Makalah Authentication vs Authorization

July 31, 2022 RamandaAA

 MAKALAH KEAMANAN INFORMASI

AUTHENTICATION VS AUTHORIZATION

Disusun Oleh :

RAMANDA AJISAKA ASYRAF (20312067)


UNIVERSITAS TEKNOKRAT INDONESIA

FAKULTAS TEKNIK DAN ILMU KOMPUTER

TEKNOLOGI INFORMASI




BAB I

PENDAHULUAN

Otentikasi dan otorisasi adalah dua proses keamanan informasi penting yang digunakan administrator untuk melindungi sistem dan informasi. Otentikasi memverifikasi identitas pengguna atau layanan, dan otorisasi menentukan hak akses mereka. Meskipun kedua istilah tersebut terdengar sama, keduanya memainkan peran yang terpisah tetapi sama pentingnya dalam mengamankan aplikasi dan data. Memahami perbedaan itu penting. Dikombinasikan, mereka menentukan keamanan suatu sistem. Anda tidak dapat memiliki solusi aman kecuali Anda telah mengonfigurasi otentikasi dan otorisasi dengan benar.


Tujuan otentikasi adalah untuk memverifikasi bahwa seseorang atau sesuatu adalah siapa atau apa yang mereka klaim. Ada banyak bentuk otentikasi. Misalnya, dunia seni rupa memiliki proses dan institusi yang menegaskan bahwa lukisan atau patung adalah karya seniman tertentu. Demikian juga, pemerintah menggunakan teknik otentikasi yang berbeda untuk melindungi mata uang mereka dari pemalsuan. Biasanya, otentikasi melindungi item yang berharga, dan di era informasi, otentikasi melindungi sistem dan data.




BAB II

PEMBAHASAN

Keamanan Komputer

Keamanan komputer meliputi beberapa aspek diantaranya:

a. Authentication: agar penerima informasi dapat memastikan keaslian pesan tersebut datang dari orang yang dimintai informasi. Dengan kata lain informasi tersebut benar-benar dari orang yang dikehendaki.

b. Integrity: keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi tersebut.

c. Nonrepudiation: merupakan hal yang bersangkutan dengan si pengirim. Si pengirim tidak dapat mengelak bahwa dialah yang mengirim informasi tersebut.

d. Authority: informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.

e. Confidentiality: merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Confidentiality biasanya berhubungan dengan informasi yang diberikan kepada pihak lain.

f. Privacy: merupakan lebih ke arah data-data yang sifatnya pribadi.

g. Availability: aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan. Sistem

informasi yang diserang atau dijebol dapat menghambat atau meniadakan akses ke informasi.

h. Acces control: aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal itu biasanya berhubungan dengan masalah authentication dan juga privacy. Access control seringkali dilakukan menggunakan kombinasi user id dan password atau dengan menggunakan mekanisme lainnya.


Algoritma One-time Password (OTP)

OTP merupakan metode otentikasi yang menggunakan password yang selalu berubah setelah setiap kali login, atau berubah setiap interval waktu tertentu. OTP dapat dibedakan atas dua kategori yaitu:


1. OTP berbasiskan algoritma matematika OTP jenis ini merupakan tipe lainnya dari OTP yang menggunakan algoritma matematika kompleks seperti fungsi hash kriptografi untuk membangkitkan password baru berdasarkan password sebelumnya dan dimulai dari kunci shared rahasia. Contoh algoritma matematika yang digunakan dalam OTP ini adalah algoritma open source OATH yang telah distandarkan dan algoritmaalgoritma lainnya yang telah dipatenkan. Beberapa produk aplikasi yang menggunakan otentikasi ini adalah:

a. CRYPTO Card

CRYPTO Card menghasilkan OTP baru setiap kali tombolnya ditekan. Sistem komputer akan menerima beberapa nilai balasan jika tombolnya ditekan lebih dari sekali secara tidak sengaja atau jika client-nya gagal mengotentikasi.

b. Verisign

Verisign unified authentication menggunakan standar dari OATH.

c. E-Token Aladdin Knowledge System NG-OTP

E-token Aladdin knowledge system NG-OTP merupakan hybrid antara USB dan token OTP E-token Aladdin knowledge system NG-OTP mengkombinasikan fungsionalitas dari token otentikasi yang berbasis smart card dan teknologi otentikasi user one-time Password dalam mode terpisah.


2. OTP berbasis sinkronisasi waktu 

OTP jenis ini berbasis sinkronisasi waktu yang berubah secara konstan pada setiap satuan interval waktu tertentu . Proses ini memerlukan sinkronisasi antara token milik client dengan server otentikasi. Pada jenis token yang terpisah (disconnected token), sinkronisasi waktu dilakukan sebelum token diberikan kepada client. Tipe token lainnya melakukan sinkronisasi saat token dimasukkan dalam suatu alat input. Di dalam token terdapat sebuah jam akurat yang telah disinkronisasikan dengan waktu yang terdapat pada server otentikasi.


Pada sistem OTP ini, waktu merupakan bagian yang penting dari algoritma password, karena pembangkitan password baru didasarkan pada waktu saat itu dan bukan pada password sebelumnya atau sebuah kunci rahasia. Pada penelitian terkait, OTP jenis ini sudah mulai diimplementasikan terutama pada remote Virtual Private Network (VPN), dan keamanan jaringan Wi-Fi dan juga pada berbagai aplikasi Electronic Commerce (E-commerce). Ukuran standar penggunaan waktu pada algoritma ini adalah 30 detik. Nilai ini dipilih sebagai keseimbangan antara keamanan dan kegunaan. Pada penelitian ini, OTP yang digunakan berbasis sinkronisasi waktu dengan kombinasi salt.


Kontrol Akses 

Kontrol akses merupakan suatu mekanisme yang digunakan untuk mengamankan dan memastikan kerahasiaan data Setiap pengguna mencoba untuk mengakses suatu data objek. Mekanisme kontrol akses akan melakukan pengecekan hak dari pengguna, berdasarkan otorisasi yang telah ditetapkan. Kontrol akses dapat diimplementasikan dengan tahapan sebagai beriku: 

a. Otentikasi Pada tahap ini konfirmasi terhadap identitas pengguna dilakukan. Misalnya dengan melakukan pengecekan terhadap informasi username dan password dari pengguna aplikasi.

b. Otorisasi Pada tahap ini hal – hal yang dapat dilakukan oleh pengguna diatur. Misalnya pengguna A hanya dapat membaca informasi tertentu dan tidak dapat mengubah informasi tersebut.

c. Kontrol audit Pada tahap ini dilakukan pelacakan transaksi sensitif. Audit harus memungkinkan untuk meninjau ”siapa melakukan apa” dan ”kapan dan siapa yang memberikan izin untuk pengguna yang mana” dalam suatu aplikasi.


OAuth

Jenis otorisasi lainnya adalah OAuth, standar delegasi akses terbuka yang memungkinkan pengguna Internet untuk memberikan situs web atau aplikasi akses ke informasi mereka di situs web lain tanpa harus memberikan kata sandi mereka. Perusahaan seperti Amazon, Google, Facebook, Microsoft, dan Twitter menggunakan teknologi ini untuk memungkinkan pengguna bertukar informasi tentang akun mereka dengan aplikasi atau situs web pihak ketiga. Atas nama pemilik sumber daya, OAuth memberi klien “akses aman yang didelegasikan” ke sumber daya server. 


Ini menguraikan bagaimana pemilik sumber daya dapat memberikan akses pihak ketiga ke sumber daya server mereka tanpa harus memberikan kredensial. OAuth adalah protokol yang memungkinkan server otorisasi untuk memberikan token akses ke klien pihak ketiga dengan izin dari pemilik sumber daya. Itu dibuat secara tegas untuk digunakan dengan Hypertext Transfer Protocol (HTTP). Pihak ketiga kemudian menggunakan token akses untuk mendapatkan akses ke sumber daya server sumber daya yang dilindungi.


Mari kita asumsikan pengguna telah masuk ke satu situs web atau layanan (OAuth hanya berfungsi menggunakan HTTPS). Pengguna kemudian memulai fitur/transaksi yang perlu mengakses situs atau layanan lain yang tidak terkait. Berikut ini terjadi (sangat disederhanakan):

  • Situs web pertama terhubung ke situs web kedua atas nama pengguna, menggunakan OAuth, memberikan identitas terverifikasi pengguna.

  • Situs kedua menghasilkan token satu kali dan rahasia satu kali yang unik untuk transaksi dan pihak yang terlibat.

  • Situs pertama memberikan token dan rahasia ini ke perangkat lunak klien pengguna yang memulai.

  • Perangkat lunak klien menyajikan token permintaan dan rahasia kepada penyedia otorisasi mereka (yang mungkin atau mungkin bukan situs kedua).

  • Jika belum diautentikasi ke penyedia otorisasi, klien mungkin diminta untuk mengautentikasi. Setelah otentikasi, klien diminta untuk menyetujui transaksi otorisasi ke situs web kedua.

  • Pengguna menyetujui (atau perangkat lunak mereka secara diam-diam menyetujui) jenis transaksi tertentu di situs web pertama.

  • Pengguna diberi token akses yang disetujui (perhatikan bahwa itu bukan lagi token permintaan).

  • Pengguna memberikan token akses yang disetujui ke situs web pertama.

  • Situs web pertama memberikan token akses ke situs web kedua sebagai bukti otentikasi atas nama pengguna.

  • Situs web kedua memungkinkan situs web pertama mengakses situs mereka atas nama pengguna.

  • Pengguna melihat transaksi yang berhasil diselesaikan terjadi.

  • OAuth bukan sistem otentikasi/otorisasi pertama yang bekerja dengan cara ini atas nama pengguna akhir. Faktanya, banyak sistem otentikasi, terutama Kerberos, bekerja dengan cara yang sama. Apa yang istimewa dari OAuth adalah kemampuannya untuk bekerja di seluruh web dan penerapannya secara luas. Itu berhasil dengan tingkat adopsi di mana upaya sebelumnya gagal (karena berbagai alasan).


API keys

Untuk memanfaatkan sebagian besar API, Anda harus terlebih dahulu mendaftar untuk mendapatkan kunci API. Kunci API adalah string panjang yang biasanya disertakan dalam URL atau header permintaan. Kunci API sebagian besar digunakan untuk mengidentifikasi orang yang melakukan panggilan API (mengotentikasi Anda untuk menggunakan API). Kunci API berpotensi ditautkan ke aplikasi tertentu yang telah Anda daftarkan. Anda mungkin menerima kunci publik dan pribadi dari API. Kunci publik biasanya disertakan dalam permintaan, sedangkan kunci pribadi digunakan terutama untuk komunikasi server-ke-server dan diperlakukan lebih seperti kata sandi. Saat Anda masuk ke beberapa situs dokumentasi API, kunci API Anda secara otomatis diberikan ke dalam kode sampel dan Penjelajah API.


Untuk memutuskan skema mana yang paling tepat, penting untuk memahami API keys dan autentikasi apa yang dapat diberikan.

  • Identifikasi proyek — Identifikasi aplikasi atau proyek yang melakukan panggilan ke API ini

  • Otorisasi proyek — Periksa apakah aplikasi pemanggil telah diberikan akses untuk memanggil API dan telah mengaktifkan API dalam proyeknya


API keys tidak seaman token autentikasi (lihat Keamanan API keys), tetapi kunci tersebut mengidentifikasi aplikasi atau proyek yang memanggil API. Mereka dihasilkan pada proyek yang membuat panggilan, dan Anda dapat membatasi penggunaannya pada lingkungan seperti rentang alamat IP, atau aplikasi Android atau iOS.


Dengan mengidentifikasi proyek pemanggilan, Anda dapat menggunakan API keys untuk mengaitkan informasi penggunaan dengan proyek tersebut. API keys memungkinkan Extensible Service Proxy (ESP) menolak panggilan dari proyek yang belum diberi akses atau diaktifkan di API.




BAB III

KESIMPULAN

Authentication VS Authorization

Orang sering menggunakan istilah kontrol akses dan otorisasi secara bergantian. Meskipun banyak kebijakan otorisasi merupakan bagian dari kontrol akses, kontrol akses adalah komponen otorisasi. Kontrol akses menggunakan proses otorisasi untuk memberikan atau menolak akses ke sistem atau data. Dengan kata lain, otorisasi mendefinisikan kebijakan tentang apa yang dapat diakses oleh pengguna atau layanan. Kontrol akses memberlakukan kebijakan ini. Jika kita membandingkan otentikasi dan kontrol akses, perbandingan antara otentikasi dan otorisasi masih berlaku. Otentikasi memverifikasi identitas pengguna, dan kontrol akses menggunakan identitas ini untuk memberikan atau menolak akses.

Authentication

  • Menentukan apakah pengguna adalah siapa yang mereka klaim

  • Menantang pengguna untuk memvalidasi kredensial (misalnya, melalui sandi, jawaban atas pertanyaan keamanan, atau pengenalan wajah)

  • Biasanya dilakukan sebelum otorisasi

  • Umumnya, mengirimkan info melalui Token ID

  • Umumnya diatur oleh protokol OpenID Connect (OIDC)

  • Contoh: Karyawan di sebuah perusahaan diharuskan untuk melakukan otentikasi melalui jaringan sebelum mengakses email perusahaan mereka

Authorization

  • Menentukan apa yang dapat dan tidak dapat diakses oleh pengguna

  • Memverifikasi apakah akses diizinkan melalui kebijakan dan aturan

  • Biasanya dilakukan setelah otentikasi berhasil

  • Umumnya, mengirimkan info melalui Token Akses

  • Umumnya diatur oleh kerangka kerja OAuth 2.0

  • Contoh: Setelah seorang karyawan berhasil mengautentikasi, sistem menentukan informasi apa yang diizinkan untuk diakses oleh karyawan

Singkatnya, akses ke sumber daya dilindungi oleh otentikasi dan otorisasi. Jika Anda tidak dapat membuktikan identitas Anda, Anda tidak akan diizinkan menjadi sumber daya. Dan bahkan jika Anda dapat membuktikan identitas Anda, jika Anda tidak berwenang untuk sumber daya itu, Anda akan tetap ditolak aksesnya.




Alamat Blog Anda : https://kampuskuuti.blogspot.com/

Alamat Blog Dosen : https://najibmuhammadd.wordpress.com/

Link Artikel Jawaban Tugas : https://kampuskuuti.blogspot.com/2022/07/makalah-authentication-vs-authorization.html

Alamat web Program studi, Fakultas, Universitas : http://ti.ftik.teknokrat.ac.id, http://ftik.teknokrat.ac.id, www.teknokrat.ac.id

Nama Mahasiswa : Ramanda Ajisaka Asyraf

NPM : 20312067

Kelas : IF B SP

You May Also Like

Post a Comment

0 Comments

© Copyright , KampusKu. All rights Reserved. | ThemeDaddy - Best Themes Everytime!