imabge security code dan jaminan keamanan web

Perkembangan teknologi informasi khususnya Internet telah mengubah kehidupan manusia dengan memanfaatkan aplikasi web sebagai media untuk penyimpanan dan pengolahan data. Akses data melalui jaringan public memiliki keuntungan yaitu dapat dilakukan kapan saja dan dari mana saja, namun juga menyisakan beberapa permasalahan terkait dengan jaminan keamanan data, yang meliputi kerahasiaan (confidentiality), integritas (integrity) serta ketersediaan (availability).

Pengembang aplikasi sistem informasi dan teknologi informasi, khususnya aplikasi web harus memperhatikan ketiga permasalahan ini, guna memberikan jaminan kepada pengguna akan keamanan data yang disimpan maupun diolah oleh aplikasi web tersebut. Salah satu tinjauan yakni masalah kerahasiaan dapat diartikan sebagai perlindungan terhadap data dalam aplikasi web yang memberikan jaminan bahwa data tersebut hanya dapat diakses oleh orang yang berhak dan tidak dapat diakses oleh pihak-pihak yang tidak berhak.

Proses perancangan aplikasi sistem informasi berbasis web memerlukan analisis menyeluruh tidak hanya sebatas pada fungsionalitas sistem saja, tetapi juga prosedur untuk menjaga kerahasiaan data dan informasi. Pentingnya kerahasiaan data ini membutuhkan adanya proses identifikasi atau otentikasi terhadap user yang akan menggunakan sistem, hal ini untuk memastikan apakah seseorang berhak atau tidak untuk mengakses data dan informasi.

Data penting yang dikelola oleh aplikasi web memungkinkan adanya ancaman terhadap kerahasiaan data tersebut. Ancaman ini salah satunya bisa datang dari hacker yaitu orang yang mampu menembus proteksi pengendali akses dalam sebuah sistem, dengan memanfaatkan celah/kelemahan sistem tersebut. Seorang hacker dapat menembus sistem dan mengakses data layaknya seorang yang diberi hak akses, yakni dengan menungkap username dan password login dari orang-orang yang berhak tersebut.

Permasalahan yang dijumpai hampir pada setiap aplikasi web yang menyimpan data penting ini memerlukan adanya kontrol akses untuk mencegah akses yang tidak berhak ke objek, data dan informasi yang sensitif. Salah satu jenis serangan terhadap media kontrol akses adalah brute force attack. Metode serangan ini sebenarnya bukanlah cara baru, yakni metode coba-coba (trial and error) yang dilakukan oleh penyerang menggunakan tool atau script penebak password yang dapat bekerja efektif untuk mendapatkan otentikasi yang dianggap valid oleh sistem. Brute force attack dapat dilakukan dengan menebak password dari sebuah username dengan mencoba semua kombinasi karakter yang mungkin untuk memperoleh akses yang valid.

Salah satu turunan brute force attack ialah dictionary attack yang dilakukan dengan mencoba memberikan password berupa kata-kata yang umum digunakan dan mudah untuk dicari dari sebuah daftar atau kamus. Hal ini sangat mungkin dilakukan karena pada kenyataannya, banyak user yang mengunakan password login dengan kata-kata yang mudah ditebak.

Cara termudah untuk menghindari serangan ini yaitu dengan menerapkan kebijakan password yang ketat, misalnya user tidak diperbolehkan membuat password dengan karakter yang sama atau menyerupai dengan username, atau menggunakan kata-kata yang mudah ditebak. Pengembang aplikasi web juga harus mengindari tampilan informasi tentang username dan password login seperti memberikan komentar “invalid username” atau “invalid password”, karena hal ini memudahkan penyerang untuk menemukan username yang cocok dan kemudian melakukan brute force attack.

Pengaturan server untuk membatasi akses dari sebuah IP address tertentu yang mencoba melakukan brute force attack juga dapat dilakukan untuk mengurangi kemungkinan terjadinya serangan. Server harus dapat memblokir akses dari sebuah host yang telah beberapa kali gagal melakukan login pada saat yang berurutan atau diindikasikan sebagai brute force attack.

Teknik lain untuk menghindari kemungkinan terjadinya brute force attack yaitu dengan menambahkan fungsi untuk membuat sebuah bilangan dan/atau karakter acak yang harus dimasukkan oleh user ketika akan melakukan login ke dalam sistem, selain memasukkan username dan password. Bilangan dan/atau karakter acak ini dibangkitkan oleh aplikasi web dengan menggabungkan konsep session yang bekerja di sisi server, kemudian ditampilkan dalam halaman website berupa gambar, sehingga teknik ini dapat disebut sebagai image security code.

Kode yang dibangkitkan oleh server merupakan one-time code, artinya kode tersebut hanya bekerja satu kali saja untuk satu user dalam satu session yang sedang aktif. Kode tersebut ditampilkan bersama form login dalam format gambar, bukan teks. Gambar tersebut dapat dibuat dengan menggunakan server-side scripting, misalnya PHP maupun ASP.

User harus memasukkan pasangan username, password dan image security code yang ditampilkan dengan benar. Apabila user telah memasukkan username dan password yang valid, namun image security code yang dimasukkan tidak sesuai, maka sistem akan menolak akses tersebut. Ketika user mengulangi proses ini, maka server akan membangkitkan image security code baru.

Adanya one-time code berupa gambar ini dapat memberikan jaminan keamanan data pada aplikasi web dari ancaman brute force attack maupun ancaman sejenisnya. Secara tidak langsung, teknik ini dapat memastikan bahwa request berupa username dan password yang dikirimkan ke server adalah benar-benar diisikan oleh manusia, bukan oleh tool atau script tertentu.

Paparan di atas hanya menguraikan satu dari sekian banyak kemungkinan serangan yang dapat mengancam keamanan data pada aplikasi web, karena masih banyak metode serangan lain yang juga membahayakan, misalnya SQL injection, cross site scripting, parameter manipulation, file inclusion bahkan server-side code injection. Hacker tidak akan pernah berhenti mencari celah lubang keamanan untuk memperoleh otentikasi terhadap data dan informasi yang tersimpan dalam sistem dan hal ini tentunya harus diantisipasi oleh pengembang aplikasi web sejak proses perancangan sistem.

  1. No trackbacks yet.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: