Abdul Aziz

Ada 2 langkah dalam proses login:

 Identifikasi

Proses untuk memberitahu kepada sistem operasi kalau kita mau login

 Otentikasi

Proses untuk membuktikan bahwa yang mau login adalah benar kita.

There are two steps in the login process:

•Identification

Process to inform the operating system if we want to login

•Authentication

Process to prove that that is true we want to log.

Ada 3 cara untuk identifikasi dan otentikasi:

 Sesuatu yang kita tahu, misalnya

password, PIN

secara teori, yang mengetahui

password adalah pemiliknya sendiri, namun dalam prakteknya terdapat beberapa permasalahan:

◦ diberikan ke orang lain lalu orang lain itu memberitahukan ke orang lain

◦ dicuri orang lain

◦ dituliskan di suatu tempat

◦ terlalu mudah ditebak

There are 3 ways to identification and authentication:

 Something that we know, for example: passwords, PIN

in theory, who knows the password is the owner himself, but in practice there are several problems:

given to other people and other people were told to others

stolen someone else

written down somewhere too easy to guess

 Sesuatu yang kita miliki, misalnya ID

Card, security token, kunci

◦ Secara teori, yang punya kunci adalah pemilik.

◦ Masalahnya:

 Kunci hilang atau dipinjam ke seseorang lalu diduplikasi

 Sesuatu yang ada di tubuh kita,

misalnya fingerprint, signature, voice

Saat ini yang masih paling sering

digunakan untuk identifikasi dan otentikasi adalah account dan password

Something that we have, for example ID card, security token, a key.

•In theory, that have a key is the owner. •The problem:

•The key is lost or borrowed to someone and then duplicated

Something that is in our bodies, such as fingerprint, signature, voice

Today is still the most commonly used for identification and

authentication is the account and password

Tipe penyerangan terhadap password

 Brute Force

◦ Mencoba segala kombinasi huruf dan angka (trial and error)

 Dictionary based

◦ Dengan bantuan file yang berisi daftar password-password yang sering dipakai orang

 Password sniffing

◦ Menyadap data yang lewat di jaringan komputer

 Social Engineering

◦ Menyadap pembicaraan orang

◦ Membuat agar orang

menyebutkan passwordnya

This type of attack against the password

 brute Force

Tried every combination of letters and numbers (trial and error)

 Dictionary-based

With the help file that contains a list of passwords that are often used people  password sniffing

Intercepting data that passes in computer networks

 Social Engineering

• Tapped into people's conversations • Make the people mentioned his/her

Petunjuk Proteksi Dengan Password

 Jangan biarkan user/account tanpa password

 Jangan biarkan password awal yang berasal dari sistem operasi

 Jangan menuliskan password

 Jangan mengetik password, selagi diawasi

 Jangan mengirim password secara online

 Segera ubah bila password kita bocor

 Jangan menggunakan password sebelumnya

Password Protection Directive

Do not let the user / account without a password

Do not allow passwords that are derived from the operating system

Do not write down passwords

Do not type a password, while supervised Do not send passwords online

Immediately change if the password has been leaked

Memilih password yang baik

 Pilih yang sukar ditebak dan mudah diingat

 Jangan menggunakan data pribadi, seperti nama, tanggal lahir, no. telepon

 Pilih password yang panjang, minimal 8 karakter

 Gunakan gabungan antara huruf, angka

dan spesial karakter. Jangan semuanya angka atau huruf

 Bedakan password antar host yang satu

dengan yang lain

 Jangan menggunakan password

sebelumnya

 Hati-hati dengan penggunaan kata dalam bahasa Inggris sebagai password

 Boleh juga menggunakan kata-kata yang tidak ada artinya, misalnya: s1(z/a%zo2

Choosing a good password

 Choose a difficult to guess and easy to remember

 Do not use the personal data, such as name, date of birth, no. phone

 Choose a password that long, at least 8 characters

 Use a combination of letters, numbers and special characters. Do not all the numbers or letters

 Distinguish between hosts passwords with one another host

 Do not use a previous password

 Be careful with the use of English words as passwords

 May also use words that mean nothing, for example: s1 (z / a% zo2

Pengontrolan Login/Password

 Membatasi kesalahan gagal login

 Periode waktu login setiap user dibatasi  Munculkan pesan login terakhir

 Munculkan pesan kapan terakhir gagal

login

 User dapat merubah password

 Password disediakan oleh suatu sistem  Password diberi batas waktu

 Panjang minimum suatu password

harus ditentukan

Controls Login / Password

 Restrict failed login error (3 times login)  The period of time each user login be

restricted

 Come up with a message last login  Come up with the last failed login

message

 User can change password

 Password provided by a system  Password is timed

 The minimum length of a password must be determined



Password Sniffing

Target machine Target machine Target machine Network Hub 192.168.0.20 192.168.0.30 192.168.0.101 Sniffer machine

Password sniffing:

SNIFFING, adalah penyadapan terhadap lalu lintas data pada suatu jaringan komputer.

“Sniffer Paket (arti tekstual:

pengendus paket — dapat pula diartikan ‘penyadap paket’)

Ethereal, Network Analyzers atau

Ethernet Sniffer merupakan aplikasi yang dapat melihat lalu lintas data pada jaringan komputer.

Password sniffing:

SNIFFING, is the wiretapping of data traffic on a network computer.

“Sniffer Paket (textual meaning: packet-sniffing - it can also be interpreted ‘tapper packages'). Ethereal, Network Analyzers or Ethernet Sniffers are applications that can view the data traffic on computer networks.

Pencegahan Password sniffing



Gunakan switch (jangan hub)



Gunakan aplikasi yang mendukung enkripsi



Aplikasikan setting VPN

Password sniffing prevention

Use the switches (not hubs)

Use an application that supports encryption

Gunakan aplikasi yang mendukung enkripsi

VPN (Virtual Private Network) settings apply

Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social

engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Atau tahap pertama

memperoleh user_id dan password.

Social engineering is the acquisition of confidential information or intimation /

sensitive by cheating the owner of that information. Social engineering is typically done via telephone or Internet. Social engineering is one of the methods used by hackers to obtain information about the target, by requesting information directly to the victim or others who have that information. Or the first stage to get user_id and password.

Pencegahan Social Engineering

 Perlunya pelatihan dan pendidikan bagi user dalam masalah keamanan komputer

Prevention of Social Engineering



Comparative Analysis for password breaking



(assumption : software can calculate 500.000

ACCESS CONTROL

 Sekali user login ke sistem, maka

user tersebut diberikan otorisasi untuk mengakses sumber daya sistem,

misalnya file, directory, dll

Yang perlu diperhatikan adalah:

 Siapa saja yang boleh membaca isi

file kita

 Siapa saja yang boleh merubah isi file

kita

 Bolehkah file kita di-share ke user lain?

ACCESS CONTROL

Once a user logged into the system, then the user is given authorization to access the system resources, such as files, directories, etc.

To note are:

Anyone who can read the contents of our file

Anyone who can change the contents of our file

Ada 3 tipe dasar pengaksesan file



Read (r)



Write (w)



Execute (x)

There are three basic types of file

access

Read (r)

Write (w)

Execute (x)

Metode Ownership

 Pembuat file adalah pemilik file  Identifikasi pembuat file disimpan

 Hanya pemilik yang dapat mengakses file miliknya

 Administrator dapat mengakses juga

Metode Ownership

File maker is the owner of the file Identify of the maker files are stored Only the owner can access his files Administrators can also access

Metode File Types

 File akan didefinisikan sebagai public file, semipublic file atau private file

◦ Public file -> semua user mempunyai hak penuh (rwx)

◦ Semi public file -> user lain hanya mempunyak hak read execute(rx)

◦ Private file -> user lain tidak punya hak

Metode File Types

The file will be defined as a public file, the file semipublic or private files Public files -> all users have full rights (rwx)

Semi-public files -> other user rights only experiences a read execute (rx) Private files -> other users have no rights

Metode Self/Group/Public Controls

 Disebut juga user/group/other

user – pemilik file

group – sekelompok user

other – user yang tidak termasuk di atas

 Setiap file/directory memiliki

sekumpulan bit-bit yang disebut file permissions/ Protection mode

 Tipe proteksi untuk file:

r -> hak untuk membaca file w -> hak untuk menulis ke file x -> hak untuk menjalankan file - -> tidak mempunyai hak

Metode Self/Group/Public Controls

Also called user / group / other user - the owner of the file

group - a group of users

other - users who are not included above

Each file / directory has a set of bits called the file permissions /

Protection mode

Type of protection for files: r -> right to read file

w -> right to write to a file x -> right to run the file - -> Do not have the right

 Tipe proteksi untuk directory:

r -> hak untuk membaca Isi directory

w -> hak untuk membuat dan menghapus file x -> hak untuk masuk ke directory

- -> tidak mempunyai hak

Type of protection for the directory:

r -> right to read the contents of directory w -> right to create and delete files

x -> the right to enter the directory - -> Do not have the right

Contoh:

-rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c

-rwx rw- r--

U G O

 Abaikan tanda (-) pertama

 Pemilik file (budi) mempunyai hak rwx

 Anggota group staff mempunyai hak rw

 User lainnya hanya mempunyai hak r

 Tanda (–) menunjukkan bahwa user

tidak punya hak

Contoh:

-rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c

-rwx rw- r--

U G O

Ignore the sign (-) first

Owner files (Budi) has rwx rights

Members of staff have the right group rw

Other users only have the right to r Sign (-) indicates that the user does not have the right

Metode Access Control Lists

 Berisi daftar users dan groups dengan haknya masing-masing.

 Contoh:

file penggajian.exe diberi ACL <john.akun,r>

<jane.pengj,rw> <*.persn,r>

Metode Access Control Lists

Contains a list of users and groups with their own right.

example:

payroll.exe file given ACL (Acces Control List)

<john.account,r> <jane.payroll,rw> <*.persn,r>