abdul aziz - yordictionary.files.wordpress.com filemisalnya fingerprint, signature, voice saat ini...
Post on 08-May-2019
213 Views
Preview:
TRANSCRIPT
Ada 2 langkah dalam proses login:
Identifikasi
Proses untuk memberitahu kepada
sistem operasi kalau kita mau login
Otentikasi
Proses untuk membuktikan bahwa
yang mau login adalah benar kita.
There are two steps in the login
process:
•Identification
Process to inform the operating
system if we want to login
•Authentication
Process to prove that that is true we
want to log.
Ada 3 cara untuk identifikasi dan
otentikasi:
Sesuatu yang kita tahu, misalnya
password, PIN
secara teori, yang mengetahui
password adalah pemiliknya sendiri,
namun dalam prakteknya terdapat
beberapa permasalahan:
◦ diberikan ke orang lain lalu orang
lain itu memberitahukan ke orang
lain
◦ dicuri orang lain
◦ dituliskan di suatu tempat
◦ terlalu mudah ditebak
There are 3 ways to identification and
authentication:
Something that we know, for
example: passwords, PIN
in theory, who knows the password is
the owner himself, but in practice there
are several problems:
given to other people and other people
were told to others
stolen someone else
written down somewhere
too easy to guess
Sesuatu yang kita miliki, misalnya ID
Card, security token, kunci
◦ Secara teori, yang punya kunci
adalah pemilik.
◦ Masalahnya:
Kunci hilang atau dipinjam ke
seseorang lalu diduplikasi
Sesuatu yang ada di tubuh kita,
misalnya fingerprint, signature, voice
Saat ini yang masih paling sering
digunakan untuk identifikasi dan
otentikasi adalah account dan
password
Something that we have, for example
ID card, security token, a key.
•In theory, that have a key is the owner.
•The problem:
•The key is lost or borrowed to
someone and then duplicated
Something that is in our bodies, such
as fingerprint, signature, voice
Today is still the most commonly
used for identification and
authentication is the account and
password
Tipe penyerangan terhadap password
Brute Force
◦ Mencoba segala kombinasi huruf dan angka (trial and error)
Dictionary based
◦ Dengan bantuan file yang berisi daftar password-password yang sering dipakai orang
Password sniffing
◦ Menyadap data yang lewat di jaringan komputer
Social Engineering
◦ Menyadap pembicaraan orang
◦ Membuat agar orang menyebutkan passwordnya
This type of attack against the password
brute Force Tried every combination of letters and numbers (trial and error)
Dictionary-based With the help file that contains a list of passwords that are often used people
password sniffing Intercepting data that passes in computer networks
Social Engineering
• Tapped into people's conversations
• Make the people mentioned his/her password
Petunjuk Proteksi Dengan Password
Jangan biarkan user/account tanpa
password
Jangan biarkan password awal yang
berasal dari sistem operasi
Jangan menuliskan password
Jangan mengetik password, selagi
diawasi
Jangan mengirim password secara
online
Segera ubah bila password kita bocor
Jangan menggunakan password
sebelumnya
Password Protection Directive
Do not let the user / account without a
password
Do not allow passwords that are derived
from the operating system
Do not write down passwords
Do not type a password, while supervised
Do not send passwords online
Immediately change if the password has
been leaked
Do not use a previous password
Memilih password yang baik
Pilih yang sukar ditebak dan mudah diingat
Jangan menggunakan data pribadi, seperti nama, tanggal lahir, no. telepon
Pilih password yang panjang, minimal 8 karakter
Gunakan gabungan antara huruf, angka dan spesial karakter. Jangan semuanya angka atau huruf
Bedakan password antar host yang satu dengan yang lain
Jangan menggunakan password sebelumnya
Hati-hati dengan penggunaan kata dalam bahasa Inggris sebagai password
Boleh juga menggunakan kata-kata yang tidak ada artinya, misalnya: s1(z/a%zo2
Choosing a good password
Choose a difficult to guess and easy to remember
Do not use the personal data, such as name, date of birth, no. phone
Choose a password that long, at least 8 characters
Use a combination of letters, numbers and special characters. Do not all the numbers or letters
Distinguish between hosts passwords with one another host
Do not use a previous password
Be careful with the use of English words as passwords
May also use words that mean nothing, for example: s1 (z / a% zo2
Pengontrolan Login/Password
Membatasi kesalahan gagal login
Periode waktu login setiap user dibatasi
Munculkan pesan login terakhir
Munculkan pesan kapan terakhir gagal
login
User dapat merubah password
Password disediakan oleh suatu sistem
Password diberi batas waktu
Panjang minimum suatu password
harus ditentukan
Controls Login / Password
Restrict failed login error (3 times login)
The period of time each user login be
restricted
Come up with a message last login
Come up with the last failed login
message
User can change password
Password provided by a system
Password is timed
The minimum length of a password must
be determined
Password Sniffing
Target
machine
Target
machine
Target
machine
Network Hub
192.168.0.20 192.168.0.30 192.168.0.101
Sniffer
machine
Password sniffing:
SNIFFING, adalah penyadapan terhadap lalu lintas data pada suatu jaringan komputer.
“Sniffer Paket (arti tekstual: pengendus paket — dapat pula diartikan ‘penyadap paket’) Ethereal, Network Analyzers atau Ethernet Sniffer merupakan aplikasi yang dapat melihat lalu lintas data pada jaringan komputer.
Password sniffing:
SNIFFING, is the wiretapping of data traffic
on a network computer.
“Sniffer Paket (textual meaning: packet-
sniffing - it can also be interpreted
‘tapper packages'). Ethereal, Network
Analyzers or Ethernet Sniffers are
applications that can view the data traffic on computer networks.
Pencegahan Password sniffing
Gunakan switch (jangan hub)
Gunakan aplikasi yang mendukung enkripsi
Aplikasikan setting VPN
Password sniffing prevention
Use the switches (not hubs)
Use an application that supports encryption
Gunakan aplikasi yang mendukung enkripsi
VPN (Virtual Private Network) settings apply
Social engineering adalah pemerolehan informasi atau maklumat
rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social
engineering umumnya dilakukan melalui telepon atau Internet. Social engineering
merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh
informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada
korban atau pihak lain yang mempunyai informasi itu. Atau tahap pertama
memperoleh user_id dan password.
Social engineering is the acquisition of confidential information or intimation /
sensitive by cheating the owner of that information. Social engineering is typically
done via telephone or Internet. Social engineering is one of the methods used by
hackers to obtain information about the target, by requesting information directly
to the victim or others who have that information. Or the first stage to get user_id
and password.
Pencegahan Social Engineering
Perlunya pelatihan dan pendidikan bagi user dalam masalah keamanan komputer
Prevention of Social Engineering
The need for user training and education in computer security issues
ACCESS CONTROL
Sekali user login ke sistem, maka
user tersebut diberikan otorisasi untuk
mengakses sumber daya sistem,
misalnya file, directory, dll
Yang perlu diperhatikan adalah:
Siapa saja yang boleh membaca isi
file kita
Siapa saja yang boleh merubah isi file
kita
Bolehkah file kita di-share ke user
lain?
ACCESS CONTROL
Once a user logged into the system,
then the user is given authorization to
access the system resources, such
as files, directories, etc.
To note are:
Anyone who can read the contents of
our file
Anyone who can change the contents
of our file
Can we file shared to other users?
Ada 3 tipe dasar pengaksesan file
Read (r)
Write (w)
Execute (x)
There are three basic types of file
access
Read (r)
Write (w)
Execute (x)
Metode Ownership
Pembuat file adalah pemilik file
Identifikasi pembuat file disimpan
Hanya pemilik yang dapat mengakses file miliknya
Administrator dapat mengakses juga
Metode Ownership
File maker is the owner of the file
Identify of the maker files are stored
Only the owner can access his files
Administrators can also access
Metode File Types
File akan didefinisikan sebagai public file, semipublic file atau private file
◦ Public file -> semua user mempunyai hak penuh (rwx)
◦ Semi public file -> user lain hanya mempunyak hak read execute(rx)
◦ Private file -> user lain tidak punya hak
Metode File Types
The file will be defined as a public file, the file semipublic or private files
Public files -> all users have full rights (rwx)
Semi-public files -> other user rights only experiences a read execute (rx)
Private files -> other users have no rights
Metode Self/Group/Public Controls
Disebut juga user/group/other
user – pemilik file
group – sekelompok user
other – user yang tidak termasuk di atas
Setiap file/directory memiliki sekumpulan bit-bit yang disebut file permissions/ Protection mode
Tipe proteksi untuk file:
r -> hak untuk membaca file
w -> hak untuk menulis ke file
x -> hak untuk menjalankan file
- -> tidak mempunyai hak
Metode Self/Group/Public Controls
Also called user / group / other user - the owner of the file group - a group of users other - users who are not included above
Each file / directory has a set of bits called the file permissions / Protection mode
Type of protection for files: r -> right to read file w -> right to write to a file x -> right to run the file - -> Do not have the right
Tipe proteksi untuk directory:
r -> hak untuk membaca Isi directory
w -> hak untuk membuat dan menghapus file
x -> hak untuk masuk ke directory
- -> tidak mempunyai hak
Type of protection for the directory:
r -> right to read the contents of directory
w -> right to create and delete files
x -> the right to enter the directory
- -> Do not have the right
Contoh:
-rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c
-rwx rw- r--
U G O
Abaikan tanda (-) pertama
Pemilik file (budi) mempunyai hak rwx
Anggota group staff mempunyai hak rw
User lainnya hanya mempunyai hak r
Tanda (–) menunjukkan bahwa user tidak punya hak
Contoh:
-rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c
-rwx rw- r-- U G O
Ignore the sign (-) first
Owner files (Budi) has rwx rights
Members of staff have the right group rw
Other users only have the right to r
Sign (-) indicates that the user does not have the right
Metode Access Control Lists
Berisi daftar users dan groups
dengan haknya masing-masing.
Contoh:
file penggajian.exe diberi ACL
<john.akun,r>
<jane.pengj,rw>
<*.persn,r>
Metode Access Control Lists
Contains a list of users and groups
with their own right.
example:
payroll.exe file given ACL
(Acces Control List)
<john.account,r>
<jane.payroll,rw>
<*.persn,r>
top related