meminimalisir terjadinya shoulder surfing. Yang dimaksud dengan istilah shoulder surfing adalah di mana seorang karyawan dapat melihat dan mengamati aktifitas yang dilakukan oleh karyawan lainnya dengan mengintip lewat balik bahu. Memang terdengar konyol, tetapi beberapa aksi pencurian password juga dilakukan dengan mekanisme seperti ini. Selain itu, dengan membagi area kerja secara fisik dapat menghidarkan seorang karyawan untuk mengetahui dan mempelajari keseluruhan proses yang sifatnya sensitif. Seorang karyawan hanya mengetahui sebagian saja dari proses sensitif tersebut yaitu proses yang memang menjadi bagian dari area kerja dan tanggung jawabnya.
Administrative Access Control
Administrative Access Control akan berisi sekumpulan peraturan dan strategi untuk membatasi akses terhadap suatu resource tertentu dalam upaya pengaman terhadap sistem. Selain itu, Administrative Access Control juga berbicara mengenai mekanisme monitoring / pengawasan dan pendeteksian terhadap pelanggaran akses terhadap suatu resource.
Ada 4 point utama yang terkandung dalam Administrative Access Control, yaitu:
1. Policies and Procedure
Di sini berbicara mengenai penyusunan aturan / kebijakan dan prosedur yang jelas berkaitan dengan akses terhadap resource-resource yang terdapat di dalam sistem. Dalam point ini peranan dan dukungan dari pimpinan dalam tataran eksekutif sangatlah penting sehingga kebijakan dan juga prosedur yang sudah disusun memiliki kekuatan (dan terkadang memang perlu agak dipaksakan) untuk bisa diimplementasikan dan diikuti oleh semua karyawan yan terlibat di dalam sistem. Tanpa adanya dukungan dari pimpinan maka kebijakan dan prosedur yang sudah disusun menjadi powerless atau tak memiliki kekuatan apa-apa.
2. Hiring Pratices
Di sini berbicara mengenai mekanisme perekrutan karyawan baru. Dalam proses perekrutan, salah satu point yang perlu diperhatikan adalah tanggapan dan pendapat dari si calon karyawan tersebut berkenaan dengan kebijakan dan prosedur yang sudah disusun. Rekrutlah karyawan yang memang sejalan dan sependapat dengan kebijakan dan prosedur yang berlaku di perusahaan.
3. Security Awareness Training
Selain merekrut karyawan yang sependapat dengan kebijakan dan prosedur yang berlaku, perllu juga dilakukan pelatihan / training berkaitan dengan security awareness. Di sini setiap karyawan akan dijelaskan dan disadarkan betapa pentingnya aspek keamanan terhadap sistem. Diharapkan setelah mengikuti pelatihan ini setiap karyawan dapat mengikuti dan menjalankan setiap kebijakan dan prosedur yang berkaitan dengan keamanan sistem dengan penuh tanggung jawab karena telah menyadari betapa pentingnya aspek keamanan sistem yang terkandung di dalamnya.
4. Monitoring
Point terakhir adalah monitoring atau pengawasan terhadap kebijakan dan prosedur yang berlaku. Di sini akan dilakukan pemantauan apakah setiap prosedur sudah dilakukan dengan baik atau adakah pelanggaran-pelanggaran yang terjadi terhadap kebijakan dan prosedur yang berlaku. Tujuan utama dari point ini adalah memastikan setiap kebijakan dan prosedur yang berlaku berjalan dengan baik.
Logical Access Control
Logical Access Control akan berbicara mengenai hal-hal teknis yag diberlakukan untuk melakukan pengaturan / pengendalian akses terhadap resource-resource yang ada di dalam suatu sistem.
Ada 3 point utama yang terkandung dalam Logical Access Control, yaitu:
1. Object Access Restriction
Point ini dimaksudkan untuk mengijinkan akses kepada authorized user. Hal ini bisa dilakukan dengan menggunakan Role Based Access Control di mana akan didefinisikan akses apa saja yang diijinkan kepada seorang atau sekumpulan karyawan berkaitan dengan jabatan dan wewenang yang dimilikinya.
2. Encryption
Melakukan penyandian data sehinga data hanya bisa dibaca oleh orang-orang yang memang memiliki hak akses.
3. Network Architecture / Segregation
Melakukan segmentasi pada infrastruktur jaringan komputer yang ada. Hal ini ditujukan untuk menghindari adanya aksi pencurian data yang dilakukan melalui infratruktur jaringan yang ada.
B. Password Management (Manajemen Password)
Tujuan utama password tidak lain adalah sebagai sistem yang akan memastikan bahwa
benar-benar hanya pemilik saja yang bisa masuk ke dalamnya. Kemudian, kita akan dapat melihat
atau menggunakan data dan informasi yang kita miliki sesuai tujuan atau keperluan.
Proses password
Password adalah bagian dari proses authentikasi. Sebuah istilah yang merupakan ‘benteng’
terakhir dari sebuah sistem keamanan pada sebuah data atau informasi. Konkretnya, salah satu
cara yang umum digunakan untuk mengamankan sebuah sistem adalah dengan mengatur akses
pemakai (user) ke dalamnya melalui mekanisme pencocokan kebenaran (authentication) dan
pemberian hak akses (access control).
Implementasi dari mekanisme ini antara lain dengan
menggunakan password. Contoh mudahnya adalah ketika akan menggunakan sebuah komputer,
pemakai diharuskan melalui proses authentication dengan menuliskan user id dan password-nya.
Informasi yang diberikan ini akan dicocokkan dengan data dalam sistem. Apabila keduanya
cocok (valid), calon pemakai diperbolehkan ‘masuk’ tapi jika tidak, pesan kegagalan akan
muncul.
Setelah proses authentication, pemakai diberikan hak akses sesuai dengan tingkatan hak yang
diberikan kepadanya. Access control ini biasanya dikelompokkan dalam kategori group. Ada
group user biasa, ada tamu (guest), dan ada juga sebagai penguasa/pengatur atau admin yang
memiliki hak istimewa. Pengelompokan ini disesuaikan dengan kebutuhan dan tugas
masing-masing pengguna. Di lingkungan kampus, biasanya ada kelompok mahasiswa, staf,
karyawan, dosen, rektor dan administrator. Sementara itu, di lingkungan bisnis ada kelompok
finance, engineer, auditor, marketing, director, dan seterusnya.
Password Cracker
Adanya program-program pembobol password (password cracker) sangat berbahaya karena bisa
dipakai untuk merusak, tetapi juga mendidik agar setiap orang selalu teliti dan perhatian terhadap
hal yang dimilikinya. Prinsip program ini adalah melakukan coba dan mencoba. Program
pembobol tersebut sangat mudah didapat/download dari internet, seperti tools: Hades, Claymore,
Cain, PWLFind, LopthCrack, ScanNT, NTCrack, Password NT, Brutus, Crack, Crackerjack,
Viper, John The Ripper, Hellfire, Guess, dan masih banyak lagi yang bergentayangan dan terus
bertambah canggih. Setelah mendapatkan nama atau nomor user id, akan dicoba untuk
mendapatkan ’pasangannya’ dengan beberapa metode, di antaranya:
1. Dictionary Attack
Mengambil perbendaharaan kata dari kamus (dictionary). Pemecahan password dilakukan
melalui uji coba kata atau kalimat yang dikumpulkan dari berbagai sumber. Karenanya, akan
sangat berisiko jika sobat memilih password dari kata-kata umum, termasuk juga istilah populer,
nama, kota, atau lokasi. Seperti: bandung, jakarta, cihampelas, dsb. Mencocokkan kata sandi
dengan isi kamus dari A-Z bukan hal yang sulit. Jika beruntung! Semakin cepat kemampuan
komputer, akan semakin singkat menemukan kecocokan.
2. Hybrid Attack
Teknik ini mengandalkan beberapa algoritma heuristic, seperti menambahkan angka atau
perkataan di belakang atau di depannya, membaca dari belakang (terbalik), dan cara-cara unik
lainnya. Sang cracker mengumpulkan segala informasi tentang calon korbannya. Kemudian
dijadikan bahan kombinasi, sering dijumpai penggunaan password, seperti nama user-nya
kemudian hanya ditambah tahun lahir atau tahun sekarang, contoh: yunus78 atau agus2006.
3. Brute Force
Attack
Cara terakhir ini cukup jitu, hanya kelemahannya adalah terlalu banyak waktu yang dihabiskan.
Apalagi, jika pin password yang ditebak cukup panjang dan merupakan perpaduan dari banyak
karakter. Dengan memakai teknik ini, setiap karakter dalam keyboard, seperti: huruf dari a-z, A-Z,
dan 0-9, serta ASCII character akan dikombinasikan satu per satu sampai mendapatkan
jawabannya.
Beruntunglah, ternyata ada banyak sistem komputer yang dilengkapi kemampuan menilai
password yang kita buat. Contohnya, jika password yang kita usulkan tidak aman, komputer
dapat mengatakan bahwa password Anda terlalu pendek, kombinasi password Anda buruk,
password yang dibuat sama dengan username Anda, silakan ulangi lagi, dan seterusnya.
Menjamin 100% bahwa password kita tidak bisa ditembus adalah tidak mungkin.
Perbedaan PAP dan CHAP
Ketika kita melakukan setting koneksi ponsel ke internet seringkali kita menemukan sebuah pilihan untuk setting otentifikasi yaitu PAP dan CHAP. Otentifikasi memiliki peran penting dalam koneksi Point-to-Point (PPP) karena PPP didesain untuk dial-up ketika verifikasi identitas diperlukan. PPP membuat dua protokol untuk otentifikasi yaitu Password Authentication Protocol (PPP) dan Challenge Handshake Authentication Protocol (CHAP). Sebenarnya bagaimana perbedaan antara kedua otentifikasi ini:
a. Password Authentication Protocol (PAP), yaitu prosedur otentifikasi dengan dua langkah yaitu
User yang ingin mengakses sistem mengirimkan otentifikasi identitas biasanya user dan password.
Sistem mengecek validitas identifikasi dan password dengan cara menerima atau menolak koneksi.
b. Challenge Handshake Authentication (CHAP), yaitu protokol otentifikasi three-way-handshaking yang memberikan keamanan yang lebih tinggi dari PAP. Dalam metode ini password akan disimpan secara aman dan tidak pernah dikirimkan secara online.
Berikut merupakan beberapa tips dalam membuat sebuah password, antara lain:
- Gunakan kombinasi karakter dari huruf kecil, besar, dan karakter khusus, seperti @,#,$.
Contohnya: $e@r(hEnG1N3, tr4nsmut4t10n, b@mb4ng, m45t3r, 3m1Lku,
p3r(ik@n1m@n.
- Gunakan batas panjang karakter secara maksimal, kalau bisa tidak kurang dari 8.
- Jangan pernah memberitahukannya secara lisan (bisa jadi didengar orang lain) atau
ditulis di kertas atau lewat sms. Menjadi repot atau dianggap kurang percaya dengan
orang lain adalah lebih baik daripada mengizinkan orang yang meragukan untuk
memasuki wilayah keamanan kita. Kecuali jika terpaksa. Jika memang perlu ditulis,
simpan di tempat aman (misalnya: dompet). Tetapi kalau sudah benar-benar hafal, tulisan
itu harus lekas dihancurkan/buang.
- Bagi yang mempunyai hobi banyak account. Misalnya dimilist, mail, atau messeger di
Yahoo, MSN, ICQ, Gmail, Frendster, Plasa, Hotmail, blogger dsb. akan menyulitkan dan
menghabiskan space otak jika harus mengingat banyak password. Apalagi harus
menggantinya dalam kurun waktu tertentu, mungkin akan menambah pusing dulu
sebelum bekerja, apalagi jika ternyata lupa.
Nama: Wira Dwi Susanto
NIM: 17.01.53.0053
Tugas: Elearning Keamanan Jaringan "Access Control and Password Management"
Sumber Artikel & Video:
