NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 PRAKTIKUM KEAMANAN JARINGAN KOMPUTER MODUL 2 AUTHENTICATION AND WEB SECURITY Tujuan Praktikum : 1. Memahami pengertian dan proses autentikasi 2. Memahami dan mampu menganalisa cara kerja dari software password cracker 3. Memahami konsep dan kinerja shadow password 4. Mengetahui kriteria password yang baik 5. Memahami konsep web security di Windows. 6. Dapat melakukan konfigurasi HTTP & HTTPS pada web server. 7. Dapat menganalisa koneksi dengan protokol SSL/TLS. A. AUTHENTICATION DASAR TEORI: A Computer is secure if you can depend on it and its software to behave as you expect. (Garfinkel and Apafford) Keamanan komputer, menurut garfinkel, melingkupi empat aspek utama dalam pengaplikasiannya, antara lain privacy, integrity, authetication, dan juga availability. Authentication atau autentifikasi adalah salah satu metode dan proses dalam menentukan identitas dan legitimasi dari pengguna, node, maupun proses sesuai dengan data yang diketahui sistem. Bentuk-bentuk autentikasi sendiri dapat bermacammacam saat ini, seperti password dan id yang paling sederhana dan umum digunakan hingga RFID, sidik jari, dan juga digital signatures yang saat ini mulai banyak digunakan. Contoh bentuk autentikasi Autentikasi biasanya digunakan untuk melindungi akses dari resources maupun sistem yang sangat penting baik akses langsung maupun dari akses melalui remote. Contohnya akses kepada sistem sebuah bank, yang tentu saja tidak semua orang diizinkan mengaksesnya. Kemanan sistem sangat penting, sehingga, sistem harus NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 benar-benar yakin bahwa pengguna yang akan mengakses ataupun pengguna yang akan diberikan informasi adalah benar-benar pengguna maupun perangkat yang asli ataupun dikenali oleh sistem. Dalam aspek jaringan komputer, autentikasi sangat berkaitan dengan akses kontrol, yaitu pembatasan orang/pengguna yang dapat mengakses informasi. Dalam hal ini, pengguna harus menunjukkan bukti bahwa pengguna memang merupakan pengguna yang tervalidasi, contoh sederhana adalah dengan menggunakan username dan password. Pada mode autentikasi, terdapat 3 aspek yang dapat ditanyakan untuk menguji keaslian pengguna : • What you have (misalnya kartu ATM) • What you know (misalnya PIN atau Password) • What you are (Misalnya sidik jari, biometric) Contoh Tahapan autentikasi dengan menggunakan RADIUS server Proses autentikasi secara umum terdapat dua tahapan, yaitu identification dan (actual) authentication. Identifikasi adalah pengenalan dari identitas user oleh sistem, biasanya dalam bentuk user ID. Sistem keamanan akan mencari informasi mengenai informasi yang mengenali user dan juga privileges dari user yang akan masuk ke seluruh sistem yang ada. Jika tahapan ini sudah selesai, pengguna telah diidentifikasi. Autentikasi sendiri seperti yang telah dijelaskan adalah sebuah proses untuk memastikan bahwa user/pengguna yang telah dikenali tersebut asli. Meskipun user ID yang diberikan dikenali oleh sistem, masih belum dapat dikatakan bahwa user tersebut asli/tervalidasi sebagai pengguna yang asli. Untuk itulah diperlukan bukti lain untuk menentukan keaslian user dengan memasukkan bukti lain misalnya password. NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 Terdapat 3 komponen yang terlibat dalam proses autentikasi, yaitu : 1. User/Client /Supplicant adalah orang ataupun bagian yang memberikan identitas beserta bukti untuk kemudian diautentikasi 2. Authenticator/server, bagian yang memberikan resources kepada client dan meminta autentikasi kepada user 3. Security Authority/database, bagian yang bertugas untuk mengecek keaslian user. Bentuknya sendiri dapat merupakan software, server, maupun sekumpulan server yang menyediakan proses autentikasi user ke seluruh jaringan kantor maupun internet PASSWORD Sebagai bagian dari sistem keamanan, proses autentikasi juga memiliki banyak

sekali ancaman. Ancaman-ancaman tersebut dapat berupa serangan langsung ke sistem dengan password guessing (Dictionary, Brute-Force Attack, Rainbow Attack) maupun dengan memperoleh password melalui pengguna secara nyata dengan social engineering. Salah satu bentuk pengamanannya adalah dengan mengatur akses informasi dengan user authentication. Bentuk-bentuk dari user authentication sendiri sudah banyak dikembangkan seperti username-password, certificates authetication, biometric techniques authetication, smart cards, hingga anonymous authentication. Username-password merupakan metode yang paling banyak digunakan, murah, dan paling mudah diimplementasikan. Dalam sistem berbasis UNIX dan Windows NT, untuk menggunakan sebuah sistem/komputer, pemakai diharuskan melalui proses autentikasi dengan menggunakan username dan password. Informasi ini kemudian dibandingkan dengan username dan password yang dimiliki oleh sistem. Apabila keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Jika salah, pemakai tidak dapat menggunakan sistem. Informasi mengenai kesalahan ini juga akan disimpan dalam berkas log dilakukan ketika username dan password yang salah telah salah sebanyak tiga kali. Ada NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 pula yang begitu menemukan kesalahan langsung ditulis kedalam berkas log. Yang dicatat dalam log ini tidak hanya kesalahan penulisan username dan password, tetapi juga waktu kejadian dan juga asal hubungan (connection) sehingga administrator dapat memeriksa keabsahan hubungan yang terjadi. Password pada sistem berbasis UNIX seperti linux misalnya, disimpan dalam berkas /etc/passwd. Dimana di dalam berkas ini disimpan nama, userid, password, dan informasi-informasi lain yang digunakan oleh bermacam-macam program. File ini harus dapat dibaca setiap orang (world readable) agar dapat digunakan oleh program-program lain yang menggunakan mekanisme password tersebut. Contoh isi berkas /etc/passwd adalah seperti berikut : root:fi3sED95ibqR7:0:1:System Operator:/:/sbin/sh daemon:*:1:1::/tmp: rahard:d98skjhj9l:72:98:Budi Rahardjo:/home/rahard:/bin/csh Keterangan : Password login yang terdapat pada file /etc/passwd dienkripsi dengan menggunakan algoritma DES yang telah dimodifikasi. Namun, masih terdapat celah keamanan yang dapat dimanfaatkan oleh hacker untuk membongkar password tersebut (crack). Seorang cracker ataupun attacker, dapat mengambil ataupun menyalin berkas ini (karena readable) misalnya dengan cara men-download berkas ini ke komputer di rumahnya. Terdapat banyak sekali program yang dapat digunakan untuk memecah password tersebut antara lain crack (UNIX - www.users.dircon.co.uk/~crypto), viper (perl script), cracker jack (DOS), dan jack the ripper (Linux - www.openwall.com/john/). PASSWORD ATTACK Program password cracker tidak dapat mencari tahu kata kunci dari kata yang NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 sudah terenkripsi melainkan adalah dengan melakukan coba-coba (brute-force attack). Salah satunya adalah dengan mengambil kata-kata yang tersedia dalam kamus (dictionary) kemudian mengenkripsinya (dictionary based attack). Apabila hasil enkripsi tersebut sama dengan password yang sudah terenkripsi, maka kunci atau password telah berhasil ditemukan. Selain melakukan lookup dengan menggunakan kamus, biasanya program password cracker juga memiliki beberapa algoritma heuristic seperti menambahkan angka dibelakangnya, ataupun membaca dari belakang (terbalik), dan seterusnya. Password guessing adalah salah satu metode tertua dalam password cracking. Pada dasarnya, username dan password merupakan user authentication yang telah ada sejak awal pengembangan komputer dan password guessing adalah metode password cracker yang cukup mudah diimplementasikan dan terkadang, secara mengejutkan, dapat berhasil. Jika sistem meminta username dan password sebagai

syarat autentikasi, attacker dapat mengira-ngira username maupun password lalu mengautentikasi dirinya sebagai user yang asli. Dalam banyak kasus, username dari user adalah kata-kata awal dari user email address. Attacker juga mungkin mengetahui metode dari pembuatan ID untuk user baru pada sebuah perusahaan tertentu. Cara lainnya, attacker mungkin saja telah mengakses seluruh direktori dari seluruh user yang ada disistem (biasanya digunakan oleh attacker yang berasal dari dalam organisasi/perusahaan). Dalam penyerangannya, attacker dengan password guessing akan mencoba satu atau lebih password yang paling mungkin digunakan oleh user yang asli. Namun, apabila attacker sama sekali tidak mempunyai clue mengenai password, cara yang paling sering dilakukan adalah dengan brute force attack. Brute force attack merupakan pencarian dengan mengenerate seluruh kemungkinan kombinasi dari user password dan mencoba mengautentikasi sistem dengan username yang sama (terkadang juga username yg juga di coba secara acak) dan dengan kombinasi password yang berbeda-beda. Brute force attack merupakan cara yang sangat memakan waktu karena kombinasi yang ada mungkin saja sangat banyak dan dalam beberapa kasus membutuhkan waktu bertahun-tahun, beratus-ratus atau mungkin beribu-ribu tahun hanya untuk menemukan 1 buah password. Total kombinasi bergantung kepada panjang karakter, digit, maupun spesial simbol yang digunakan di dalam password. Contohnya, password yang terdiri dari 4 digit (misalnya kode PIN) memiliki 104 = 10.000 kombinasi yang mungkin yang dapat digenerate oleh cracking tool. Namun, apabila password tersebut juga membedakan huruf besar dan kecil, karakter spesial, dan internasional maka jumlah kombinasi yang ada sangatlah banyak sehingga brute force attack hanya mungkin dilakukan pada password yang memiliki range dan panjang yang pendek. Untuk menghindari serangan ini, administrator dapat mengubah password secara rutin. Cara yang paling sering digunakan saat ini adalah dictionary attack. Tidak seperti komputer, manusia biasanya menggunakan password yang mudah diingat. Dan biasanya bisa saja menggunakan nama keluarga, binatang peliharaan, kota, tanggal lahir, kata-kata sederhana dalam bahasa inggris maupun bahasa lainnya. Jumlah kemungkinan yang ada dapat dikurangin jika hanya mengikutsertakan kata-kata yang memiliki arti sebagai password. Attacker dapat menggunakan list dari kata-kata dan nama dalam berbagai bahasa baik secara online maupun dari buku seperti kamus. Katakata ini dapat dikumpulkan menjadi sebuah kamus yang digunakan untuk mencari password sistem dengan menggunakan user account yang sama. Untuk semakin mengurangi waktu, brute force attack juga dapat menggunakan rainbow table yaitu dengan menggunakan nilai yang sudah dihitung (precompute value) sebagai nilai kemungkinan pencarian. NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 SHADOW PASSWORD Untuk mengatasi permasalahan password attack/crack pada distribusi linux yang baru, digunakanlah mekanisme shadow password. Mekanisme ini menggunakan berkas /etc/shadow untuk menyimpan encrypted password, sementara kolom password dalam berkas /etc/passwd berisi karakter “x”. Berkas /etc/shadow tidak dapat dibaca secara langsung oleh pemakai biasa, melainkan hanya dapat dibaca oleh root. Contoh penggunaan shadow passdword : -Password yang belum melalui mekanisme shadow password pada /etc/passwd : root:..CETo68esYsA:0:0:root:/root:/bin/bash bin:jvXHHBGCK7nkg:1:1:bin:/bin: daemon:i1YD6CckS:2:2:daemon:/sbin: adm:bj2NcvrnubUqU:3:4:adm:/var/adm: rms:x9kxv932ckadsf:100:100:Richard Stallman:/home/rms:/bin/bash dmr:ZeoW7CaIcQmjhl:101:101:Dennis M Ritchie:/home/dmr:/bin/bash linus:IK40Bb5NnkAHk:102:102:Linus Torvalds:/home/linus:/bin/bash -setelah menggunakan shadow password : root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin: daemon:x:2:2:daemon:/sbin:

adm:x:3:4:adm:/var/adm: rms:x:100:100:Richard M Stallman:/home/rms:/bin/bash dmr:x:101:101:Dennis M Ritchie:/home/dmr:/bin/bash linus:x:102:102:Linus Torvalds:/home/linus:/bin/bash Shadow password akan mempersulit attacker untuk melakukan dictionary-based attack terhadap file password. Selain menggunakan shadow password beberapa distribusi linux NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 juga menyertakan program hashing MD5 yang menjadikan password yang dimasukkan pemakai dapat berukuran panjang dan relatif mudah diingar karena berupa suatu passphrase. KRITERIA PASSWORD YANG BAIK Meskipun kita telah melakukan banyak perlindungan terhadap sistem maupun password kita, namun semua itu akan sia-sia jika password kita mudah ditebak. Untuk itu hindarilah penggunaan password-password yang mudah di tebak dan sudah diketahui polanya oleh para attacker seperti menggunakan : 1. Nama anda, nama istri/suami, nama anak, ataupun nama kawan. 2. Nama komputer yang digunakan 3. Informasi diri lainnya seperti alamat, nomor telepon, tanggal lahir, dll 4. Kata-kata yang terdapat dalam kamus (dalam bahasa apapun) 5. Password dengan karakter yang sama diulang-ulang 6. Password yang berukuran kurang dari 6 karakter 7. Menambahkan angka atau simbol setelah maupun sebelum kata-kata yang biasa dikenal, seperti : pancasila45, nusantara21, 17agustus45, dll 8. Menggunakan pengulangan kata-kata seperti rahasia-rahasia, racunracun, ayoayoayo, dll 9. Membalikkan karakter dari sebuah kata yang lazim, seperti gnudih, adamra, kumayn, dll 10.Merupakan sebuah kata yang dihilangkan huruf vokalnya, seperti ndns (dari kata ‘indonesia’), pncsl (dari kata ‘pancasila’), pnsrm (dari kata ‘penasaran’), dll 11.Merupakan susunan karakter yang merupakan urutan penekanan pada tomboltombol keyboard, seperti qwerty, asdfghjk, mnbvcxz, dll 12.Menggunakan kata-kata yang karakter hurufnya diganti oleh angka tanpa melakukan sejumlah improvisasi, contohnya s3l4m4t, g3dungt1ngg1, 5ul4we51, dll. Pada dasarnya, kriteria password yang baik cukup sederhana, hanya dibatasi oleh dua syarat yaitu mudah diingat oleh pemiliknya dan pada saat yang sama sulit ditebak oleh orang lain atau mereka yang tidak berhak mengetahuinya. Password yang ideal digunakan memenuhi kriteria berikut : 1. Terdiri dari minimum 8 karakter – dimana pada prinsipnya adalah makin banyak karakternya semakin baik, direkomendasikan password yang relatif aman jika terdiri dari 15 karakter 2. Penggunaan campuran secara random dari berbagai jenis karakter, yaitu : huruf besar, huruf kecil, angka, dan simbol 3. Pilih password yang dengan cara tertentu dapat mudah mengingatnya 4. Jangan gunakan password yang sama untuk sistem yang berbeda Terdapat banyak sekali teknik dan cara membuat password yang baik (penjelasan mengenai teknik membuat password dapat dibaca pada referensi mengenai manajemen password). Namun apakah kita dapat yakin bahwa password yang sudah dibuat tidak dapat di crack oleh cracker? Salah satu tools online yang dapat digunakan adalah howsecureismypassword.net. Website ini menunjukkan seberapa kuat password kita NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 dengan menunjukkan seberapa lama sebuah software password cracker dapat meng – crack password kita. Contoh pengetesan sebuah password PASSWORD HASHING AND ENCRYPTION Metode autentikasi yang paling banyak digunakan adalah metode usernamepassword dimana metode autentikasi ini memiliki keuntungan pada penerapannya yang mudah dan murah dibanding autentikasi lainnya. Kekurangan metode ini adalah autentikasi username-password sangat mudah diancam (threat) dan probabilitas tinggi untuk diserang / diretas. Untuk menanggulangi hal tersebut, akan lebih menguntungkan untuk melindungi penyimpanan password pada sisi aplikasi terutama database. Biasanya pada layer aplikasi dianggap lebih less-protected dan database lebih

protected. Untuk alasan tersebut dianggap tidak terlalu berguna apabila melindungi data hanya di sisi aplikasi. Untuk menghindari pencurian password seperti dengan SQL Injection, digunakan metode perlindungan password yakni password Hash dan encryption. Hashing merupakan fungsi satu arah (mapping) dimana fungsi ini tidak dapat dibalik (irreversible). Namun metode ini masih mungkin untuk diserang dengan rainbow table. Sedangkan enkripsi (encryption) adalah fungsi dua arah (reversible) dengan menggunakan sistem kunci / key. B. WEB SECURITY Apa itu web ? Teknologi informasi telah menjadi hal yang umum. Segala informasi dapat diperoleh lewat kemajuan teknologi ini. Bagaimana informasi yang begitu banyak dapat diperoleh ? Semua itu berasal dari web atau situs internet. Web atau World Wide Web (www) adalah sistem yang berisi dokumen - dokumen yang saling berhubungan (interlinked) yang berisi konten multimedia (text, audio, video, image, dsb). Untuk mengakses web, kita perlu web browser. Dengan browser kita dapat membaca dan menjelajahi dokumen – dokumen yang saling berhubungan tersebut tanpa batasan jarak dan waktu dengan melakukan request permintaan ke web server melalui protokol http atau https. NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 Bagaimana web dibuat ? Web sebenarnya adalah kumpulan dokumen. Web disimpan di dalam komputer dengan performa tinggi yakni server sehingga biasa Web Server. Server ini mampu melayani request dari user yang ingin mengakses dokumen di dalamnya. Web dibuat dengan menggunakan bahasa pemograman seperti HTML, CSS, Javascript, dll dan akan di-compile oleh web browser sehingga menghasilkan tampilan yang menarik dibanding sekedar teks dokumen biasa. Bahasa pemograman ini memungkinkan suatu web memiliki suatu standard sehingga dapat dibuka pada semua platform. Bahasa pemograman ini juga memungkinkan web memiliki tampilan yang menarik dan interaktif, selain isinya yang berupa konten multimedia. NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 Kenapa keamanan web server penting ? Web digunakan secara luas untuk berbagai kepentingan. Jika web mengalami masalah, maka banyak pihak yang dirugikan karena arus informasi terganggu. Pada umumnya, masalah web diakibatkan oleh user, entah itu karena overload request ataupun akibat kegiatan hacking. Untuk dapat menjamin web server aman maka langkah awal yang dapat dilakukan adalah membatasi akses yang diberikan kepada user. Apache Web Server Apache merupakan salah satu distribusi web server yang populer dengan dukungan feature yang sangat banyak. Perhitungan statistik yang ada saat ini menunjukkan bahwa Apache menjadi web server yang paling banyak digunakan dalam dunia internet, yaitu mencapai nilai 60 % dari seluruh web server yang ada Pengaturan akses web server Halaman web disimpan dalan suatu folder pada OS webserver. Pengaksesan terhadap web diatur dalam file konfigurasi httpd.config. File konfigurasi utama ini memungkinkan kita melakukan pengaturan akses web yang diinginkan. Ada dua jenis pengaturan akses yakni : 1. Pengaturan akses berdasarkan IP Address client Model pengaturan akses web server yang diterapkan disini didasarkan pada informasi IP address dari pengguna. Aturan dapat dibuat sehingga untuk file atau direktori tertentu akses dari IP address pengguna diterima atau ditolak. Untuk menerapkan aturan ini perlu dilakukan perubahan pada file konfigurasi Apache yaitu httpd.conf. Ada 3 kata kunci yang berkaitan dengan pengaturan ini yaitu Order, Deny, dan Allow. Kata kunci Order dapat diikuti oleh deny, allow atau allow, deny yang menunjukkan urutan evaluasi pengaturan berdasarkan aturan Deny dan aturan Allow. Kata kunci Allow maupun Deny diikuti oleh kata kunci from dan : • all : menunjukkan akses untuk semua host diperbolehkan (Allow) atau ditolak (Deny) • IP address : yaitu alamat IP yang diperbolehkan atau ditolak semisal : - 167.205.25.6 - 167.205.25. (berarti berlaku untuk alamat IP 167.205.25.0 – 167.205.25.255)

atau 167.205. atau 167. - 167.205.25.0/27 (berlaku untuk 167.205.25.0 167.205.25.31) - ‐167.205.0.0/255.255.0.0 (berlaku untuk 167.205.0.0 167.205.255.255) Pengaturan akses Apache dapat ‐dilakukan pula dengan membuat aturan aturan pada file “.htaccess” pada direktori yang bersangkutan ‐baik untuk mengatur akses terhadap file maupun akses terhadap direktori dimana file ini berada. Pengaturan akses dengan proses autentikasi pengguna NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 Model pengaturan akses dengan proses autentikasi pengguna lebih fleksibel dibandingkan dengan pengaturan akses berdasarkan IP address pengguna. Ketika anda mencoba untuk mengakses suatu resources yang dilindungi oleh model autentikasi user semacam ini maka anda harus memasukan informasi login dan password yang sesuai dalam suatu form semacam ini. Untuk mengimplementasikan mekanisme autentikasi ini perlu dilakukan perubahan perubahan pada file httpd.conf ataupun pada file .htaccess yang diletakkan pada direktori ‐yang bersangkutan. Informasi data login dibuat dengan meng Wireshark Wireshark adalah tools untuk melakukan analisa terhadap traffic dalam jaringan komputer. Wireshark mendukung banyak jenis OS dan memiliki user interface yang memudahkan user menganalisa packet data. Wireshark bersifat free atau open-source dan dapat diperoleh di http://www.wireshark.org/download.html. SSL & TLS SSL/TLS adalah protokol sekuriti yang menyediakan enkripsi dan autentifikasi data dalam jaringan. SSL/TLS berjalan dengan protokol HTTP (request/reply protocol). Koneksi SSL/TLS akan dibangun jika SSL handshake berhasil dilakukan.gunakan program htpasswd SSL Handshake 1. The SSL/TLS client mengirimkan pesan "client hello" yang berisi daftar informasi kriptografi seperti versi SSL/TLS dan, data random, setting ciphersuite klien, dan informasi lain yang dibutuhkan oleh server untuk berkomunikasi dengan client. 2. Server SSL/TLS merespon dengan pesan "server hello" yang berisi ciphersuite yang dipilih NETWORK LABORATORY Electrical Engineering Department, 2nd floor Universitas Indonesia Depok. 16424 oleh server dari daftar yang disediakan oleh klien, session ID, dan string byte acak. Server juga mengirimkan sertifikat digital. Jika server memerlukan sertifikat digital untuk otentikasi client (OPTIONAL), server akan mengirimkan "permintaan klien sertifikat" yang berisi daftar jenis sertifikat yang didukung. 3. Server Authentication. Klien menggunakan beberapa informasi yang dikirim oleh server untuk otentikasi server. Jika server tidak dapat dikonfirmasi, peringatan akan diberikan kepada user. Jika server dapat berhasil dikonfirmasi, proses lanjut ke step 4. 4. Menggunakan semua data yang dihasilkan lewat handshake sejauh ini, klien menciptakan premaster secret untuk session, mengenkripsinya dengan public key server (yang diperoleh dari sertifikat server, pada step 2), lalu mengirimkannya ke server. 5. Jika server meminta otentikasi klien sebelumnya (pada step 2), klien juga akan menandatangani sepotong data unik yang dikenali juga oleh server. Klien akan mengirimkan signed data dan sertifikat ke server bersama premaster secret. 6. Client Authentication. Jika server telah meminta otentikasi klien, server mencoba untuk mengotentikasi klien. Jika klien tidak dapat dikonfirmasi, sesi diakhiri. Jika klien dapat berhasil dikonfirmasi, server menggunakan private key untuk mendekripsi premaster secret, kemudian melakukan serangkaian langkah-langkah (klien juga melakukan hal yang sama, dengan premaster secret yang sama) untuk menghasilkan master secret. Baik klien dan server menggunakan master secret untuk menghasilkan session keys, yang merupakan kunci simetrik yang digunakan untuk mengenkripsi dan mendekripsi informasi yang dipertukarkan selama sesi SSL. 7. Client finished. Client mengirimkan pesan ke server yang memberitahukan bahwa pesan dari klien akan dienkripsi dengan kunci sesi. 8. Server finished. Server mengirimkan pesan ke klien yang memberitahukan bahwa pesan berikutnya dari server akan dienkripsi dengan kunci sesi. 9. SSL

Handshake finished. SSL session dimulai. Klien dan server menggunakan session keys untuk mengenkripsi dan mendekripsi data yang mereka kirim ke satu sama lain. Referensi : 1. Rahardjo, Budi. 2002, Keamanan Sistem Informasi Berbasis Internet. Bandung : PT Insan Infonesia 2. Eko Indrajit, Prof. Richardus. Manajemen Password, PDF, [online], (http://www.idsirtii.or.id/content/files/54ce3c5d13382831dae9fd778f0e5521.pdf) 3. Francis, Taylor dan.2007, Mechanics of User Indentification and Authentication : Fundamentals of Identity Management. LLC, PDF, [online], (http://www.infosectoday.com/Articles/AU5219_C01.pdf) 4. Heriyanto, Tedi. 2000, Linux dan Security. Semonar Nasional Komputer II UGM. Doc, [online],(http://mohiqbal.staff.gunadarma.ac.id/Downloads/files/4615/LINUX+DAN +SECURITY.doc)