Metode manusia ‘masuk’ ke dalam sistem dibagi dalam 3 kategori:
Something you have (Token akses, kunci fisik, kartu id, kartu pintar, ponsel)
Something you know (Password, PIN)
Something you are (tekstur iris, pola retina, pengenalan wajah atau sidik jari)
Persoalan password jadi tantangan praktikan yang paling menantang dalam keamanan informasi
Penggunaan password yang mudah, dan penggunaan password yang sama di berbagai sistem
Sehingga manajemen password menjadi solusi yang perlu dilakukan
Psikologi Manusia
Model serangan terhadap password
Model pertahanan
6. Pendahuluan
• Metode manusia ‘masuk’ ke dalam sistem dibagi dalam 3 kategori:
• Something you have (Token akses, kunci fisik, kartu id, kartu pintar, ponsel)
• Something you know (Password, PIN)
• Something you are (tekstur iris, pola retina, pengenalan wajah atau sidik jari)
• Persoalan password jadi tantangan praktikan yang paling menantang
dalam keamanan informasi
• Penggunaan password yang mudah, dan penggunaan password yang sama di berbagai sistem
• Sehingga manajemen password menjadi solusi yang perlu dilakukan
• Psikologi Manusisa
• Model serangan terhadap password
• Model pertahanan
Umum digunakan
12. Permasalahan Psikologi
• Pertimbangan security information engineer:
• Potensi pengguna memasukkan password dengan tepat
• Potensi pengguna mampu mengingat atau dituliskan terhadap password yang ditentukan, atau
memilih password yang mudah ditebak oleh penyerang
• Potensi pengguna merusak sistem keamanan dengan mengungkapkan password ke pihak tidak
berwenang secara tidak sengaja/kecelakaan, sengaja (berkhianat), atau dampak hasil penipuan
(korban)
• Permasalahan psikologi:
• Social engineering
• Aturan password yang terlalu kompleks
• Kesulitan untuk mengingat password
13. Social Engineering
• Seni meyakinkan orang untuk mengungkapkan atau memberikan informasi yang
bersifat rahasia (Blagging – UK; Pretexting – US;)
• Target: menyerang individu/institusi yang menyimpan informasi pribadi.
• Password atau PIN
• Personel yang memiliki akses ke suatu asset berharga (technical staf,
system admin)
• Penyebab rentannya terkena serangan social engineering
• Kurangnya kesadaran tentang keamanan informasi
• Akses ke informasi/data tidak diatur
• Kurang/tidak ada kebijakan keamanan (security policy) secara organisasi
14. Social Engineering
• Mengapa social engineering dapat berhasil?
• Kurang efektifnya kebijakan kemanan, serta perilaku manusia faktor paling rentan
• Upaya manipulasi psikologis sulit untuk dideteksi
• Tidak ada/belum ada metode yang tepat untuk memastikan keamanan informasi secara
general bebas dari serangan manipulasi psikologis.
• Tidak ada software/hardware secara khusus mampu bertahan dari serangan manipulasi
psikologis.
• Fase serangan social engineering
• Menelusuri perusahaan target:
• Memilih target
• Membangun relasi dengan personel target
• Memanfaatkan relasi untuk mendapatkan informasi yang diinginkan
17. Pendekatan Social Engineering (mobile-based)
https://www.proofpoint.com/us/threat-
insight/post/Risky-Mobile-Apps-Steal-
Data
MALICIOUS APPS VISHING SmiShing
https://silentbreach.com/BlogArticles/img_78
.jpg
https://www.rd.com/wp-
content/uploads/2020/12/Smishing-example-
1.jpg
18. Aturan Password yang Terlalu Kompleks
• Kebijakan keamanan password yang ditentukan
merupakan salah satu bentuk penerapan keamanan
informasi di Instansi.
• Tantangan:
• Pengguna sulit untuk memasukan password yang
kompleks
• Pengguna sulit untuk memasukan password terlalu
Panjang
• Rangkuman aturan password dari berbagai
standar:
• https://davintechgroup.com/toolkit/password-requirements-gdpr-iso-
27001-27002-pci-dss-nist-800-53/
https://cdn-
2.tstatic.net/tribunnews/foto/bank/images/stimulu
s-pln-2021-klaim-token-listrik-gratis-pln-mulai-7-
januari-via-wwwplncoid-atau-whatsapp.jpg
19. Permasalahan Password
• Aturan password yang ditentukan oleh pembuat kebijakan password harus
mampu mengkompromikan kemampuan pengguna
• Pengguna mudah mengingat password jika sederhana
• Untuk password yang ditentukan, kecenderungannya pengguna mencatat password
• Kesalahan Desain
• Mudah diketahui oleh penyerang (Password/Nama Ibu Kandung)
• Data palsu bisa membuat pengguna melanggar ketentuan
• Isu Operasional
• Kegagalan dalam menetapkan aturan yang jelas dan penegakan aturan mengenai
perlindungan password bisa menimbulkan permasalahan
• Contoh: default password dan username: admin – admin.
21. Tipe Serangan Password
• Serangan yang ditargetkan pada satu akun
• Seorang penyusup mencoba menebak kata sandi pengguna tertentu untuk
melakukan kerusakan secara langsung.
• Mencoba menembus akun apa pun di sistem
• Penyusup mencoba untuk masuk sebagai pengguna sistem untuk mencuri layanan
secara langsung atau sebagai batu loncatan untuk serangan yang lebih luas.
• Mencoba menembus akun apa pun di sistem apa pun
• Penyusup menginginkan akun di sistem apa pun di domain tertentu
• Serangan penolakan layanan
• Penyerang mungkin ingin mencegah pengguna yang sah menggunakan sistem
22. Target Penyerangan
• Perlindungan untuk satu user atau semua user?
• Untuk sistem tertentu (mobile dan sistem bank), penyerang yang mendapatkan hak
akses akan dianggap sebagai pengguna resmi
• Password yang ditentukan sendiri oleh penggun berpotensi untuk mudah ditebak
oleh orang terdekatnya
• Pada sistem operasi UNIX dan Windows
• Pembagian pengguna dimaksudkan untuk menghindari kesalahan tidak sengaja yang
berpotensi merusak sistem operasi.
• Penyerang yang mampu memiliki salah satu hak akses dari pengguna dari sistem
operasi berpotensi menguasai fitur administrator yang dapat membahayakan sistem.
24. Pelatihan Pengguna
• Untuk kebutuhan yang terikat (militer, sekolah/universitas) pemaksaan aturan dapat
dilakukan.
• Kebijakan pemilihan password yang baik ditentukan berdasarkan standar
• https://davintechgroup.com/toolkit/password-requirements-gdpr-iso-27001-27002-pci-dss-nist-800-53/
• Password yang bersifat mnemonic lebih mudah diingat oleh pengguna namun tetap sulit
ditebak oleh penyerang.
https://www.semanticscholar.org/paper/Mnemonic-Passwords-Practices-in-Corporate-Sites-in-Oghenerukevbe/a74fb8c7629cccdc5362b7aebbdd040e2ee86abd
25. REFERENCES
• Ross Anderson, “Security Engineering: A Guide to Building Dependable Distributed
Systems”, pp:63-92. Wiley, 2008.
• Security Awareness Course, Inixindo. 2021
26. Pengumuman Kuis – Social Engineering
Link Video: https://www.youtube.com/watch?v=lc7scxvKQOo
27. Pengumuman Kuis – Social Engineering
• Buatlah kelompok terdiri dari 2-3 orang.
• Rencanakan secara berkelompok untuk menyusun skenario untuk
menyerang keamanan informasi seseorang/kelompok secara rahasia
• PERHATIAN:
• JANGAN MENGGUNAKAN IDENTITAS ASLI
• JANGAN MENGGUNAKAN IDENTITAS ALMAMATER
• TUGAS INI SEBAGAI SARANA EDUKASI/PEMBELAJARAN
• MINIMALISASI RESIKO DALAM PENGERJAAN TUGAS INI.
• Deadline Pengumpulan Laporan Pelaksanaan pada pertemuan 7.
• Presentasi skenario tiap kelompok pada pertemuan 6