Access Control

Presented by:

Dr. M Akbar Marwan

Objective

•  Penjelasan singkat Acces Control

•  Teknik Autentikasi

•  Password

•  Tokens Smart cards •  Biometrics

•  Autentikasi kriptografi

•  Beberapa faktor Autentikasi •  Perbandingan Jenis

konteks

Kadang-kadang digunakan untuk mengontrol akses ke informasi , sistem , atau fasilitas . - email, programs, buildings, dll..

Beberapa teknologi dan metode mendukung penggunaan array untuk melakukannya.

Presentasi ini dirancang untuk memberikan gambaran dari beberapa metode tersebut.

Policies Procedures, Awareness Physical protection layer

Network Host Application Data Lapisan pertahanan dilaksanakan di berbagai tingkat arsitektur komputer dan dikombinasikan dengan langkah-langkah teknis maupun administratif untuk melindungi isi (Data)

Access Control

Istilah kontrol akses merujuk kepada masalah mengenai akses sumber daya sistem

.

Access Control

Authentication

Otentikasi dapat dilakukan dengan dua cara: Authentication

Authentication

Dua kemungkinan membutuhkan otentikasi:

•

 

Ketika Anda menyalakan komputer tunggal,

Bagaimana komputer menentukan bahwa Anda adalah benar-benar Anda dan bukan orang lain?

•

 

Ketika anda masuk (log in) ke akun online

banking anda, bagaimana server Bank anda tau itu adalah benar anda dan bukan orang lain.

Authorization

•

 

Setelah anda telah melakukan otentikasi

melalui komputer atau server pada jaringan, anda harus membangun batasan pada

aktivitas anda.

•

 

Batasan Otorisasi dilakukan kepada

Access Control System Operation

Masing-masing komponen dan fungsi perlu dinilai untuk keamanan.

Prinsip Access Control

Access Control

Server

•

 

Sistem fisik Access Control bekerja pada

prinsip yang sama dan arsitektur juga seringkali sama

Beberapa cara untuk otentikasi

•  Sesuatu yang Anda tahu (rahasia)

•  Ini mengasumsikan bahwa hanya pemilik akun tahu rahasia misalnya password atau PIN yang diperlukan untuk otentikasi.

•  Sesuatu yang dimiliki (metode unik)

•  Ini mengasumsikan bahwa hanya pemilik akun memiliki mekanisme unik untuk mengotentikasi misalnya kartu pintar atau tanda.

•  Sesuatu seperti (fitur unik biologi)

•  Ini mengasumsikan bahwa spesifik tubuh dapat digunakan untuk tegas mengidentifikasi seseorang.

Itu adalah metode otentifikasi secara single atau kombinasi dari beberapa darinya di dalam order untuk membuat otentikasi yang kuat

Apa cara terbaik untuk Otentikasi?

Setiap bentuk otentikasi memiliki :

•  Tingkat keamanan yang berbeda

•  karakteristik Kemudahan penggunaan yang berbeda

•  Biaya yang berbeda untuk mendapatkan •  Biaya yang berbeda untuk mengelola

Teknik otentikasi

•

 

Sandi berdasarkan (sesuatu yang Anda tahu)

•

 

Token ( Password generators) berdasarkan

(sesuatu yang Anda miliki)

•

 

Smart card berdasarkan (sesuatu yang Anda miliki)

•

 

MAC address dilaptop (sesuatu yang

Anda miliki)

•

 

Biometric berdasarkan (sesuatu tentang anda)

Definisi baru otentikasi Elektronik

•

 

Otentikasi adalah proses penentuan

identitas dari mesin / manusia untuk tingkat kebutuhan jaminan.

•

 

Mekanisme untuk membuktikan identitas

jarak jauh dapat menjadi lebih kompleks.

Token

otentikasi Token

•  Kebanyakan pengganti umum untuk password sederhana adalah

token otentikasi.

•  Ini adalah merancang yang menghasilkan password baru yang

akan digunakan untuk otentikasi setiap kali digunakan.

•  Hal ini sangat kecil dalam ukuran seperti mobil remote control.

•  Memiliki prosesor, layar LCD dan baterai. Mungkin juga memiliki

keypad untuk memasukkan informasi dan waktu jam nyata.

•  Biasanya baterai berlangsung seumur hidup token.

•  Out menempatkan nilai-nilai numerik atau heksadesimal.

•  Setiap token diprogram dengan nilai unik yang disebut

benih. Benih memastikan bahwa setiap tanda akan menghasilkan seperangkat unik kode output.

Token

•

 

Ada dua jenis token yang tersedia:

•  Challenge response token (Asynchronous Tokens)

Challenge / Response Encryp<ng

Token

45589 2 1 3 4 5 6 7 8 9 0 Enter Challenge / response Token Challenge Input the challenge, from popup window, in the token using the keypad Internal Seed Response on the Token Read the Response on the LCD Screen and Enter it at the Challenge Authen<ca<on server Seed Database Generate a Random Number Token Encrypt the challenge using Internal seed as a key Response on popup Server Decrypt the challenge using Internal seed as a key Challenge Match? Server assumes that token is in possession of the authen<c user.

Challenge / Response Encryp<ng

Token

45589 2 1 3 4 5 6 7 8 9 0 Enter Challenge / response Token Challenge Input the challenge, from popup window, in the token using the keypad Internal Seed Response on Read the Response on the LCD Screen and Challenge Authen<ca<on server Seed Databa se Generate a Random Number Token Encrypt the challenge using Internal seed as a key Truncate the response Response on Server Encrypt the challenge using Internal seed as a key Truncate the response Match? Parallel computa<on Model

Challenge / Response Encryp<ng

Token

45589 2 1 3 4 5 6 7 8 9 0 Enter Challenge / response Token Challenge Input the challenge, from popup window, in the token using the keypad Internal Seed Response on the Token Read the Response on the LCD Screen and Enter it at the Logon Popup Challenge Authen<ca<on server Seed Databa se Generate a Random Number Response on popup Response on the Token LCD screen Truncate the response if required at both the ends Truncate the response if required at both the ends

Token berbasis waktu

Time Based Token Internal Seed Response on Read the Response on the LCD

Screen and _Popup Logon

Authen<ca<on server Seed Databa se Response on popup Response on the Token LCD screen Truncate the response if required at both the ends Truncate the response if required at both the ends 4657 Token Clock (SEED) Server Clock (SEED) Challenge Challenge

Token berbasis waktu

Time Based Token Internal Seed Authen<ca<on server Seed Databa se 4657 Token Clock Server Clock The hardware real <me clock in the Time Based token can driZ due to ambient temperature changes. As a result the generated response will not be matched If aZer adjus<ng the server clock by the previously stored clock offset, we find the response within the inner window , allow the user IN, and store the new clock offset +2 0 -2 If we could not locate the response within the inner window, search within the outer window, if the response is located, ask the user for the next response, if the next response is correct, let user IN and store the new clock offset. +10 0 -10 If we could not locate the response within the outer window, reject the authen<ca<on

Tokens dengan dua faktor otentikasi

•

 

Menggunakan PIN dengan token otentikasi

akan membuat dua faktor otentikasi.

•

 

Dua cara utama untuk memperkenalkan PIN

di token:

•  Aktivasi PIN dari token.

•  PIN faktor ke dalam perhitungan respon komputasi.

Smart Cards

•  Smart cards dikembangkan berdasarkan standart

ISO7816

•  mendefinisikan bentuk, ukuran, ketebalan, posisi kontak, protokol sinyal listrik dan beberapa fungsi sistem operasi yang mendukung smart card.

•  Contoh seperti : credit card.

•  Smart cards memiliki data prosesor yang kecil tetapi dapat menerima data, proses ini

menggunakan program penyimpanan didalam memori dan kemudian hasil dipancarkan keluar melalui port komunikasi.

Smart card and smart card reader

Smart card reader

Arsitektur Smart Card

VCC Clock Reset GND I/O 8-bit or 16-bit Microcontroller RAM 256 bytes+ ROM 2 KB+ EEPROM 8-64 KB+ Crypto accelerator Internal Chip Bus ISO 7816 Power, Clock and I/O Bus Crypto accelerator is in the Crypto smart card only

Smart Cards

•

 

Smartcard dapat digunakan untuk otentikasi

berdasarkan "sesuatu yang Anda miliki."

•

 

Hal ini dapat memungkinkan kunci

kriptografi atau rahasia lainnya, dan

mungkin melakukan beberapa perhitungan pada kartu.

Pembaca Smart Card

•

 

Tujuan utama smarycard reader (pemcaca)

adalah digunakan untuk memverivikasi informasi yang tersimpan didalam kartu.

•

 

Pembaca menciptakan sinyal-sinyal listrik

yang diperlukan untuk me-reset smart card, kekuatan itu, memberikan komunikasi dan sistem jam (3-5 MHz, 5v).

•

 

Sekarang 32bit RISK-based dengan

Jenis Smart Cards

•

 

Tiga jenis smart card yang tersedia:

•  Kartu kontak: kartu pintar yang memiliki

bantalan kontak dan memiliki kontak listrik langsung dengan pembaca mereka disebut kartu kontak.

•  Contact-less cards): yang tidak memiliki

bantalan kontak dan yang memiliki koneksi RF antara kartu pintar dan pembaca disebut kartu kontak-kurang.

Klasifikasi smart cards

•

 

Isi storage kartu: ada PIN (dilindungi

9encrypted) memory, EEPROM. Ini

digunakan untuk tarik tunai dll. Ini seperti memori pada kartu

•

 

Cryptographic smart cards dan non

Smart card Properties

•

 

Temper resistant dan Temper proof

•

 

Teknologi Crypto untuk algoritma kunci

enkripsi public dibangun pada semua

protokol authentication dapat digunakan.

•

 

Seiring dengan kartu Anda akan perlu untuk

selalu membawa pembaca kartu atau

komputer / laptop harus memiliki pembaca kartu inbuilt.

Smart Card Based Applications

•

 

Digunakan dalam dua faktor otentikasi

•

 

Smart card Crypto dapat memegang kunci

publik dan swasta dan sertifikat untuk digunakan oleh web browser. Mereka

melakukan operasi kriptografi dalam kartu.

•

 

Mereka dapat digunakan sebagai cache

password untuk menyimpan berbagai user ID dan password yang digunakan untuk

Smartcards

•

 

Mekanisme kriptografi yang kuat

•  pelaksanaan aman

•  Elektronik tanda tangan, enkripsi,hash…

•

 

Perlindungan data

•  Khususnya untuk kunci kriptografi

•

 

Nyata otentikasi dua faktor

•  Elemen otentikasi di kartu fisik

Kriptografi Authentication Protokol

•  Otentikasi Berdasarkan Shared Secret Key

•  Membangun Shared Key: Diffie-Hellman

•  Otentikasi Menggunakan Kerberos

•  Otentikasi Menggunakan Public-Key Cryptography

•  Tanda tangan digital

•  Ford Verisign dan Kaliski dari RSA telah mengembangkan teknik "Password pengerasan" di mana Server sandi

pengerasan membantu untuk membuat password yang kuat dari password pengguna disediakan

Signature generation Message Hash Digest Encrypt Signature Private key of A Message Hash Digest 2 Signature Decrypt Digest 1 Public key of

A match then If exact

the signature is valid

Comparison of Authentication Methods

Authentication

Type Example Advantages Disadvantages

Something you

know • Password _{• Passphrase} • Personal identification number • Easy and • inexpensive to implement • Easy to guess • Subject to password sniffers and dictionary attacks • Users do not always

secure their passwords Something you

have • Token, Memory card, • Smart card

• Difficult to

attack • Can be lost or stolen,

• can be expensive to implement

Something you

are • Biometric device (fingerprint, voice recognition, eye scanners, etc…) • Portable and provides an easy method of authentication • Can be expensive to implement, user acceptance may be difficult,

• False rejections and false exception rates must meet security

Kesimpulan

•

 

Kuat dua atau tiga faktor otentikasi

diperlukan untuk melindungi sumber daya kritis

•

 

Token otentikasi adalah bentuk dominan dari

otentikasi yang kuat.

•

 

Hybrid PKI-tanda semakin populer. Dalam

SSL, PKI digunakan untuk otentikasi server dan mengenkripsi sesi. Token digunakan

kesimpulan ……

•

 

Smart card adalah tempat yang ideal untuk

mengadakan kunci pribadi dan melakukan operasi PKI aman.

•

 

Biometrik yang kompleks. Sebagai

perangkat otentikasi faktor tunggal, mereka mudah digunakan, tetapi tidak memiliki

keamanan yang kuat. Dalam kombinasi

dengan faktor-faktor lain dapat menciptakan solusi otentikasi 2- dan 3-faktor yang kuat.