SlideShare a Scribd company logo

Perlindungan keamanan informasi - Password

R
radityamuhammad1

Metode manusia ‘masuk’ ke dalam sistem dibagi dalam 3 kategori: Something you have (Token akses, kunci fisik, kartu id, kartu pintar, ponsel) Something you know (Password, PIN) Something you are (tekstur iris, pola retina, pengenalan wajah atau sidik jari) Persoalan password jadi tantangan praktikan yang paling menantang dalam keamanan informasi Penggunaan password yang mudah, dan penggunaan password yang sama di berbagai sistem Sehingga manajemen password menjadi solusi yang perlu dilakukan Psikologi Manusia Model serangan terhadap password Model pertahanan

Technology
1 of 27
Download to read offline
PASSWORD MATA KULIAH PENJAMINAN DAN KEAMANAN INFORMASI
Outlines Review • Social Engineering • Kesulitan Mengingat Password Permasalahan Psikologi Permasalahan Sistem Perlindungan Teknis Password
Review
Review
PENDAHULUAN
Pendahuluan • Metode manusia ‘masuk’ ke dalam sistem dibagi dalam 3 kategori: • Something you have (Token akses, kunci fisik, kartu id, kartu pintar, ponsel) • Something you know (Password, PIN) • Something you are (tekstur iris, pola retina, pengenalan wajah atau sidik jari) • Persoalan password jadi tantangan praktikan yang paling menantang dalam keamanan informasi • Penggunaan password yang mudah, dan penggunaan password yang sama di berbagai sistem • Sehingga manajemen password menjadi solusi yang perlu dilakukan • Psikologi Manusisa • Model serangan terhadap password • Model pertahanan Umum digunakan
https://tekno.kompas.com/read/2022/09/06/17490987/pesan-balasan- hacker-untuk-kominfo-stop-being-an-idiot?page=all https://www.cnnindonesia.com/nasional/20221002192340-20-855395/bjorka- sampaikan-dukacita-tragedi-kanjuruhan-data-menpora-dibocorkan
https://www.kompas.com/sains/read/2021/09 /03/080000023/bocornya-1-3-juta-data-ehac- mengapa-terjadi-dan-bahayanya-bagi- pasien?page=all
https://www.cnnindonesia.com/teknologi/20210729125539-185- 673757/data-warga-ri-bocor-bri-life-bpjs-hingga-pasien-covid-19 https://www.cnnindonesia.com/teknologi/20210606200515-185- 650991/kebocoran-data-pribadi-bpjs-kesehatan-bakal-digugat
Studi Kasus https://www.bbc.com/news/technology-36306419 • Personal email Pangeran Phillips diretas pada tahun 1984 • celah keamanan pada anak perusahan British Telecom, Prestel • Menjadi cikal bakal hukum kejahatan komputer di Inggris
PERMASALAHAN PSIKOLOGI
Permasalahan Psikologi • Pertimbangan security information engineer: • Potensi pengguna memasukkan password dengan tepat • Potensi pengguna mampu mengingat atau dituliskan terhadap password yang ditentukan, atau memilih password yang mudah ditebak oleh penyerang • Potensi pengguna merusak sistem keamanan dengan mengungkapkan password ke pihak tidak berwenang secara tidak sengaja/kecelakaan, sengaja (berkhianat), atau dampak hasil penipuan (korban) • Permasalahan psikologi: • Social engineering • Aturan password yang terlalu kompleks • Kesulitan untuk mengingat password
Social Engineering • Seni meyakinkan orang untuk mengungkapkan atau memberikan informasi yang bersifat rahasia (Blagging – UK; Pretexting – US;) • Target: menyerang individu/institusi yang menyimpan informasi pribadi. • Password atau PIN • Personel yang memiliki akses ke suatu asset berharga (technical staf, system admin) • Penyebab rentannya terkena serangan social engineering • Kurangnya kesadaran tentang keamanan informasi • Akses ke informasi/data tidak diatur • Kurang/tidak ada kebijakan keamanan (security policy) secara organisasi
Social Engineering • Mengapa social engineering dapat berhasil? • Kurang efektifnya kebijakan kemanan, serta perilaku manusia faktor paling rentan • Upaya manipulasi psikologis sulit untuk dideteksi • Tidak ada/belum ada metode yang tepat untuk memastikan keamanan informasi secara general bebas dari serangan manipulasi psikologis. • Tidak ada software/hardware secara khusus mampu bertahan dari serangan manipulasi psikologis. • Fase serangan social engineering • Menelusuri perusahaan target: • Memilih target • Membangun relasi dengan personel target • Memanfaatkan relasi untuk mendapatkan informasi yang diinginkan
Pendekatan social engineering (human-based) https://image.shutterstock.com/image- photo/close-upbusinessman-eavesdropping-on- conversation-260nw-1111237256.jpg https://www.datarecovery.co.nz/wp- content/uploads/2015/03/Shoulder-surfing- 2.jpg https://www.social-engineer.org/wp- content/uploads/2014/02/dumpster-1- 300x169.jpg EAVESDROPPING SHOULDER SURFING DUMPSTER DIVING
Pendekatan Social Engineering (computer-based) https://www.niagahoster.co.id/blog/mengat asi-phishing/ https://cdn.fileinfo.com/img/help/gmail_msi_attachment.jpg https://static.packt- cdn.com/products/9781788831345/grap hics/9b0a7f30-7d05-41f4-86c4- 5dce0bc681b1.jpg PHISING EMAIL ATTACHMENT POP-UP ATTACK – CLICKJACKING
Pendekatan Social Engineering (mobile-based) https://www.proofpoint.com/us/threat- insight/post/Risky-Mobile-Apps-Steal- Data MALICIOUS APPS VISHING SmiShing https://silentbreach.com/BlogArticles/img_78 .jpg https://www.rd.com/wp- content/uploads/2020/12/Smishing-example- 1.jpg
Aturan Password yang Terlalu Kompleks • Kebijakan keamanan password yang ditentukan merupakan salah satu bentuk penerapan keamanan informasi di Instansi. • Tantangan: • Pengguna sulit untuk memasukan password yang kompleks • Pengguna sulit untuk memasukan password terlalu Panjang • Rangkuman aturan password dari berbagai standar: • https://davintechgroup.com/toolkit/password-requirements-gdpr-iso- 27001-27002-pci-dss-nist-800-53/ https://cdn- 2.tstatic.net/tribunnews/foto/bank/images/stimulu s-pln-2021-klaim-token-listrik-gratis-pln-mulai-7- januari-via-wwwplncoid-atau-whatsapp.jpg
Permasalahan Password • Aturan password yang ditentukan oleh pembuat kebijakan password harus mampu mengkompromikan kemampuan pengguna • Pengguna mudah mengingat password jika sederhana • Untuk password yang ditentukan, kecenderungannya pengguna mencatat password • Kesalahan Desain • Mudah diketahui oleh penyerang (Password/Nama Ibu Kandung) • Data palsu bisa membuat pengguna melanggar ketentuan • Isu Operasional • Kegagalan dalam menetapkan aturan yang jelas dan penegakan aturan mengenai perlindungan password bisa menimbulkan permasalahan • Contoh: default password dan username: admin – admin.
PERMASALAHAN SISTEM
Tipe Serangan Password • Serangan yang ditargetkan pada satu akun • Seorang penyusup mencoba menebak kata sandi pengguna tertentu untuk melakukan kerusakan secara langsung. • Mencoba menembus akun apa pun di sistem • Penyusup mencoba untuk masuk sebagai pengguna sistem untuk mencuri layanan secara langsung atau sebagai batu loncatan untuk serangan yang lebih luas. • Mencoba menembus akun apa pun di sistem apa pun • Penyusup menginginkan akun di sistem apa pun di domain tertentu • Serangan penolakan layanan • Penyerang mungkin ingin mencegah pengguna yang sah menggunakan sistem
Target Penyerangan • Perlindungan untuk satu user atau semua user? • Untuk sistem tertentu (mobile dan sistem bank), penyerang yang mendapatkan hak akses akan dianggap sebagai pengguna resmi • Password yang ditentukan sendiri oleh penggun berpotensi untuk mudah ditebak oleh orang terdekatnya • Pada sistem operasi UNIX dan Windows • Pembagian pengguna dimaksudkan untuk menghindari kesalahan tidak sengaja yang berpotensi merusak sistem operasi. • Penyerang yang mampu memiliki salah satu hak akses dari pengguna dari sistem operasi berpotensi menguasai fitur administrator yang dapat membahayakan sistem.
Perlindungan Password
Pelatihan Pengguna • Untuk kebutuhan yang terikat (militer, sekolah/universitas) pemaksaan aturan dapat dilakukan. • Kebijakan pemilihan password yang baik ditentukan berdasarkan standar • https://davintechgroup.com/toolkit/password-requirements-gdpr-iso-27001-27002-pci-dss-nist-800-53/ • Password yang bersifat mnemonic lebih mudah diingat oleh pengguna namun tetap sulit ditebak oleh penyerang. https://www.semanticscholar.org/paper/Mnemonic-Passwords-Practices-in-Corporate-Sites-in-Oghenerukevbe/a74fb8c7629cccdc5362b7aebbdd040e2ee86abd
REFERENCES • Ross Anderson, “Security Engineering: A Guide to Building Dependable Distributed Systems”, pp:63-92. Wiley, 2008. • Security Awareness Course, Inixindo. 2021
Pengumuman Kuis – Social Engineering Link Video: https://www.youtube.com/watch?v=lc7scxvKQOo
Pengumuman Kuis – Social Engineering • Buatlah kelompok terdiri dari 2-3 orang. • Rencanakan secara berkelompok untuk menyusun skenario untuk menyerang keamanan informasi seseorang/kelompok secara rahasia • PERHATIAN: • JANGAN MENGGUNAKAN IDENTITAS ASLI • JANGAN MENGGUNAKAN IDENTITAS ALMAMATER • TUGAS INI SEBAGAI SARANA EDUKASI/PEMBELAJARAN • MINIMALISASI RESIKO DALAM PENGERJAAN TUGAS INI. • Deadline Pengumpulan Laporan Pelaksanaan pada pertemuan 7. • Presentasi skenario tiap kelompok pada pertemuan 6

Recommended

2. security system attack
2. security system attack2. security system attack
2. security system attackimam damo
 
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Ratih Safitri
 
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Ratih Safitri
 
Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasiSelfia Dewi
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasidzulfadlie
 
02 secure-prinsip
02 secure-prinsip02 secure-prinsip
02 secure-prinsipWahyuni Rahmi
 
pengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxpengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxBudiHsnDaulay
 
UTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxUTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxFIKUNIVAL
 

Recommended

2. security system attack
2. security system attack2. security system attack
2. security system attackimam damo
 
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Ratih Safitri
 
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...
Sim, ratih safitri, hapzi ali, keamanan sistem informasi, universitas mercu b...Ratih Safitri
 
Sim keamanan sistem informasi
Sim keamanan sistem informasiSim keamanan sistem informasi
Sim keamanan sistem informasiSelfia Dewi
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasidzulfadlie
 
02 secure-prinsip
02 secure-prinsip02 secure-prinsip
02 secure-prinsipWahyuni Rahmi
 
pengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxpengantar_keamanan_sistem_informasi_pptx.pptx
pengantar_keamanan_sistem_informasi_pptx.pptxBudiHsnDaulay
 
UTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxUTS Keamanan Komputer.pptx
UTS Keamanan Komputer.pptxFIKUNIVAL
 
01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_i01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_iratna yunita sari
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptimman qori
 
Tugas kkm
Tugas kkmTugas kkm
Tugas kkmBagir Hady
 
Sistem keamanan komputer#1
Sistem keamanan komputer#1Sistem keamanan komputer#1
Sistem keamanan komputer#1Hario Jati Setyadi
 
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxKeamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxEnsign Handoko
 
General computer security
General computer securityGeneral computer security
General computer securityHanjian Jan
 
Introduction to Social Engineering
Introduction to Social EngineeringIntroduction to Social Engineering
Introduction to Social EngineeringMuhammad Ridwan
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptirvaimuhammad
 
4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.ppt4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.pptagusmulyanna
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptncoment131
 
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBERIGN MANTRA
 
Azzahra e commerce 4
Azzahra e commerce 4Azzahra e commerce 4
Azzahra e commerce 45uryo
 
PASSWORD POLICY IN ENTERPRISE
PASSWORD POLICY IN ENTERPRISEPASSWORD POLICY IN ENTERPRISE
PASSWORD POLICY IN ENTERPRISERifqiAlfathulAdhim
 
Keamanan jaringan komputer
Keamanan jaringan komputerKeamanan jaringan komputer
Keamanan jaringan komputerseolangit2
 
Jawaban soal ujian akhir semester vi
Jawaban soal ujian akhir semester viJawaban soal ujian akhir semester vi
Jawaban soal ujian akhir semester viamikom
 
PengamananJaringanKomputer_Kelompok7_1MIB (2).ppt
PengamananJaringanKomputer_Kelompok7_1MIB (2).pptPengamananJaringanKomputer_Kelompok7_1MIB (2).ppt
PengamananJaringanKomputer_Kelompok7_1MIB (2).pptMAkbarPerwiraBangunK
 
Pertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiPertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiRoziq Bahtiar
 
E Business - Chp 10.pptx
E Business - Chp 10.pptxE Business - Chp 10.pptx
E Business - Chp 10.pptxKelvinSaputra12
 
Interaksi Manusia & Komputer Part 2 & 3
Interaksi Manusia & Komputer Part 2 & 3Interaksi Manusia & Komputer Part 2 & 3
Interaksi Manusia & Komputer Part 2 & 3Raga Gapilau Jatsuma
 
Cyber crime - Kejahatan di Dunia Maya / Internet
Cyber crime - Kejahatan di Dunia Maya / InternetCyber crime - Kejahatan di Dunia Maya / Internet
Cyber crime - Kejahatan di Dunia Maya / InternetHendi Hendratman
 

More Related Content

Similar to Perlindungan keamanan informasi - Password

01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_i01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_iratna yunita sari
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptimman qori
 
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxKeamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxEnsign Handoko
 
General computer security
General computer securityGeneral computer security
General computer securityHanjian Jan
 
Introduction to Social Engineering
Introduction to Social EngineeringIntroduction to Social Engineering
Introduction to Social EngineeringMuhammad Ridwan
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptirvaimuhammad
 
4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.ppt4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.pptagusmulyanna
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptncoment131
 
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBERIGN MANTRA
 
Azzahra e commerce 4
Azzahra e commerce 4Azzahra e commerce 4
Azzahra e commerce 45uryo
 
Keamanan jaringan komputer
Keamanan jaringan komputerKeamanan jaringan komputer
Keamanan jaringan komputerseolangit2
 
Jawaban soal ujian akhir semester vi
Jawaban soal ujian akhir semester viJawaban soal ujian akhir semester vi
Jawaban soal ujian akhir semester viamikom
 
PengamananJaringanKomputer_Kelompok7_1MIB (2).ppt
PengamananJaringanKomputer_Kelompok7_1MIB (2).pptPengamananJaringanKomputer_Kelompok7_1MIB (2).ppt
PengamananJaringanKomputer_Kelompok7_1MIB (2).pptMAkbarPerwiraBangunK
 
Pertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiPertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiRoziq Bahtiar
 
E Business - Chp 10.pptx
E Business - Chp 10.pptxE Business - Chp 10.pptx
E Business - Chp 10.pptxKelvinSaputra12
 
Interaksi Manusia & Komputer Part 2 & 3
Interaksi Manusia & Komputer Part 2 & 3Interaksi Manusia & Komputer Part 2 & 3
Interaksi Manusia & Komputer Part 2 & 3Raga Gapilau Jatsuma
 
Cyber crime - Kejahatan di Dunia Maya / Internet
Cyber crime - Kejahatan di Dunia Maya / InternetCyber crime - Kejahatan di Dunia Maya / Internet
Cyber crime - Kejahatan di Dunia Maya / InternetHendi Hendratman
 

Similar to Perlindungan keamanan informasi - Password (20)

01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_i01. overview keamanan_jaringan_i
01. overview keamanan_jaringan_i
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.ppt
 
Tugas kkm
Tugas kkmTugas kkm
Tugas kkm
 
Sistem keamanan komputer#1
Sistem keamanan komputer#1Sistem keamanan komputer#1
Sistem keamanan komputer#1
 
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptxKeamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
Keamanan dan Privasi Data Pengguna di Bidang IoT - BK - Januari 2022.pptx
 
General computer security
General computer securityGeneral computer security
General computer security
 
Introduction to Social Engineering
Introduction to Social EngineeringIntroduction to Social Engineering
Introduction to Social Engineering
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.ppt
 
4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.ppt4. Desain Pengamanan_Jaringan_Komputer.ppt
4. Desain Pengamanan_Jaringan_Komputer.ppt
 
slide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.pptslide_13_Pengamanan_Jaringan_Komputer.ppt
slide_13_Pengamanan_Jaringan_Komputer.ppt
 
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER
“CYBER DEFENCE” KEAMANAN INFORMASI DAN KEDAULATAN NKRI MELALUI BATALYON CYBER
 
Azzahra e commerce 4
Azzahra e commerce 4Azzahra e commerce 4
Azzahra e commerce 4
 
PASSWORD POLICY IN ENTERPRISE
PASSWORD POLICY IN ENTERPRISEPASSWORD POLICY IN ENTERPRISE
PASSWORD POLICY IN ENTERPRISE
 
Keamanan jaringan komputer
Keamanan jaringan komputerKeamanan jaringan komputer
Keamanan jaringan komputer
 
Jawaban soal ujian akhir semester vi
Jawaban soal ujian akhir semester viJawaban soal ujian akhir semester vi
Jawaban soal ujian akhir semester vi
 
PengamananJaringanKomputer_Kelompok7_1MIB (2).ppt
PengamananJaringanKomputer_Kelompok7_1MIB (2).pptPengamananJaringanKomputer_Kelompok7_1MIB (2).ppt
PengamananJaringanKomputer_Kelompok7_1MIB (2).ppt
 
Pertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasiPertemuan04 mengamankansisteminformasi
Pertemuan04 mengamankansisteminformasi
 
E Business - Chp 10.pptx
E Business - Chp 10.pptxE Business - Chp 10.pptx
E Business - Chp 10.pptx
 
Interaksi Manusia & Komputer Part 2 & 3
Interaksi Manusia & Komputer Part 2 & 3Interaksi Manusia & Komputer Part 2 & 3
Interaksi Manusia & Komputer Part 2 & 3
 
Cyber crime - Kejahatan di Dunia Maya / Internet
Cyber crime - Kejahatan di Dunia Maya / InternetCyber crime - Kejahatan di Dunia Maya / Internet
Cyber crime - Kejahatan di Dunia Maya / Internet
 

Perlindungan keamanan informasi - Password

  • 1. PASSWORD MATA KULIAH PENJAMINAN DAN KEAMANAN INFORMASI
  • 2. Outlines Review • Social Engineering • Kesulitan Mengingat Password Permasalahan Psikologi Permasalahan Sistem Perlindungan Teknis Password
  • 6. Pendahuluan • Metode manusia ‘masuk’ ke dalam sistem dibagi dalam 3 kategori: • Something you have (Token akses, kunci fisik, kartu id, kartu pintar, ponsel) • Something you know (Password, PIN) • Something you are (tekstur iris, pola retina, pengenalan wajah atau sidik jari) • Persoalan password jadi tantangan praktikan yang paling menantang dalam keamanan informasi • Penggunaan password yang mudah, dan penggunaan password yang sama di berbagai sistem • Sehingga manajemen password menjadi solusi yang perlu dilakukan • Psikologi Manusisa • Model serangan terhadap password • Model pertahanan Umum digunakan
  • 10. Studi Kasus https://www.bbc.com/news/technology-36306419 • Personal email Pangeran Phillips diretas pada tahun 1984 • celah keamanan pada anak perusahan British Telecom, Prestel • Menjadi cikal bakal hukum kejahatan komputer di Inggris
  • 12. Permasalahan Psikologi • Pertimbangan security information engineer: • Potensi pengguna memasukkan password dengan tepat • Potensi pengguna mampu mengingat atau dituliskan terhadap password yang ditentukan, atau memilih password yang mudah ditebak oleh penyerang • Potensi pengguna merusak sistem keamanan dengan mengungkapkan password ke pihak tidak berwenang secara tidak sengaja/kecelakaan, sengaja (berkhianat), atau dampak hasil penipuan (korban) • Permasalahan psikologi: • Social engineering • Aturan password yang terlalu kompleks • Kesulitan untuk mengingat password
  • 13. Social Engineering • Seni meyakinkan orang untuk mengungkapkan atau memberikan informasi yang bersifat rahasia (Blagging – UK; Pretexting – US;) • Target: menyerang individu/institusi yang menyimpan informasi pribadi. • Password atau PIN • Personel yang memiliki akses ke suatu asset berharga (technical staf, system admin) • Penyebab rentannya terkena serangan social engineering • Kurangnya kesadaran tentang keamanan informasi • Akses ke informasi/data tidak diatur • Kurang/tidak ada kebijakan keamanan (security policy) secara organisasi
  • 14. Social Engineering • Mengapa social engineering dapat berhasil? • Kurang efektifnya kebijakan kemanan, serta perilaku manusia faktor paling rentan • Upaya manipulasi psikologis sulit untuk dideteksi • Tidak ada/belum ada metode yang tepat untuk memastikan keamanan informasi secara general bebas dari serangan manipulasi psikologis. • Tidak ada software/hardware secara khusus mampu bertahan dari serangan manipulasi psikologis. • Fase serangan social engineering • Menelusuri perusahaan target: • Memilih target • Membangun relasi dengan personel target • Memanfaatkan relasi untuk mendapatkan informasi yang diinginkan
  • 15. Pendekatan social engineering (human-based) https://image.shutterstock.com/image- photo/close-upbusinessman-eavesdropping-on- conversation-260nw-1111237256.jpg https://www.datarecovery.co.nz/wp- content/uploads/2015/03/Shoulder-surfing- 2.jpg https://www.social-engineer.org/wp- content/uploads/2014/02/dumpster-1- 300x169.jpg EAVESDROPPING SHOULDER SURFING DUMPSTER DIVING
  • 16. Pendekatan Social Engineering (computer-based) https://www.niagahoster.co.id/blog/mengat asi-phishing/ https://cdn.fileinfo.com/img/help/gmail_msi_attachment.jpg https://static.packt- cdn.com/products/9781788831345/grap hics/9b0a7f30-7d05-41f4-86c4- 5dce0bc681b1.jpg PHISING EMAIL ATTACHMENT POP-UP ATTACK – CLICKJACKING
  • 17. Pendekatan Social Engineering (mobile-based) https://www.proofpoint.com/us/threat- insight/post/Risky-Mobile-Apps-Steal- Data MALICIOUS APPS VISHING SmiShing https://silentbreach.com/BlogArticles/img_78 .jpg https://www.rd.com/wp- content/uploads/2020/12/Smishing-example- 1.jpg
  • 18. Aturan Password yang Terlalu Kompleks • Kebijakan keamanan password yang ditentukan merupakan salah satu bentuk penerapan keamanan informasi di Instansi. • Tantangan: • Pengguna sulit untuk memasukan password yang kompleks • Pengguna sulit untuk memasukan password terlalu Panjang • Rangkuman aturan password dari berbagai standar: • https://davintechgroup.com/toolkit/password-requirements-gdpr-iso- 27001-27002-pci-dss-nist-800-53/ https://cdn- 2.tstatic.net/tribunnews/foto/bank/images/stimulu s-pln-2021-klaim-token-listrik-gratis-pln-mulai-7- januari-via-wwwplncoid-atau-whatsapp.jpg
  • 19. Permasalahan Password • Aturan password yang ditentukan oleh pembuat kebijakan password harus mampu mengkompromikan kemampuan pengguna • Pengguna mudah mengingat password jika sederhana • Untuk password yang ditentukan, kecenderungannya pengguna mencatat password • Kesalahan Desain • Mudah diketahui oleh penyerang (Password/Nama Ibu Kandung) • Data palsu bisa membuat pengguna melanggar ketentuan • Isu Operasional • Kegagalan dalam menetapkan aturan yang jelas dan penegakan aturan mengenai perlindungan password bisa menimbulkan permasalahan • Contoh: default password dan username: admin – admin.
  • 21. Tipe Serangan Password • Serangan yang ditargetkan pada satu akun • Seorang penyusup mencoba menebak kata sandi pengguna tertentu untuk melakukan kerusakan secara langsung. • Mencoba menembus akun apa pun di sistem • Penyusup mencoba untuk masuk sebagai pengguna sistem untuk mencuri layanan secara langsung atau sebagai batu loncatan untuk serangan yang lebih luas. • Mencoba menembus akun apa pun di sistem apa pun • Penyusup menginginkan akun di sistem apa pun di domain tertentu • Serangan penolakan layanan • Penyerang mungkin ingin mencegah pengguna yang sah menggunakan sistem
  • 22. Target Penyerangan • Perlindungan untuk satu user atau semua user? • Untuk sistem tertentu (mobile dan sistem bank), penyerang yang mendapatkan hak akses akan dianggap sebagai pengguna resmi • Password yang ditentukan sendiri oleh penggun berpotensi untuk mudah ditebak oleh orang terdekatnya • Pada sistem operasi UNIX dan Windows • Pembagian pengguna dimaksudkan untuk menghindari kesalahan tidak sengaja yang berpotensi merusak sistem operasi. • Penyerang yang mampu memiliki salah satu hak akses dari pengguna dari sistem operasi berpotensi menguasai fitur administrator yang dapat membahayakan sistem.
  • 24. Pelatihan Pengguna • Untuk kebutuhan yang terikat (militer, sekolah/universitas) pemaksaan aturan dapat dilakukan. • Kebijakan pemilihan password yang baik ditentukan berdasarkan standar • https://davintechgroup.com/toolkit/password-requirements-gdpr-iso-27001-27002-pci-dss-nist-800-53/ • Password yang bersifat mnemonic lebih mudah diingat oleh pengguna namun tetap sulit ditebak oleh penyerang. https://www.semanticscholar.org/paper/Mnemonic-Passwords-Practices-in-Corporate-Sites-in-Oghenerukevbe/a74fb8c7629cccdc5362b7aebbdd040e2ee86abd
  • 25. REFERENCES • Ross Anderson, “Security Engineering: A Guide to Building Dependable Distributed Systems”, pp:63-92. Wiley, 2008. • Security Awareness Course, Inixindo. 2021
  • 26. Pengumuman Kuis – Social Engineering Link Video: https://www.youtube.com/watch?v=lc7scxvKQOo
  • 27. Pengumuman Kuis – Social Engineering • Buatlah kelompok terdiri dari 2-3 orang. • Rencanakan secara berkelompok untuk menyusun skenario untuk menyerang keamanan informasi seseorang/kelompok secara rahasia • PERHATIAN: • JANGAN MENGGUNAKAN IDENTITAS ASLI • JANGAN MENGGUNAKAN IDENTITAS ALMAMATER • TUGAS INI SEBAGAI SARANA EDUKASI/PEMBELAJARAN • MINIMALISASI RESIKO DALAM PENGERJAAN TUGAS INI. • Deadline Pengumpulan Laporan Pelaksanaan pada pertemuan 7. • Presentasi skenario tiap kelompok pada pertemuan 6