PRODUK
AUTENTIKASI USER
1.
Secureid ACE (Access Control Encryption)
System token
hardware seperti kartu kredit berdisplay, pemakai akan menginput nomor pin yang
diketahui bersama, lalu memasukkan pascode bahwa dia pemilik token.
2.
S/key (Bellcore)
System software
yang membentuk one time password (OTP) berdasarkan informasi login terakhir
dengan aturan random tertentu.
Pada prinsipnya "mungkin" KeyBCA menggunakan One Time
Password. metoda
yang terkenal adalah S/Key (dikemukakan oleh Lamport yg bikin
TLA, dan
LaTeX, tadinya di Digital sekarang ditarik ke Microsoft. S/Key
ini
dikembangkan oleh Haller dari Bellcore pertama kalinya.
Prinsipnya OTP ini menggunakan deretan "key" yang
hanya bisa dipakai
sekali, setelah satu key dipakai maka key tersebut tak bisa
dipakai lagi.
Harus dipilih key lainnya.
Misal :
K (K_0,
K_1, .... K_n) adalah key untuk OTP
Ada 2 kemungkinan penerapan model ini
- K dihasilkan secara random, User (U) dan Sistem (S) mengetahui
K ini.
pada model ini bila
sistem telah bocor maka K dapat digunakan di waktu
mendatang.
- K dihasilkan ketika diminta, U dapat memvalidasi
dengan cara ini walau
orang megnetahu K_n tapi tak mengetahui K_n+1
Sistem OTP ini menggunakan fungsi hash (H) dengan suatu seed
y = H(x)
Dimana x relatif panjang, dan y relatif pendek sedangkan x tidak
bisa
dihasilkan walaupun orang mengetahui x, dengan kata lain H
adalah
irreversible. Fungsi kompresi dan enkripsi tak dapat digunakan.
3. Password
Authentication Protocol (PAP)
Protokol dua
arah untuk PPP (Point to point Protocol). Peer mengirim pasangan user id dan
password, authenticator menyetujuinya.
PAP
menyediakan metode sederhana untuk sebuah node remote untuk menentukanidentitas
dengan menggunakan
jabat tangan dua arah. Setelah link PPP tahap pembentukanselesai,
sepasang username dan password berulang kali dikirim
oleh simpul terpencil diseluruh link (dalam bentuk teks) sampai
otentikasi diakui, atau sampai sambungan diakhiri.
PAP
bukan merupakan protokol otentikasi yang aman. Password akan dikirim di
link dalam teks yang jelas dan tidak ada perlindungan dari pemutaran atau
serangan jejak-and-error. Node remote mengendalikan frekuensi dan waktu usaha
login.
Password
Authentication Protocol (PAP) menyediakan metode sederhana untuk
peeruntuk
menentukan
identitas dengan menggunakan jabat tangan 2-arah. Ini dilakukan
hanyapada
link pendirian awal.
Setelah
fase Link Pendirian
selesai, sebuah Id / Password pasangan berulang kalidikirim oleh
peer untuk authenticator sampai otentikasi diakui atau sambungan
diakhiri.PAP
bukan metode otentikasi yang kuat. Password dikirim melalui sirkuit "di
jelas",dan tidak ada perlindungan dari pemutaran
4.
Challenge Handshake Authentication Protocol (CHAP)
S/key pada PAP,
protocol 3 arah, authenticator mengirim pesan tantangan ke peer, peer
menghitung nilai lalu mengirimkan ke authenticator, authenticator menyetujui
otentikasi jika jawabannya sama dengan nilai tadi.
CHAP digunakan secara
periodik untuk memverifikasi pengguna atau host network menggunakan
suatu metode yang dinamakan 3-way handshake. Proses ini dilakukan selama
inisialisasi link establishment. Dan sewaktu-waktu bisa saja diulang
setelah hubungan telah terbentuk. Berikut di bawah ini proses yang terjadi pada
protokol CHAP :
- Setelah fase link establishment selesai, otentikator mengirimkan sebuah pesan challenge ke peer atau pasangan usernya.
- Peer meresponnya dengan menghitung suatu nilai hash-nya.
- Otentikator merespon nilai hash tersebut, kemudian membandingkannya. Jika nilai hash-nya sama, maka otentikasi valid, sebaliknya koneksi bisa saja diputus.
- Pada interval tertentu (ditentukan secara acak), otentikator mengirimkan suatu challenge baru kepada peer dan peer meresponnya seperti pada tahap (2).
- Begitupun dengan otentikator merespon nilai hash tersebut seperti pada tahap (3).
Spesifikasi Umum CHAP
Persyaratan
Desain
Algoritma CHAP
mensyaratkan bahwa panjang nilai secret minimal harus delapan oktet (64-bit).
Dan juga nilai secret tersebut diusahakan tidak terlalu pendek serta
susah untuk ditebak (tidak bersifat umum, contoh : root, 123456, dan
lain-lain). Nilai secret tersebut disarankan minimal sepanjang nilai
hashnya (hal ini tergantung dari algoritma hash yang dipilih) atau dengan kata
lain panjangnya tidak kurang dari nilai hashnya. Hal ini dimaksudkan agar cukup
tahan terhadap exhaustive search attack.
Masing - masing nilai
challenge harus unique (tidak sama satu sama lain), karena
perulangan dari nilai challenge tersebut dalam hal ini untuk nilai secret
yang sama, akan memberikan peluang bagi attacker untuk melakukan replay
attack. Oleh karena itu diharapkan bahwa untuk nilai secret yang
sama yang digunakan untuk melakukan
otentikasi dengan server – server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifat unpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan – serangan aktif dengan jangkauan yang luas.
otentikasi dengan server – server pada wilayah yang berbeda-beda, nilai challenge-nya harus menunjukkan keunikan. Disamping itu juga, nilai challenge harus bersifat unpredictable. Karena dengan nilai challenge yang bersifat unpredictable, dapat melindungi dari serangan – serangan aktif dengan jangkauan yang luas.
Kelebihan
CHAP memberikan
perlindungan terhadap playback attack yang dilakukan oleh peer. Kegunaan
dari challenge yang diulang-ulang adalah dimaksudkan untuk membatasi
waktu pembukaan untuk suatu single attack. Otentikator bertugas
mengontrol frekuensi dan waktu dari challenges. Metode otentikasi ini
tergantung pada suatu nilai secret yang hanya diketahui oleh otentikator
dan peer yanag bersangkutan dimana nilai secret tersebut tidak
dikirimkan lewat jaringannya. Walaupun otentikasinya bersifat satu arah (one
way), melalui negosiasi CHAP pada kedua arah, maka nilai secret yang
sama dapat dengan mudah digunakan untuk mutual authentication.
Kekurangan
Disamping memiliki
kelebihan, CHAP juga memiliki kekurangan yakni nilai secret-nya harus
tersedia dalam bentuk plaintext. Basis data untuk password yang
terenkripsi satu arah, ada yang tidak bisa digunakan. Sehingga hal tersebut
membuat CHAP tidak baik untuk jaringan yang lebih luas. Hal ini karena akan
membuat instalasi yang besar yang harus dikelola di kedua pihak (peer)
dalam jaringan.
5.
Remote Authentication Dial-in User Service (RADIUS)
Untuk hubungan
dial-up, menggunakan network access server, dari suatu host yang menjadi client
RADIUS, merupan system satu titik akses.
Radius banyak dipakai oleh Provider dan ISP internet untuk authentikasi dan billingnya. Radius juga bisa dipakai oleh jaringan RT/RW-Net untuk authentikasi para penggunanya dan untuk mengamankan jaringan RT/RW-Net yang ada.
Di indonesia sudah ada service radius, namun berbayar seperti indohotspot.net . Ada juga service yang tidak berbayar, dan dikelola oleh luar negeri seperti chillidog.org Selain lebih menghemat budget, dan juga menghemat biaya maintenance, sistem Radius yang di host di internet merupakan salah satu solusi murah untuk para penggagas sistem HotSpot.
6.
Terminal Access Controller Access Control System (TACACS)
Protokol
keamanan berbasis server dari CISCO System. Secury\ity Server terpusat dangan
file password UNIX, database otentikasi, otorisasi dan akunting, fungsi digest
(transmisi password yang tidak polos).
TACACS
memberikan metode yang mudah untuk menentukan akses jaringan pengguna melalui
komunikasi server otentikasi jauh. Protokol TACACS menggunakan port 49 secara default. TACACS menggunakan memungkinkan / menolak mekanisme dengan kunci otentikasi yang sesuai dengan username dan password. Cisco, yang dirancang dan diluncurkan protokol TACACS, juga pemiliknya.
Techopedia menjelaskan Terminal Access Controller Access Control System (TACACS)
Protokol TACACS, yang memiliki mekanisme kerja yang sangat sederhana, menerima permintaan pengguna dari server jauh dan ke depan query ini untuk tindakan yang diperlukan untuk server otentikasi. Server otentikasi dapat mengizinkan atau menolak permintaan pengguna atas nama host. Host adalah sistem atau platform yang berjalan di server. Hasil query dikirim ke inisiator query sebagai respon umpan balik.Routing simpul yang digunakan dalam koneksi dialup selama proses login user memungkinkan atau menolak akses pengguna berdasarkan respon query ini.
