TUGAS IT ETHIC REGULATION & CYBER LAW KELOMPOK : 1. Feby Gilang DP 13.12.0004 2. Rika Yunika 14.12.0016 3. Junianto 13.12.0016 4. Zaint Ma’ruf 13.12.0072 5. Rfqi Alfatul 13.12.0221 STMIK AMIKOM PURWOKERTO 2014
TUGAS
IT ETHIC REGULATION & CYBER LAW
KELOMPOK :
1. Feby Gilang DP 13.12.0004
2. Rika Yunika 14.12.0016
3. Junianto 13.12.0016
4. Zaint Ma’ruf 13.12.0072
5. Rfqi Alfatul 13.12.0221
STMIK AMIKOM PURWOKERTO
2014
LATAR BELAKANG
Dalam dunia komunikasi data global dan perkembangan teknologi informasi
yang senantiasa berubah serta cepatnya perkembangan software, keamanan
merupakan suatu isu yang sangat penting, baik itu keamanan fisik, keamanan data
maupun keamanan aplikasi.Perllu kita sadar bahwa untuk mencapai suatu
keamanan adalh suatu hal yang mustahil. Namun yang bisa kita lakukan adalah
untuk mengurangi gangguan keamanan tersebut.
Salah satu metode pengamanan sistem informasi yang umum diketahui oleh
banyak orang adalah password. Dimana password sendiri mempunyai peranan
penting mengamankan informasi-informasi yang sifatnya pribadi (confidential).
Tetapi banyak dari para pengguna password yang membuat password secara
sembarangan tanpa mengetahui kebijakan pengamanan (password policy) dan
bagaimana membuat password yang kuat (strong password).Yang tanpa kita sadari
banyak diluar sana para “attacker”yang dapat mencuri dan mengacak ngacak
informasi kita
SEKILAS TENTANG PASSWORD
Password adalah suatu bentuk dari data otentikasi rahasia yang digunakan untuk
mengontrol akses ke dalam suatu sumber informasi
Password bukan berarti suatu bentuk kata-kata tertentu saja,password yang bukan
suatu kata yang mempunyai arti akan lebih sulit untuk ditebak
KATEGORI UTAMA SISTEM OTENTIKASI
PASSWORD
1. Otentikasi Lemah (Weak Authentication)
• Cleartext Passwords
• Hashed Passwords
• Hashed Passwords
2. Otentikasi Kuat (Strong Authentication)
• EKE
• DH-EKE, SPEKE
• A-EKE
PROTEKSI PASSWORD
Salting
String password yang diberikan pemakai ditambah suatu string pendek sehingga mencapai panjang
password tertentu
One-time Passwords
Password yang dimiliki oleh pemakai diganti secara teratur, dimana seorang pemakai memiliki
daftar password sendiri sehingga untuk login ia selalu menggunakan password berikutnya. Dengan
cara ini pemakai akan menjadi lebih direpotkan karena harus menjaga daftar password tersebut
tidak sampai tercuri atau hilang.
Satu pertanyaan dan jawaban yang panjang
Yang mengharuskan pemakai memberikan satu pertanyaan yang panjang beserta jawabannya,
yang mana pertanyaan dan jawabannya dapat dipilih oleh pemakai, yang mudah untuk diingat
sehingga ia tidak perlu menuliskannya pada kertas.
Tanggapan-tanggapan
Pemakai diberikan kebebasan untuk menggunakan satu atau beberapa algoritma sekaligus.
KESALAHAN UTAMA PARA PENGGUNA
PASSWORD
• Empat contoh kesalahn yang berkaitan erat dengan pengamanan password :
a)Menuliskan password di kertas
b)Pemilihan password yang buruk
c)Meninggalkan komputer yang masih hidup begitu saja
d)Tidak adanya kebijakan keamanan komputer di perusahaan
PENGGUNAAN PASSWORD YANG BAIK
1. Minimal mempunyai panjang 6-8 karakter, yang dikombinasikan dengan karakter
angka, simbol atau menggunakan sensitive case.
2. Tidak memiliki maksud atau makna. Password yang memiliki makna relatif mudah
untuk ditebak. Jadi penggunaan nama anggota keluarga, alamat, tanggal lahir, dan
sejenisnya harus dihindari.
3. Tidak terdiri dari urutan abjad atau angka, misalnya ‘67890’ atau ‘hijklmn’.
4. Sebaiknya diberi periode berlaku. Ini berarti harus sering mengganti password.
5. Jangan gunakan nama login (username) sebagai password dalam bentuk apapun, baik
dengan mengganti huruf kapital, dibalik, diulang, dan sebagainya.
6. Jangan menggunakan kata-kata yang umum dan terdapat dalam kamus.
7. Jangan pernah menuliskan password yang Anda pakai di tempat-tempat yang dapat
diakses umum.
8. Jangan membuat password yang membuat Anda kesulitan untuk menghafalnya.
Buatlah password yang mudah diingat, namun sulit untuk ditebak.
9. Jangan pernah memberitahu password Anda kepada orang lain.Apabila diperlukan,
ada baiknya jika menggunakan software atau utilitas tambahan untuk menambah
keamanan komputer Anda.
PASSWORD POLICY
Password Policy / Kebijakan Pengamanan
• Kebijakan pengamanan atau yang biasa dikenal dengan password policy adalah
sekelompok peraturan yang dibuat untuk meningkatkan keamanan informasi dengan
mendorong pengguna untuk memakai password yang kuat dan menggunakannya
dengan tepat. Kebijakan pengamanan sering menjadi bagian dari regulasi resmi
suatu organisasi. Kebijakan pengamanan dapat dilaporkan atau ditugaskan dengan
melakukan berbagai jenis pengujian ke dalam operating system.
• Beberapa hal yang dipertimbangkan dalam kebijaksanaan pengamanan adalah
a) siapa sajakah yang memiliki akses ke sistem,
b) siapa sajakah yang diizinkan untuk menginstall program ke dalam sistem,
c) siapa memiliki data apa,
d) perbaikan terhadap kerusakan yang mungkin terjadi, dan
e) penggunaan yang wajar dari sistem.
CONTOH KASUS
1. PENCURIAN 1,2 MILIAR USERNAME DAN PASSWORD OLEH HACKER RUSIA
Pertengahan tahun ini terjadi kepanikan massal terkait isu pencurian data internet terbesar
sepanjang sejarah,yakni pencurian 1,2 miliar username dan password dalam skala
global.Kasus perampokan internet ini kabarnya didalangi oleh sebuah organisasi kriminal asal
Rusia
Tak kurang dari 420000 situs telah berhasil diperah dadt data penting penggunanya.Mulai dari
situs situs kecil hingga situs situs erusahan besar berhsil di tembus.Menurut informasi dari
beberapa media ,ada 500 perusahaan besar yang situsnya berhasil diretas oleh hacker
organisasi kriminal tersebut
Untungnya seluruh data tersebut dipakai untuk menyebar pesan email spam saja.Pemerintah
Rusia pun kabarnya juga tidak berkaitan dengan aksipenjarahaninternet berskala global
tersebut
CONTOH KASUS
2.PENCURI PASSWORD LINKEDIN
Kasus yang paling baru terjadi adalah pencurian password di situs LinkedIn. Ada
6,5 juta password yang berhasil digasak pelaku, dan ironisnya lagi, data yang
amat sensitif itu tersebar bebas di internet. Kasus ini sempat disebut-sebut
sebagai aksi pembobolan terbesar selama 10 tahun terakhir.
3.SONY PLAYSTATION NETWORK
Ini adalah salah satu kasus pembobolan yang cukup menggemparkan. Bagaimana
tidak? Jaringan yang hanya bisa diakses oleh pengguna PlayStation ini dibobol
oleh peretas yang hingga kini tidak diketahui identitasnya. Akibat peristiwa
tersebut sedikitnya 77 juta data pengguna PSN digasak pelaku, termasuk di
dalamnya 12 juta nomor kartu kredit yang tak terenkripsi, serta jutaan data
penting lainnya.
CONTOH KEBIJAKAN PASSWORD
1. KEBIJAKAN PEMBUATAN SANDI/PASSWORD
a) Semua password user-level dan tingkat sistem harus sesuai dengan Sandi
Konstruksi Pedoman.
b) Pengguna tidak harus menggunakan password yang sama untuk <Nama
Perusahaan> account seperti untuk non lainnya
c) Bila memungkinkan, pengguna tidak harus menggunakan password yang
sama untuk berbagai <Nama Perusahaan>
d) Account pengguna yang memiliki hak istimewa sistem-tingkat yang
diberikan melalui keanggotaan kelompok atau uprogram seperti sudo harus
memiliki password yang unik dari seluruh rekening lain yang dimiliki oleh
yang pengguna untuk mengakses hak istimewa sistem-tingkat.
e) Apabila Simple Network Management Protocol (SNMP) digunakan, senar
masyarakat harus didefinisikan sebagai sesuatu selain default standar publik,
swasta, dansistem dan harus berbeda dari password yang digunakan untuk
login secara interaktif. SNMP string masyarakat harus memenuhi pedoman
konstruksi sandi.
CONTOH KEBIJAKAN PASSWORD
2.KEBIJAKAN PERUBAHAN PASSWORD
a) Semua password sistem-tingkat (misalnya, akar, aktifkan, NT admin, aplikasi
account administrasi, dan sebagainya) harus diubah setidaknya setiap tiga bulan.
b) Semua password user-level (misalnya, email, web, desktop komputer, dan
sebagainya) harus berubah setidaknya setiap enam bulan. Interval penggantian
yang disarankan adalah setiap empat bulan.
c) Password cracking dapat dilakukan secara periodik atau acak oleh Infosec Team
atau delegasi nya. Jika password diduga atau retak selama salah satu dari ini scan,
pengguna akan diminta untuk mengubahnya menjadi sesuai dengan Password
Pedoman konstruksi.
CONTOH KEBIJAKAN PASSWORD
3.KEBIJAKAN PERLINDUNGAN PASSWORD
a) Password tidak boleh berbagi dengan siapa pun. Semua password harus
diperlakukan sebagai sensitif,Rahasia <Nama Perusahaan> informasi. Informasi
Perusahaan Keamanan mengakui bahwa aplikasi warisan tidak mendukung sistem
proxy di tempat.
b) Password tidak boleh dimasukkan ke dalam pesan email, kasus Alliance atau bentuk
lain dari komunikasi elektronik.
c) Password tidak boleh diungkapkan melalui telepon kepada siapa pun.
d) Jangan mengungkapkan password pada kuesioner atau suatu bentuk keamanan.
e) Jangan mengisyaratkan format password (misalnya, "nama keluarga saya").
CONTOH KEBIJAKAN PASSWORD
3.KEBIJAKAN PERLINDUNGAN PASSWORD
a) Jangan berbagi password <Nama Perusahaan> dengan siapa pun, termasuk
administrasi asisten, sekretaris, manajer, rekan kerja saat berlibur, dan
anggota keluarga.
b) Jangan menulis password dan menyimpannya di mana saja di kantor Anda.
Jangan simpan password dalam file pada sistem komputer atau perangkat
mobile (ponsel, tablet) tanpa enkripsi.
c) Jangan gunakan fitur aplikasi "Remember Password" (misalnya, web
browser).
d) Setiap pengguna yang mencurigai bahwa password nya mungkin telah
dikompromikan, harus melaporkan kecurigaan ini dan mengubah semua
password.
CONTOH KEBIJAKAN PASSWORD
PENGEMBANGAN APLIKASI
Pengembang aplikasi harus memastikan bahwa program mereka mengandung
keamanan tindakan pencegahan berikut:
a) Aplikasi harus mendukung otentikasi pengguna individu, bukan kelompok.
b) Aplikasi tidak harus menyimpan password dalam bentuk teks atau dalam
bentuk yang mudah reversibel.
c) Aplikasi tidak harus mengirimkan password dalam bentuk teks melalui
jaringan.
d) Aplikasi harus menyediakan semacam manajemen peran, sehingga suatu
pengguna dapat mengambil alih fungsi lain tanpa harus mengetahui password
lain.
CONTOH KEBIJAKAN PASSWORD
PENGGUNAAN SANDI DAN PASS PHRASES
Passphrase biasanya digunakan untuk / otentikasi kunci pribadi publik. Sebuah
masyarakat / sistem kunci privat mendefinisikan hubungan matematis antara
kunci publik yang dikenal oleh semua, dan swasta kunci, yang hanya diketahui
pengguna
Passphrase tidak sama dengan password. Sebuah passphrase adalah versi lama
password yang, lebih aman. Sebuah kata sandi biasanya terdiri dari beberapa
kata. Namun passphrase lebih aman terhadap "serangan kamus."Sebuah
passphrase yang baik relatif panjang dan berisi kombinasi huruf besar dan huruf
kecil dan angka dan tanda baca karakter. Contoh dari passphrase yang baik:
• "The *? #> * @ TrafficOnThe101Was * & #! # ThisMorning“
Semua peraturan di atas yang berlaku untuk password berlaku untuk passphrase.
CONTOH KEBIJAKAN PASSWORD
KEBIJAKAN KEPATUHAN
• Pengukuran Kepatuhan Tim Infosec akan memverifikasi kepatuhan terhadap
kebijakan ini melalui berbagai metode, termasuk namun tidak terbatas, periodik
berjalan-thrus, video monitoring, laporan alat bisnis, internal dan eksternal audit, dan
umpan balik kepada pemilik kebijakan.
PENGECUALIAN
• Setiap pengecualian terhadap kebijakan harus disetujui oleh Tim Infosec terlebih
dahulu.
KETIDAKPATUHAN
• Seorang karyawan yang terbukti melanggar kebijakan ini dapat dikenakan tindakan
disiplin, sampai pemutusan hubungan kerja.
ANALISA
Inti dari keamanan komputer adalah melindungi komputer dan
jaringannya dengan tujuan mengamankan informasi yang berada di
dalamnya. Mencegah terjadinya suatu serangan terhadap sistem. Dengan
demikian kita perlu memperhatikan desain dari sistem, aplikasi yang
dipakai, dan human (admin). Ketiga faktor tersebut merupakan cara yang
baik untuk mencegah terjadinya kebocoran sistem, serangan, dan lain-
lain.Berkacamata dalam kehiduapan sehari hari khususnya dalam
penggunaan password masih banyak diantara kita yang masih sembarang
dalam membuat menggunakan dan menjaga suatau password yang kita
miliki . Begitu banyak teknik dalam mengamankan data dan informasi yang
tersimpan pada sebuah media penyimpanan di komputer,dan contoh
kebijakan tadi patut diterapkan baik untuk diri kita maupun untuk suatu
organisasi atau perusahhaan tertentu.
KESIMPULAN
• Password digunakan untuk memproteksi hal-hal yang sifatnya confidential.
Beberapa orang sudah membuat password dengan menggabungkan beberapa
jenis karakter sehingga sulit untuk ditebak. Ini membuktikan bahwa mereka
tidak ingin informasi yang tersimpan didalamnya di-hack oleh pihak
lain. Password yang mereka punya juga tidak ditulis disembarang tempat
atau diberikan kepada sembarang orang.
• Untuk password policy di perusahaan-perusahaan sangat diperlukan.
Perusahaan mewajibkan para karyawannya untuk menggunakan dan
menjaga password. Hal ini diperlukan untuk mengamankan informasi dan
aset penting dari perusahaan agar tidak mudah di dibobol oleh pihak-pihak
yang tidak bertanggung jawab.