Penerapan
Security Awareness dengan
Metode
Password Management
1. Pendahuluan
Pada
tulisan ini membahas sikap-sikap seorang pengguna komputer /
Administrator
data dalam mengamankan suatu sistem informasi data. Sebenarnya ada
banyak
hal yang dapat dilakukan oleh seorang administrator data untuk mengamankan
informasi
datanya. Seorang administrator dapat menggunakan berbagai macam sistem
enkripsi
data dari yang paling mudah sampai yang paling rumit, namun yang paling
penting
adalah sikap dari administrator itu sendiri. Seorang administrator data harus
sadar
akan masalah keamanan (memiliki security awareness).
Keamanan
informasi data adalah proses melindungi data dari penyalahgunaan
atau
perusakan yang dilakukan oleh orang-orang di dalam atau diluar sebuah
organisasi,
termasuk
pegawai, konsultan dan hacker.
Keamanan yang ditembus dapat berupa
sebuah
situs yang dideface (mencacati/mengotori)
, virus komputer, pegawai yang
secara
sengaja atau tidak sengaja menyebarkan password-nya,
mantan pegawai yang
menyabotase
database, atau bahkan mata-mata perusahaan lain yang mencuri data
tentang
banyak barang atau data keuangan barang yang dibeli pelanggan anda dari
perusahan
tempat anda bekerja.
Dalam
banyak kasus yang terjadi adalah seorang pegawai baru yang belum dapat
menghapal
password-nya dan menuliskannya di sebuah nota
post-it (kertas catatan
berukuran
kecil) yang ditempelkan pada monitornya. Teknologi enkripsi yang paling
canggih
pun akan menjadi tidak berguna apa bila cara tersebut dilakukan oleh seorang
pegawai.
Security
awareness tidak dapat tumbuh dengan begitu saja. Seorang
administrator
data harus diprogram secara aktif untuk melakukannya. Untuk lebih
mengenal
Security awareness dapat dilakukan
dengan mengikuti berbagai pelatihan atau
training.
My
Document/Diskomlekal/Pengolahan data/ 1
2. Sumber Daya Manusia
Banyak
permasalahan seputar aspek keamanan. Sumber daya manusia (SDM)
merupakan
komponen utama dari aspek keamanan karena pengguna sistem informasi
adalah
manusia itu sendiri. Patut disayangkan aspek kesadaran keamanan informasi
masih
kurang diperhatikan.
Sumber
daya manusia sebenarnya terdiri dari 2 (dua) pihak dalam pengelolaan
sistem
informasi data, yaitu pihak pengguna dan pihak pengelola. Banyak kasus pihak
pengguna
merupakan pihak yang terlemah. Contoh kasus adalah seorang pengguna tidak
boleh
memberikan password-nya
kepada sistem orang lain, kasus lain adalah harus
mengamankan
komputernya dari serang virus yang terbaru. Sedangkan dipihak
penggelola
adalah kurangnya SDM yang memahami akan masalah keamanan.
Mengingat
keadaan tersebut diatas maka perlu adanya satu departemen khusus
bertanggun
jawab dalam segala masalah berhubungan dengan keamanan (security).
Dari
departemen tersebut dapat dibentuk susunan organisasi yang bertanggungjawab
pada
informasi data, jaringan komputer dan internet. Departemen ini dapat memilih
seorang
kepala keamanan (chief security officer).
Tugas
dari seorang Chief Security Officer antara
lain:
a. Bertanggungjawab
terhadap masalah keamanan (security) baik
dalam aspek
sumber
daya manusia maupun data .
b. Merancang
dan melakukan program untuk pelatihan keamanan (security
training),
misalnya membuat slogan-slogan atau film yang mendidik tentang
masalah
keamanan informasi data dan jaringan.
c. Membuat
peraturan-peraturan (policy), misalnya
penguna tidak boleh membawa
disket,
bila masuk ke dalam ruangan komputer yang terdapat informasi data
penting.
Jika ada seorang administrator membutuhkan software harus melalui
departemen
TI
3. Peraturan keamanan
Informasi
berupa sekumpulan data dalam bentuk digital merupakan aset
biasanya
harus dijaga kerahasiaan ataupun keutuhannya. Dengan begitu, informasi
dalam
bentuk digital dapat memperoleh tingkat kepercayaan setara dengan informasi
dalam
bentuk riil, misalnya saja setara dengan tingkat kepercayaan orang banyak
terhadap
kebenaran sebuah akte hukum.
My
Document/Diskomlekal/Pengolahan data/ 2
Secara
umum, tujuan-tujuan utama dalam penjagaan keamanan suatu informasi
adalah
:
Kerahasiaan (Confidentiality)
: untuk menjaga agar informasi tidak
terbuka
bagi pihak-pihak yang tidak berwenang;
Integritas (Integrity)
: untuk menjaga keutuhan dan keaslian data;
Keberadaan (Availability)
: untuk menjaga agar akses pengguna yang
legal
terhadap data tidak ditolak oleh sistem;
Kelegalan penggunaan (Legitimate
use) : untuk menjaga agar
sumber-sumber
daya tidak digunakan oleh pihak yang tidak
berwenang.
Pada
dunia elektronik, diperlukan suatu sistem yang memungkinkan
penggunanya
untuk mengenali dan mempercayai pengguna lain, walaupun belum
pernah
bertemu secara langsung. Dalam praktek, teknologi informasi digunakan untuk
menjaga
keamanan pada sistem informasi adalah kombinasi dari teknologi keamanan
telekomunikasi
dan teknologi keamanan komputer. Teknologi keamanan
telekomunikasi
melakukan proteksi terhadap informasi saat informasi tersebut
ditransmisikan
dari satu sistem ke sistem lainnya. Sedangkan teknologi keamanan
komputer
memproteksi informasi saat informasi tersebut berada di dalam suatu sistem
komputer,
misalnya saja pada saat data berada di dalam database
Untuk
menumbuhkan kesadaran (awareness) pada
administrator data dapat
dibuat
suatu peraturan keamanan informasi data. Dibuat peraturan berisikan
aturanaturan
yang
dapat membantu kinerja setiap karyawan sesuai dengan ketentuaan
perusahaan.
Semua ketentuan harus jelas dipaparkan dalam peraturan pengamanan
sehingga
seluruh karyawan dapat memahami/mengerti aturan-aturan yang berkaitan
dengan
pengamanan informasi data perusahaan.
Dalam
membuat suatu peraturan pengamanan dapat mempertimbangan antara
lain:
a. sistem
keamanan (system security)
b. keamanan
data (data security)
c. keamanan
pengguna (user security)
My
Document/Diskomlekal/Pengolahan data/ 3
d. pengelolaan
password (password management)
Dari
pertimbangan-pertimbangan yang ada diatas , pada tulisan ini yang kami
bahas
disini dikhususkan terhadap materi pengelolaan password (password
management)
, yang kita sendiri ketahui bersama bahwa penggunaan password di
lingkungan
kerja terutama di satker-satker yang pekerjaannya menggunakan komputer
selalu
menggunakan password , tetapi password yang digunakan sangat sederhana dan
para
pengguna komputer masih banyak yang belum mengetahui bagaimana melakukan
pengelolaan
password.
4. Pengaturan Pengelolaan Password
Sistem
keamanan dalam suatu aplikasi database bergantung pada kerahasiaan
penyimpanan
password. Namun demikian, penggunaan password
masih saja rentan
terhadap
pencurian, pemalsuan, dan penyalahgunaan. Berikut ini manajemen password
yang
dapat mengatasi hal-hal berikut:
1.
Penguncian/Penutupan Account (Account locking)
2.
Password aging and expiration
3.
Verifikasi kerumitan Password (complexity verification
password)
4.1 Penguncian/Penutupan Account
Jika
ada pengguna yang melakukan kesalahan login beberapa
kali melebihi
dengan
yang sudah ditentukan, maka server secara otomatis akan melakukan
tertutup/terkunci
(locking) terhadap account
tersebut. Administrator akan
menentukan
jumlah batas percobaan kesalahan melakukan login, dan lamanya
account
akan di ditutup/kunci (locking).
Namun administrator juga dapat melakukan
penutupan
terhadap account tertentu secara langsung. Penutupan dengan cara ini,
tidak
dapat dilakukan pembukaan (unlocking) secara
otomatis.
4.2 Password
Aging and Expiration
Administrator
menggunakan perintah membuat bentuk (profile) untuk
menentukan
masa berlakunya (lifetime) penggunaan
password, bila masa berlakunya
sudah
lewat, maka pengguna atau administratornya harus mengubah password
tersebut.
My
Document/Diskomlekal/Pengolahan data/ 4
Masa berlaku
(lifetime)
password
*
* * * *
Waktu tenggang
(grace
periode)
password
*
* * * *
Administrator
juga akan menentukan grace periode,
yaitu tenggang waktu yang
diberikan
kepada pengguna untuk mengganti password-nya.
Bila password belum
diganti
hingga grace periode berakhir, maka
accountnya akan hangus dan pengguna
tersebut
tidak dapat lagi melakukan login. Administrator juga menggunakan perintah
membuat
profile untuk menentukan interval waktu dimana password
yang sudah
expired
tidak dapat digunakan lagi secara langsung. Berikut ini
adalah ilustrasi
mengenai
penjelasan grace period:
Terakhir
mengubah login pertama setelah
Password
waktu berakhir password
Gambar
3.1 pemeriksaan masa berlakunya password
4.3 Verifikasi Kerumitan Password
Verifikasi
kerumitan password akan
mengatur parameter profil default
password
yang dilakukan dengan pemeriksaan-pemeriksaan sebagai
berikut:
- Password
memiliki panjang minimum 6.
- Password
tidak sama dengan pengguna ID.
- Password
sedikitnya memiliki satu alfa, satu numerik, dan satu tanda
baca.
- Password
tidak boleh sama dengan kata-kata sederhana seperti nama
pengguna.
- Password
yang baru harus berbeda sedikitnya tiga huruf dengan password
yang
lama.
5. Pelatihan Security Awareness
Ada
banyak pelatihan yang dapat diberikan pada administrator data. Pelatihan
diadakan
dengan maksud memberi pengetahuan atau wawasan tentang hal terpenting
untuk
dilakukan oleh seorang administrator data. Pelatihan dapat program sesuai
dengan
tingkat
pekerjaan yang menjadi tugas seorang administrator data, diantaranya pelatihan
yang
mungkin dilakukan adalah:
1.
cara menggunakan dan memilih password.
2.
pemakaian account dan password yang
bertanggungjawab.
My
Document/Diskomlekal/Pengolahan data/ 5
3. penggunaan
logoff pada jaringan workstation
komputer
4.
cara mengunakan enkripsi pada data.
5.
membuat peraturan tentang keamanan jaringan.
5.1
Cara Menggunakan Dan Memilih
Password
Perlu
mendapat perhatian dalam mengunakan dan memilih password
adalah
memberi
pengertian yang dapat menumbuhkan sikap bahwa password
tidak dapat
digunakan
disembarang tempat dan mempunyai arti penting. Misalnya password
digunakan
ditempat rental warnet pada ruangan yang tidak mendukung privasi
seorang
penyewa, sehingga orang lain dapat dengan mudah melihat pengguna saat
memakai
password-nya.
Dalam
memilih password ada baiknya dibuat dengan mengkombinasi
angka
dengan
huruf. Hal ini dimaksudkan supaya orang lain sulit mengira atau menebak
passsword.
Misalnya membuat password huruf
dengan nama diri sendiri, nama istri
atau
anak, password angka dengan memakai tanggal kelahiran,
nomor induk
pegawai.
Gambar
5.1 Contoh sticker yang untuk Sosialisasi
5.2 Pemakaian Account Dan Password Yang
Bertanggungjawab
Dalam
hal menanamkan rasa tanggun jawab pada administrator data adalah
prinsip
bahwa “Awareness is the first line of defense” dari
sistem informasi data.
Ada
beberapa orang yang membuat kesalahan pada password
yang dipunyai.
Misalnya
menceritakan password yang
dipunyai kepada orang lain, membiarkan
komputer
menyala tanpa ada penjaganya dan tidak melakukan pembaruan password.
My
Document/Diskomlekal/Pengolahan data/ 6
Gambar
5.2 Contoh Poster Untuk Sosialisasi
5.3 Penggunaan logoff pada jaringan workstation
Agar
komputer tidak digunakan orang lain yang tidak berkepentingan dan
untuk
menanamkan kebiasaan penggunaan logoff pada jaringan workstation
komputer
dapat dilakukan dengan memberi pelatihan tentang keuntungan dan
kerugian
penggunaan logoff. Dapat juga membuat selogan tentang bahaya yang
timbul
bila tidak logoff pada jaringan workstation komputer.
Ada baik bila dapat
ditanamkan
sikap “Technology alone can’t solve security”. Artinya
tidak satu pun
teknologi
yang dapat menyelesaikan keamanan.
Gambar
5.3 Selogan Yang Untuk Sosialisasi
5.4 Pengenalan Dan Penggunaan Enkripsi Data
Administrator
data diberi pelatihan pengenalan dan penggunaan tentang enkripsi
data.
Enkripsi digunakan untuk menyandikan data-data atau informasi data sehingga
tidak
dapat dibaca oleh orang yng tidak berhak. Dengan enkripsi, data kita
disandikan
(encrypted) dengan dengan mengunakan sebuah kunci (key).
Untuk
membuka
(decrypt) data tersebut digunakan juga sebuah kunci yang dapat sama
dengan
kunci mengenkripsi (private key cryptography) atau
dengan kunci yang
berbeda
(public key cryptography). Sedang
kriptografi (cryptography) adalah
ilmu
dan
seni untuk menjaga pesan agar aman.
My
Document/Diskomlekal/Pengolahan data/ 7
Gambar
5.4 Kriptografi dengan Kunci Private
5.4.1 Sistem Kriptografi
Untuk
menjaga kerahasiaan informasi, digunakan sistem kripto, yaitu
sistem
pengaman yang dapat mengacak informasi sehingga seolah-olah
informasi
tersebut menjadi terkunci. Selanjutnya untuk membaca informasi
tersebut,
seseorang harus mempunyai kunci yang sesuai. Sistem kripto yang
dipakai
di internet terdiri atas dua macam, yaitu sistem kripto simetris dan sistem
kripto
asimetris. Contoh algoritma yang menggunakan sistem kripto simetris
antara
lain adalah DES (Data Encription Standard),
Triple DES, IDEA, RC2,
RC4,
dan RC5. Sedangkan algoritma yang menggunakan sistem kripto asimetris
antara
lain adalah RSA (Rivest Shamir Adleman)
dan Diffie-Hellman.
Gambar
5.5 Kriptografi dengan Kunci Publik
5.4.1.1 Sistem Kriptografi Simetris
My
Document/Diskomlekal/Pengolahan data/ 8
Sistem
kripto simetris melakukan proses enkripsi dan dekripsi dengan
memakai
kunci yang sama (seperti ilustrasi pada Gambar 1). Seorang hacker
yang
ingin membuka data yang telah dienkripsi (ciphertext)
tanpa mempunyai
kunci
bisa saja berhasil jika bisa menebak isi kunci secara tepat. Tingkat
kesulitan
penebakan kunci tersebut sesuai dengan panjangnya kunci yang
digunakan.
Kunci simetris tersebut tidak boleh jatuh ke pihak lain yang tidak
berwenang
untuk mendapatkan data asli (plaintext).
Gambar 1 –
Sistem Kripto Simetris
Sistem
kripto simetris dapat beroperasi dengan mekanisme block
cipher
ataupun
mekanisme stream cipher.
Pada mekanisme block cipher,
fungsi
enkripsi
beroperasi pada blok-blok plaintext yang berukuran tetap. Jika blok
yang
digunakan mempunyai panjang n bit, maka blok hasil enkripsi juga
mempunyai
panjang n bit. Umumnya panjang blok yang digunakan adalah 64
bit.
Sedangkan pada mekanisme stream cipher,
enkripsi dilakukan pada data
plaintext
yang ukurannya tidak dibatasi. Stream cipher memproses data sebagai
deretan
karakter-karakter, dengan menggunakan karakter berupa satu bit data
ataupun
sejumlah kecil bit data. Stream cipher dapat
juga dikombinasikan
dengan
block cipher, yaitu dengan menggunakan blok-blok
sebagai karakter
penyusunnya.
5.4.1.2 Sistem Kriptografi Asimetris
Berbeda
dengan sistem kripto simetris, sistem kripto asimetris
menggunakan
dua kunci yang berbeda dalam proses enkripsi dan dekripsi data.
Sistem
kripto asimetris juga dikenal dengan nama Kriptografi Kunci Publik.
Sistem
ini menggunakan dua kunci/key (berupa kode angka), satu kunci
My
Document/Diskomlekal/Pengolahan data/ 9
digunakan
untuk meng-enkripsi data, dan kunci lainnya untuk men-dekripsi data
tersebut.
Kedua kunci tersebut terhubung secara matematis dengan rumus
tertentu,
sehingga data yang telah di-enkripsi oleh suatu kunci hanya bisa didekripsi
dengan
menggunakan kunci pasangannya.
Setiap
pengguna mempunyai dua kunci, yaitu kunci publik dan kunci
privat.
Pengguna dapat menyebarkan kunci publik secara bebas. Karena adanya
hubungan
yang khusus antara kedua kunci, pengguna dan siapa pun yang
menerima
kunci publik tersebut mendapat jaminan bahwa data yang telah
dienkripsi
dengan kunci tersebut hanya bisa didekripsi oleh kunci pasangannya,
berupa
kunci privat milik pengguna yang sama. Keamanan ini terjamin selama
pengguna
dapat menjaga kerahasiaan kunci privat. Pasangan kunci ini harus
dibuat
secara khusus oleh pemiliknya. Algoritma yang biasanya digunakan untuk
pembuatan
pasangan kunci adalah algoritma RSA (dinamakan berdasarkan
inisial
pembuatnya, yaitu : Rivest, Shamir, dan Adleman).
Pada
Gambar 2, diperlihatkan proses penggunaan kunci publik dan kunci
privat.
Enkripsi dilakukan oleh pengirim data dengan menggunakan kunci publik
milik
calon penerima. Kunci ini dapat diambil dari Penyimpanan Kunci Publik
(Public
Key Inventory), dan digunakan untuk melakukan enkripsi pada suatu
rentetan
data (yang biasanya berupa data kunci simetris) sehingga data menjadi
data
yang teracak (cipher). Setelah terenkripsi, cipher kemudian dikirimkan.
Waktu
sampai di tujuan, cipher didekripsi oleh penerima dengan menggunakan
kunci
privat. Kunci privat ini merupakan pasangan dari kunci publik yang tadi
dipakai
untuk mengacak data, dan hanya dimiliki oleh pemiliknya. Sejumlah
algoritma
kunci publik, seperti RSA, juga memungkinkan proses ini dijalankan
sebaliknya,
yaitu kunci privat digunakan untuk melakukan enkripsi data, dan
kunci
publik digunakan untuk dekripsi data.
My
Document/Diskomlekal/Pengolahan data/ 10
Gambar 2 –
Sistem Kripto Asimetris
Karena
algoritmanya yang lebih kompleks, komputasi yang diperlukan
untuk
sistem kripto asimetris jauh lebih besar dibandingkan dengan sistem kripto
simetris.
Oleh karena itu, biasanya data yang dikomunikasikan biasanya tetap
dienkrip
dengan menggunakan sistem kripto simetris. Kunci simetris yang
digunakan
adalah kunci sesi (session key),
bersifat unik untuk tiap sesi
komunikasi
yang dilakukan. Kunci sesi itu merupakan kunci simetris yang
digunakan
untuk komunikasi data pada jangka waktu tertentu. Di pihak lain,
sistem
kripto asimetris digunakan pada awal sesi komunikasi untuk pengiriman
kunci
sesi yang diperlukan. Pada umumnya, kunci sesi diganti-ganti terus jika
transaksi
data berlangsung dalam waktu yang lama. Penggantian ini diperlukan
untukmenghindari
kemungkinan penyerang mencari kunci yang sesuai, karena
kunci
simetris lebih cepat untuk di-hack dibandingkan dengan kunci asimetris.
Suatu
pihak pengelola e-commerce harus
membuat pasangan kunci
khusus
untuk webnya. Kunci privat, pasangan untuk pasangan kunci publik
disimpan
oleh pemiliknya, dan tidak boleh jatuh ke tangan orang lain. Kunci
publik
harus disebarkan, tapi harus ada jaminan bahwa kunci publik tersebut
adalah
benar-benar dimiliki oleh pemilik yang sah. Oleh karena itu, maka
sertifikat
digital, yang menjamin keaslian kunci publik, adalah entity yang
sebenarnya
yang disebarkan untuk konsumsi publik. Sertifikat adalah file data
yang
berisi kunci publik yang disertai dengan identitas pemilik, dibuat dan
disahkan
oleh badan khusus yang bernama Certification Authority (CA).
Sertifikat
dari beberapa CA disertakan secara otomatis pada web browser
My
Document/Diskomlekal/Pengolahan data/ 11
tertentu,
dan telah tersedia jika browser tersebut di-install. Dengan adanya
sertifikat
CA pada browser, maka semua sertifikat yang dikeluarkan oleh CA
tersebut
dapat langsung diverifikasi kebenarannya oleh browser.
7. Penutup
Demikianlah
salah satu bagian dari sistem pengamanan data dan sekaligus untuk
menerapkan
security awareness yang dapat diberikan
pada pengguna komputer atau
administrator
data. Dengan adanya tulisan ini maka diharapkan tumbuh sikap
awareness
terhadap informasi data, sehingga masalah security
data akan lebih mudah
dilaksanakan
di tempat kerja ataupun di satker-satker yang dalam melaksanakan
pekerjaan
menggunakan alat bantu utama adalah komputer.
My
Document/Diskomlekal/Pengolahan data/ 12
Daftar Pustaka
1.
Bobby
Nazief, “ Network Security”, seminar Information
Security
Conference
,
Info Komputer dan Inixindo, Juni 2002.
Information
Security Learning Center Noam Eppel
http://www.penetrationtest.com
2.
Onno
W. Purbo, “Enam Langkah Mengamankan Jaringan &
Sistem
Komputer Dari Serangan Hacker” , 2002.
http://voipmerdeka.net
3.
R.
Dan, “Database Security”, Internet Systems, April 1997
4.
Budi
Rahardjo,”Keamanan sistem Informasi Berbasisi Internet”,
23 Mei
2000. http://budi.insan.co.id
My Document/Diskomlekal/Pengolahan data/ 13
Oleh
: Kapten Laut (E) Ir. Arnoldus Triono
0 komentar:
Posting Komentar