Produk Autentikasi User

PRODUK  AUTENTIKASI  USER

1. Secureid ACE (Access Control Encryption)

System token hardware seperti kartu kredit berdisplay, pemakai akan menginput nomor pin yang diketahui bersama, lalu memasukkan pascode bahwa dia pemilik token.

2. S/key (Bellcore)

System software yang membentuk one time password (OTP) berdasarkan informasi login terakhir dengan aturan random tertentu.

Pada prinsipnya "mungkin" KeyBCA menggunakan One Time Password. metoda

yang terkenal adalah S/Key (dikemukakan oleh Lamport yg bikin TLA, dan

LaTeX, tadinya di Digital sekarang ditarik ke Microsoft. S/Key ini

dikembangkan oleh Haller dari Bellcore pertama kalinya.

Prinsipnya OTP ini menggunakan deretan "key" yang hanya bisa dipakai

sekali, setelah satu key dipakai maka key tersebut tak bisa dipakai lagi.

Harus dipilih key lainnya.

Misal :

                K (K_0, K_1, .... K_n) adalah key untuk OTP

Ada 2 kemungkinan penerapan model ini

- K dihasilkan secara random, User (U) dan Sistem (S) mengetahui K ini.

  pada model ini bila sistem telah bocor maka K dapat digunakan di waktu

  mendatang.

- K dihasilkan ketika diminta, U dapat memvalidasi

  dengan cara ini walau orang megnetahu K_n tapi tak mengetahui K_n+1

Sistem OTP ini menggunakan fungsi hash (H) dengan suatu seed

                          y = H(x)

Dimana x relatif panjang, dan y relatif pendek sedangkan x tidak bisa

dihasilkan walaupun orang mengetahui x, dengan kata lain H adalah

irreversible. Fungsi kompresi dan enkripsi tak dapat digunakan.

3. Password Authentication Protocol (PAP)

Protokol dua arah untuk PPP (Point to point Protocol). Peer mengirim pasangan user id dan password, authenticator menyetujuinya.

PAP menyediakan metode sederhana untuk sebuah node remote untuk menentukanidentitas dengan menggunakan jabat tangan dua arah. Setelah link PPP tahap pembentukanselesai, sepasang username dan password berulang kali dikirim oleh simpul terpencil diseluruh link (dalam bentuk teks) sampai otentikasi diakui, atau sampai sambungan diakhiri.

PAP bukan merupakan protokol otentikasi yang aman. Password akan dikirim di link dalam teks yang jelas dan tidak ada perlindungan dari pemutaran atau serangan jejak-and-error. Node remote mengendalikan frekuensi dan waktu usaha login.

Password Authentication Protocol (PAP) menyediakan metode sederhana untuk peeruntuk menentukan identitas dengan menggunakan jabat tangan 2-arah. Ini dilakukan hanyapada link pendirian awal.

Setelah fase Link Pendirian selesai, sebuah Id / Password pasangan berulang kalidikirim oleh peer untuk authenticator sampai otentikasi diakui atau sambungan diakhiri.PAP bukan metode otentikasi yang kuat. Password dikirim melalui sirkuit "di jelas",dan tidak ada perlindungan dari pemutaran

4. Challenge Handshake Authentication Protocol (CHAP)

S/key pada PAP, protocol 3 arah, authenticator mengirim pesan tantangan ke peer, peer menghitung nilai lalu mengirimkan ke authenticator, authenticator menyetujui otentikasi jika jawabannya sama dengan nilai tadi.

CHAP digunakan secara periodik untuk memverifikasi pengguna atau host network menggunakan suatu metode yang dinamakan 3-way handshake. Proses ini dilakukan selama inisialisasi link establishment. Dan sewaktu-waktu bisa saja diulang setelah hubungan telah terbentuk. Berikut di bawah ini proses yang terjadi pada protokol CHAP :

1. Setelah fase link establishment selesai, otentikator mengirimkan sebuah pesan challenge ke peer atau pasangan usernya.
2. Peer meresponnya dengan menghitung suatu nilai hash-nya.
3. Otentikator merespon nilai hash tersebut, kemudian membandingkannya. Jika nilai hash-nya sama, maka otentikasi valid, sebaliknya koneksi bisa saja diputus.
4. Pada interval tertentu (ditentukan secara acak), otentikator mengirimkan suatu challenge baru kepada peer dan peer meresponnya seperti pada tahap (2).
5. Begitupun dengan otentikator merespon nilai hash tersebut seperti pada tahap (3).

Spesifikasi Umum CHAP

Persyaratan Desain

Algoritma CHAP mensyaratkan bahwa panjang nilai secret minimal harus delapan oktet (64-bit). Dan juga nilai secret tersebut diusahakan tidak terlalu pendek serta susah untuk ditebak (tidak bersifat umum, contoh : root, 123456, dan lain-lain). Nilai secret tersebut disarankan minimal sepanjang nilai hashnya (hal ini tergantung dari algoritma hash yang dipilih) atau dengan kata lain panjangnya tidak kurang dari nilai hashnya. Hal ini dimaksudkan agar cukup tahan terhadap exhaustive search attack.

Masing - masing nilai challenge harus unique (tidak sama satu sama lain), karena perulangan dari nilai challenge tersebut dalam hal ini untuk nilai secret yang sama, akan memberikan peluang bagi attacker untuk melakukan replay attack. Oleh karena itu diharapkan bahwa untuk nilai secret yang sama yang digunakan untuk melakukan
otentikasi dengan server – server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifat unpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan – serangan aktif dengan jangkauan yang luas.

Kelebihan

CHAP memberikan perlindungan terhadap playback attack yang dilakukan oleh peer. Kegunaan dari challenge yang diulang-ulang adalah dimaksudkan untuk membatasi waktu pembukaan untuk suatu single attack. Otentikator bertugas mengontrol frekuensi dan waktu dari challenges. Metode otentikasi ini tergantung pada suatu nilai secret yang hanya diketahui oleh otentikator dan peer yanag bersangkutan dimana nilai secret tersebut tidak dikirimkan lewat jaringannya. Walaupun otentikasinya bersifat satu arah (one way), melalui negosiasi CHAP pada kedua arah, maka nilai secret yang sama dapat dengan mudah digunakan untuk mutual authentication.

Kekurangan

Disamping memiliki kelebihan, CHAP juga memiliki kekurangan yakni nilai secret-nya harus tersedia dalam bentuk plaintext. Basis data untuk password yang terenkripsi satu arah, ada yang tidak bisa digunakan. Sehingga hal tersebut membuat CHAP tidak baik untuk jaringan yang lebih luas. Hal ini karena akan membuat instalasi yang besar yang harus dikelola di kedua pihak (peer) dalam jaringan.

5. Remote Authentication Dial-in User Service (RADIUS)

Untuk hubungan dial-up, menggunakan network access server, dari suatu host yang menjadi client RADIUS, merupan system satu titik akses.

RADIUS didefinisikan di dalam RFC 2865 dan RFC 2866, yang pada awalnya digunakan untuk melakukan autentikasi terhadap akses jaringan secara jarak jauh dengan menggunakan koneksi dial-up. RADIUS, kini telah diimplementasikan untuk melakukan autentikasi terhadap akses jaringan secara jarak jauh dengan menggunakan koneksi selain dial-up, seperti halnya Virtual Private Networking (VPN), access point nirkabel, switch Ethernet, dan perangkat lainnya.
Radius banyak dipakai oleh Provider dan ISP internet untuk authentikasi dan billingnya. Radius juga bisa dipakai oleh jaringan RT/RW-Net untuk authentikasi para penggunanya dan untuk mengamankan jaringan RT/RW-Net yang ada.
Di indonesia sudah ada service radius, namun berbayar seperti indohotspot.net . Ada juga service yang tidak berbayar, dan dikelola oleh luar negeri seperti chillidog.org Selain lebih menghemat budget, dan juga menghemat biaya maintenance, sistem Radius yang di host di internet merupakan salah satu solusi murah untuk para penggagas sistem HotSpot.

6. Terminal Access Controller Access Control System (TACACS)

Protokol keamanan berbasis server dari CISCO System. Secury\ity Server terpusat dangan file password UNIX, database otentikasi, otorisasi dan akunting, fungsi digest (transmisi password yang tidak polos).

TACACS memberikan metode yang mudah untuk menentukan akses jaringan pengguna melalui komunikasi server otentikasi jauh. Protokol TACACS menggunakan port 49 secara default.

TACACS menggunakan memungkinkan / menolak mekanisme dengan kunci otentikasi yang sesuai dengan username dan password. Cisco, yang dirancang dan diluncurkan protokol TACACS, juga pemiliknya.

Techopedia menjelaskan Terminal Access Controller Access Control System (TACACS)

Protokol TACACS, yang memiliki mekanisme kerja yang sangat sederhana, menerima permintaan pengguna dari server jauh dan ke depan query ini untuk tindakan yang diperlukan untuk server otentikasi. Server otentikasi dapat mengizinkan atau menolak permintaan pengguna atas nama host. Host adalah sistem atau platform yang berjalan di server. Hasil query dikirim ke inisiator query sebagai respon umpan balik.

Routing simpul yang digunakan dalam koneksi dialup selama proses login user memungkinkan atau menolak akses pengguna berdasarkan respon query ini.