Kombinasi Waktu Sinkronisasi dan Nilai Salt untuk Peningkatan Keamanan pada Single Sign-On
Abstrak
Single Sign-On (SSO) merupakan salah satu proses autentikasi yang mengizinkan pengguna untuk mengakses aplikasi tertentu dengan menggunakan identitas yang membolehkan pengguna untuk masuk ke dalam semua aplikasi yang telah diberikan hak akses dan mengurangi proses login manakala ingin bertukar aplikasi selama sesi yang sedang berlangsung. Penggunaan metode autentikasi ini akan mengurangi beban penggunaan kata sandi yang berbeda untuk beberapa hak akses. Kemudahan melakukan akses melalui penggunaan akun tunggal perlu kehati-hatian untuk menjamin kerahasiaan proses pengesahan dan tidak tersebar ke pihak lainnya. Saat ini, ada beberapa aplikasi SSO yang bersifat terbuka, namun penggunaan metode pengesahan (autentikasi) yang ada masih rentan terhadap berbagai serangan terutama Man-In-The-Middle Attack. Pada makalah ini penggunaan metode autentikasi SSO menggunakan algoritme One-Time Password (OTP) diajukan dengan kombinasi sinkronisasi waktu dengan nilai salt. Kombinasi ini digunakan untuk memverifikasi proses sesi pengguna saat mengakses berbagai aplikasi pada mekanisme SSO. Hasil pengujian memperlihatkan algoritme OTP yang diajukan dapat menangani proses pengesahan SSO dengan baik dan juga dapat memproteksi serangan Man-In-The-Middle Attack.
Referensi
K.D. Lewis, "Web Single Sign-On Authentication using SAML," International Journal of Computer Science Issues (IJCSI), Vol. 2, Aug. 2009.
S. Lawton. (2015, Jan.). Secure Authentication With Single Sign-On (SSO) Solutions. Tom's IT Pro, California, USA. [Online]. Available : http://www.tomsitpro.com/articles/single-sign-on-solutions,2-853.html
P. Telnoni, R.Munir, Y. Rosmansyah, "Pengembangan Protokol Single Sign-On SAML Dengan Kombinasi Speech dan Speaker Recognition," Jurnal Cybermatika ITB, Vol. 2, Dec. 2014
G. Ramadhan, "Analisis teknologi Single Sign On (SSO) dengan penerapan Central Authentication Service (CAS) pada Universitas Bina Darma," Skripsi, Lab. Komputer, UBD, Palembang, Indonesia, 2012.
J. Kirk (2007, Mei.). Researcher: RSA 1024-bit Encryption Not Enough. IDG Consumer & SMB, San Francisco, USA. [Online]. Available: http://www.pcworld.com/article/132184/article.html
Hyun-Chul Kim; Lee, H.-W.; Young-Gu Lee; Moon-Seog Jun, "A Design of One-Time Password Mechanism Using Public Key Infrastructure," Fourth International of Networked Computing and Advanced Information Management, Sep. 2008
D. M'Raihi, S. Machani, M. Pei, J. Rydell. (2011, Mei.). TOTP: Time-Based One-Time Password Algorithm. The Internet Engineering Task Force (IETF), California, USA. [Online]. Available: https://tools.ietf.org/html/rfc6238
Gauravaram, P., "Security Analysis of salt || password Hashes," International Conference Advanced Computer Science Applications and Technologies (ACSAT), 26-28 Nov. 2012.
P. Ducklin. (2013, Nov.). Anatomy of a password disaster - Adobe's giant-sized cryptographic blunder. Sophos Ltd, Boston, USA. [Online]. Available:nakedsecurity.sophos.com/2013/11/04/anatomy-of-a-password-disaster-adobes-giant-sized-cryptographic-blunder/
Roscoe, J.T, Fundamental Research Statistics for the Behavioural Sciences 2nd edition, New York, USA: Holt Rinehart & Winston, 1975.
© Jurnal Nasional Teknik Elektro dan Teknologi Informasi, di bawah Lisensi Creative Commons Atribusi-BerbagiSerupa 4.0 Internasional.
2.png)
