PERANCANGAN DAN IMPLEMENTASI MODUL OTENTIKASI MENGGUNAKAN

RANDOMISASI PASSWORD BERDASARKAN LOOKUP TABLE

M. AFFANDES10551001474

BAB IPENDAHULUAN

LATAR BELAKANG

• Tanda pengenal (KTP,KTM).

• Unik (tidak ada yang sama).

• Beresiko untuk dipalsukan.

• Tidak perlu proses otentikasi.

• UserID dan Password.• Unik (tidak ada yang

sama).• Beresiko untuk dicuri.• Memerlukan proses

otentikasi.

Kehidupan nyata: Dunia Internet:

LATAR BELAKANG (2)

• Menu Log In / Sign In pada sebuah website berguna untuk mengenali pengguna yang sedang mengakses webnya.

• Melalui UserID dan Password (atau sejenisnya) yang bersifat rahasia.

• Untuk akses yang mengandung isi yang bersifat penting atau rahasia.

• Sehingga menu Log In / Sign In didisain untuk mencegah dicurinya UserID dan Password (sejenisnya) saat data tersebut dikirimkan ke jaringan komputer (public).

RUMUSAN MASALAH

• Perancangan menu login yang menggunakan rangkaian huruf dan angka tidak sepenuhnya aman dari pencurian khususnya terhadap aplikasi keylogger dan sniffer.

BATASAN MASALAH

• Perancangan modul login dan modul registrasi atau modul pembuatan hak akses.

• Pengujian modul terhadap keamanan informasi dari aplikasi keylogger dan sniffer.

TUJUAN PENELITIAN

• Merancang modul login dan modul registrasinya yang mampu mencegah pemanfaatan data akun dari aplikasi keylogger dan sniffer.

BAB IILANDASAN TEORI

KEYLOGGER

• Keystroke logging atau keylogging adalah pencatatan penekanan tombol pada keyboard, pada umumnya dilakukan secara tersembunyi sehingga orang tidak akan tahu bahwa aktifitasnya sedang dipantau.

• Jadi keylogger Aplikasi untuk keystroke logging.

SNIFFER

• Sniffer merupakan program yang memantau dan mengambil data pada jaringan secara pasif.

• Sniffer memanfaatkan teknologi broadcast pada jaringan, yaitu dimana data untuk satu komputer dapat dibaca oleh komputer lain.

MESSAGE DIGEST (MD5)

• Dalam kriptografi, MD5 (Message-Digest algortihm 5) ialah fungsi hash kriptografik yang digunakan secara luas dengan hash value 128-bit.

• MD5 di desain oleh Ronald Rivest pada tahun 1991 untuk menggantikan hash function sebelumnya, MD4.

BAB IIIMETODOLIGI PENELITIAN

TAHAP PENELITIAN

BAB IVANALISA DAN PERANCANGAN

DESKRIPSI UMUM MODAUTH

AKTIFITAS YANG DILAKUKAN

• Melakukan pendaftaran Pengguna baru• Melakukan proses Log In.• Mengubah data Pengguna.• Melakukan proses Log Out.• Melakukan proses mendapatkan-kembali data

pengguna, meliputi Reset Password – dan Reset mCode.

• Melakukan hashing (pengacakan) dengan bahasa pemrograman JavaScript.

ANALISA KEBUTUHAN

• Modul otentikasi yang langsung mengacak atau memaksa pengguna untuk mengacak kode yang diinputkan tanpa perlu melakukan pengacakan sendiri oleh pengguna. Sehingga kode acak tersebut tetap diinputkan oleh pengguna secara berurut.

• Modul otentikasi yang mengirimkan kode acak sehingga dapat mempersulit untuk mendapatkan kode sebenarnya jika berhasil didapatkan menggunakan aplikasi sniffer.

ANALISA FUNGSIONAL

• Use Case• Activity Diagram• Sequence Diagram• Class Diagram• Statechart Diagram• Component Diagram• Deployment Diagram

USE CASE

ACTIVITY DIAGRAM LOGIN

ACTIVITY DIAGRAM LOGIN (2)

SEQUENCE DIAGRAM NORMAL FLOW

SEQUENCE DIAGRAM EXCEPTION FLOW

SEQUENCE DIAGRAM EXCEPTION FLOW(2)

CLASS DIAGRAM

COMPONENT DIAGRAM

STATECHART DIAGRAM

DEPLOYMENT DIAGRAM

RANCANGAN INTERFACE

Form Login Form Konfirmasi mCode

BAB VIMPLEMENTASI DAN PENGUJIAN

LINGKUNGAN IMPLEMENTASI

• Intel® Pentium® 4 2,4 GHz

• Memori 512 MHz• Harddisk SATA 160

GB (master) dan ATA 40 GB (slave)

• Apache Server 2.2.8 (localhost)

• PHP 5.2.6• Database MySQL

5.0.51b• Mozilla Forefox 3.0

Hardware Software

BATASAN IMPLEMENTASI

• Bahasa pemrograman web yang digunakan adalah PHP versi 5. Sedangkan database MySQL versi 5. Kemungkinan akan terdapat error jika menggunakan versi yang lebih rendah, seperti PHP versi 4.

• Prosedur Daftar dan Reset mCode belum sepenuhnya menjamin tidak dimanfaatkannya username dan password oleh orang lain. Akan diperlukan metode lain untuk prosedur Daftar dan Reset mCode. Karena proses kerja Daftar dan Reset mCode berbeda dengan proses kerja Login.

• Contoh situs web dimana modAuth akan digunakan tidak termasuk ke dalam implementasi.

HASIL IMPLEMENTASINo Nama file Ukuran

1 modauthclass.php 29 kb

2 config-auth.php 1 kb

3 formDaftar.php 10 kb

4 formLogin.php 8 kb

5 formKehilanganAkun.php 7 kb

6 formUbahmCode.php 3 kb

7 formUbahData.php 11 kb

8 index.php 3 kb

9 loadcountry.php 1 kb

10 md5engine.js 13 kb

11 style.css 2 kb

HASIL IMPLEMENTASI INTERFACE

Form Login Form Konfirmasi mCode

PENGUJIAN

• Pengujian modAuth meliputi :o Pengujian Fungsional, bertujuan untuk menguji semua

proses yang terjadi pada modAuth dan melihat kesesuaian dengan analisa yang dirancang. Pengujian akan dilakukan untuk setiap use case berdasarkan sequence diagram.

o Pengujian Non-Fungsional, bertujuan untuk melihat bahwa modAuth dapat menghasilkan kode acak setiap kali melakukan proses otentikasi, lalu mengirimkannya melalui jaringan. Sehingga aplikasi keylogger atau sniffer mencatat mCode yang berbeda-beda setiap kali melakukan proses otentikasi.

APLIKASI PENGUJIInformasi Aplikasi 1 Aplikasi 2 Aplikasi 3

Nama Aplikasi Wireshark Cain and Abel OverSpy

Versi 0.99.6a 4.9.8 2.1

Tipe Network Analyzer (Sniffer) Sniffer Keylogger

Lisensi Freeware Freeware Commercial Demo

Publisher Gerald Combs Massimiliano Montoro Virtuoza

Situs web www.wireshark.org www.oxid.it -

HASIL PENGUJIAN

• Setiap data yang diinputkan pada modAuth akan berbeda-beda setiap kali melakukan otentikasi.

Kelemahan:• Jika dilakukan monitoring secara terus-menerus

terhadap suatu akun, kemungkinan akan dapat terbaca semua tabel mCode akun tersebut

BAB VIPENUTUP

KESIMPULAN

1. Modul Authentication (modAuth) telah berhasil diimplementasikan dalam bentuk sebuah modul berbasis web.

2. modAuth telah mampu mencegah aplikasi keylogger dan aplikasi sniffer untuk memanfaatkan username dan password.

3. Di sisi lain terdapat suatu kelemahan yang memungkinkan sniffer merekam semua tabel mCode jika sniffer terus-menerus memantau suatu akun saat melakukan otentikasi ke modAuth.

SARAN

1. Penambahan metode pengamanan pada saat pendaftaran.

2. Implementasi menggunakan Secure Socket Layer (SSL) untuk meningkatkan enkripsi terhadap data yang dikirim melalui jaringan komputer.

3. Peningkatan model dan perubahan metode penyimpanan lookup table ke database dengan metode yang lebih baik.

SEKIANTerima Kasih