IJCCS, Vol.x, No.x, Julyxxxx, pp. 1~5 ISSN:

Transkripsi

1 IJCCS, Vol.x, No.x, Julyxxxx, pp. 1~5 ISSN: SISTEM TWO-FACTOR AUTHENTICATION DENGAN ALGORITMA TIME-BASED ONE-TIME PASSWORD PADA APLIKASI WEB MENGGUNAKAN PERANGKAT ANDROID TWO-FACTOR AUTHENTICATION SYSTEM WITH TIME-BASED ONE-TIME PASSWORD ALGORITHM ON WEB APPLICATION USING ANDROID DEVICE Tesar Ardan Wijaya* 1, Desi Purwanti K. *2 Universitas Dian Nuswantoro, Jl. Nakula 1 No.5-11, Semarang, Jurusan Teknik Informatika, Fakultas Ilmu Komputer * 1 tesarwijaya@gmail.com, * 2 desi.purwanti.kusumaningrum@dsn.dinus.ac.id Abstrak Keamanan adalah perhatian utama pada era digital. Banyak aplikasi berbasis web berkembang di dunia perbankan, pemerintahan, institusi pendidikan dan lain sebagainya. Aplikasi-aplikasi tersebut pada umumnya menggunakan kombinasi username dan password dalam proses otentikasi pengguna. Pelaku kejahatan sering kali memanfaatkan kelalaian pengguna sehingga informasi username dan password sangat rentan terhadap tindakan pencurian data melalui serangan phising. Serangan ini menggunakan pesan palsu yang dikirim dari sumber yang seolah-olah terpercaya. Two-factor authentication (2FA) adalah sistem otentikasi yang membutuhkan 2 faktor untuk melakukan otentikasi pengguna. One-time password (OTP) adalah kata sandi yang valid dan bisa digunakan hanya untuk satu kali sesi login atau transaksi saja pada komputer atau alat digital lainnya. Sistem two-factor authentication dapat dibangun dengan menggunakan kombinasi username dan password serta divalidasikan kepemilikannya dengan password dinamis one-time password. Salah satu metode untuk membangkitkan one-time password adalah Time-based One Time Password (TOTP), metode ini membangkitkan sebuah password dinamis yang berubah mengikuti suatu jeda waktu tertentu. Tujuan dari penelitian ini adalah bagaimana sebuah perangkat mobile android dapat digunakan sebagai pembangkit atau generator One-time password yang dapat digunakan dalam sistem two-factor authentication. Kata kunci keamanan; aplikasi web; two-factor authentication; one-time password; android Abstract Security is a major concern in the digital age. Many web-based applications developed in banking, government, educational institutions and others. These applications usually use combination of username and password in the user authentication process. The criminals often take advantage of the slackness of the user so that the username and password information is very vulnerable to acts of data theft through phishing attacks. These attacks use fake messages sent from a source that seems reliable. Two-factor authentication (2FA) is an authentication system that requires two factors to authenticate users. One-time password (OTP) is a password that is only valid and can be used for once of login session or transaction on a computer or other devices. Two-factor authentication system can be built using a combination of username and password then are validated with dynamic one-time password. One of method for generating one-time password is Time-based One Time Password (TOTP), this method generates a dynamic password which is changed following a certain time lag. The purpose of Received June1 st,2012; Revised June25 th, 2012; Accepted July 10 th, 2012

2 2 ISSN: this study is how an android mobile device can be used as a generator of One-time password that can be used in two-factor authentication system. Keywords security; web application; two-factor authentication; one-time password; android 1. PENDAHULUAN Keamanan adalah perhatian utama dalam segala sektor sekarang ini meliputi, dunia perbankan, aplikasi pemerintahan, organisasi kemiliteran, institusi pendidikan dan lain sebagainya. Perkembangan yang sangat pesat pada layanan online memicu peningkatan jumlah identitas digital setiap pengguna butuhkan. Dan password menjadi pengamanan yang paling banyak digunakan untuk saat ini [1]. Para pengguna biasa menggunakan kata-kata yang jelas mudah diingat seperti Nama, umur, tanggal lahir, kata sandi atau password seperti ini sangatlah mudah dipecahkan menggunakan program pemecah sandi sederhana [2]. Informasi pengguna menjadi sangat rentan terhadap tindakan pencurian data melalui serangan phising. Serangan phising sering menggunakan pesan palsu yang terkirim dari sumber yang terlihat terpercaya. Pelaku kejahatan internet membuat sebuah pesan yang seolah-olah dapat dipercaya oleh korban dengan menggunakan format yang mirip dengan yang asli. Dengan menggunakan teknik social engineering mereka mampu menarik korbannya untuk membalas pesan mereka [3]. Ketidakmampuan single factor authentication dalam mengamankan akun-akun penting para pengguna ini memicu kebutuhan otentikasi lebih dari satu faktor. Two factor authentication (2FA) adalah sistem otentikasi yang membutuhkan 2 faktor untuk melakukan otentikasi pengguna. 2 faktor ini biasanya adalah gabungan dari sesuatu yang diketahui pengguna, dimiliki pengguna atau pengguna itu sendiri seperti sidik jari [4]. One-time password (OTP) adalah kata sandi yang valid dan bisa digunakan hanya untuk satu kali sesi login atau transaksi saja pada komputer atau alat digital lainnya. Berbeda dengan password statis, OTP dapat bertahan dari serangan replay attack. Ada 3 cara untuk membangkitkan OTP: time-synchronization OTP adalah OTP yang dibangkitkan berdasarkan waktu sekarang, previous-password-based OTP adalah OTP yang dibangkitkan berdasarkan password yang dibangkitkan sebelumnya, dan yang terakhir adalah challenge-based OTP adalah OTP yang dibangkitkan berdasarkan challage dari server. Penelitian ini bertujuan untuk mengimplementasikan sistem Two-factor authentication dengan menggunakan kombinasi username dan password sebagai faktor otentikasi pertama dan one time password yang dibangkitkan menggunakan perangkat android dengan metode timebased one time password (TOTP) sebagai faktor otentikasi kedua. 2. METODE PENELITIAN 2.1 Prosedur Pengumpulan Data Studi Pustaka Studi pustaka adalah tahapan pengumpulan data melalui sumber seperti publikasi jurnal internasional, konferensi internasional maupun dokumen-dokumen elektronik. Pengetahuan-pengetahuan yang didapat dari studi pustakan digunakan untuk menyusun landasan teori dan sebagai acuan dalam mengembangkan dan implementasi sistem two-factor authentication dengan algoritma time-based one-time password pada aplikasi web dengan perangkat android dan QR code. Penulis melakukan penelusuran dengan menggunakan kata kunci one-time password, time-based one-time password, web authentication dan QR code Observasi Observasi adalah proses pengamatan terhadap pengguna suatu sistem ataupun terhadap sistem yang telah berjalan. Pada tahap ini, penulis melakukan pengamatan terhadap aplikasi IJCCS Vol. x, No. x, July201x : first_page end_page

3 IJCCS ISSN: sejenis yang telah beredar dan mengamati bagaimana sistem tersebut berjalan sehingga dapat diketahui apa kelebihan dan kelemahan dari sistem yang telah berjalan tersebut. Dengan melakukan observasi pada aplikasi yang telah berjalan, diharapkan penulis dapat mengambil kelebihan dari aplikasi tersebut dan meminimalkan kelemahan pada sistem aplikasi yang akan dibuat oleh penulis. 2.2 Arsitektur Sistem Alur kerja sistem bisa dijelaskan melalui gambar berikut: Gambar 1. Arsitektur sistem Pada diagram diatas, terdapat alur yang telah diberi nomor masing-masing dengan keterangan seperti dibawah ini 1. User atau pengguna melakukan request transaksi pada sistem melalui perangkat komputer atau alat digital lainnya. 2. Sebelum memenuhi request dari pengguna, sistem terlebih dahulu melakukan verifikasi dengan meminta kode one time password (OTP). 3. Pengguna melihat informasi kode OTP pada aplikasi yang terdapat pada perangkat android pengguna yang sebelumnya telah menyimpan kode secret seed. 4. Pengguna mendapatkan informasi kode OTP yang diperlukan untuk melanjutkan transaksi 5. Apabila kode OTP yang dimasukan oleh pengguna sesuai maka transaksi yang dilakukan oleh pengguna akan disimpan dan diproses pada database aplikasi. 2.3 Two-Factor Authentication Two factor Authentication [5] adalah mekanisme yang mengimplementasikan dua faktor yang telah disebutkan diatas dan diketahui lebih kuat dan lebih aman daripada implementasi sistem one factor authentication sederhana. Pengambilan uang dari mesin ATM membutuhkan otentikasi faktor ganda; pengguna harus memiliki kartu ATM sebagai apa yang kamu miliki, dan harus mengetahui personal identification number (PIN) sebagai apa yang kamu tahu. Menurut [6] two-factor authentication dapat dibangun dengan mengkombinasikan dua dari pilihan otentikasi berikut: A. Something you know: a) Password b) Knowlegde-Based Authentication (KBA) B. Something you have: a) One-time password token b) Sertifikat digital c) Grid cards C. Something you are: a) Biometrics Title of manuscript is short and clear, implies research results (First Author)

4 4 ISSN: D. Something known about you: a) Risk-based authentication b) Device ID Two-factor authentication menggunakan kombinasi dari something you know dan something you have. Akan tetapi dalam pengaplikasiannya membutuhkan alat tambahan yang dibutuhkan oleh penyedia layanan dan pengguna layanan. 2.4 Time-based One-time Password Seperti yang sebelumnya didefinisikan di dalam dokumen RFC4226, algoritma HOTP adalah sebuah algoritma yang berdasarkan algoritma HMAC-SHA-1 yang digunakan pada sebuah nilai pencacah dan kumpulan string yang merepresentasikan pesan hasil komputasi HMAC. Hasil dari komputasi HMAC-SHA-1 adalah kumpulan karakter yang memiliki panjang 40 karakter atau 20 byte, sehingga karakter-karakter ini perlu dipotong (truncate) agar dapat memenuhi kebutuhan user-friendly sehingga persamaan dari HOTP adalah sebagai berikut: HOTP(K,C) = Truncate(HMAC-SHA-1(K,C)) dimana fungsi truncate adalah sebuah fungsi yang dapat mengubah nilai HMAC-SHA-1 menjadi nilai HOTP. K dan C merepresentasikan secret seed dan nilai pencacah (counter). Time-based One Time Password (TOTP) adalah salah satu variasi dari algoritma ini yang menggunakan waktu sebagai nilai pencacahnya, dimana nilai T yang diturunkan dari nilai waktu dan jeda waktu (step), sebagai nilai yang menggantikan C. Dalam membangkitkan kode OTP, terdapat langkah-langkah yang harus dilakukan sebelumnya, yaitu Menentukan Time Window Dalam menentukan Time Window (T), time-step harus didefinisikan oleh sistem terlebih dahulu dan nilai time-step harus sama antara prover dan verifier. Time-step menentukan berapa lama sebuah kode OTP dapat digunakan dalam sistem. Dalam menghitung time-step, terdapat 2 nilai yang harus diperhatikan yaitu: 1. X yang mewakili time-step dalam detik (nilai baku X = 30 detik). 2. T0 adalah waktu inisial yang digunakan untuk menghitung time-step (nilai baku T0 adalah 0). Setelah kedua nilai diatas didefinisikan, time window dapat dihitung dengan persamaan: T = (UNIX time T0) / X, dimana hasil dari persamaan diatas akan selalu dibulatkan kebawah. UNIX time atau juga biasa disebut POSIX time atau Epoch time) adalah sistem dalam menggambarkan waktu, didefinisikan sebagai jumlah detik yang dihitung sejak 00:00:00 UTC [32]. Sebagai contoh, jika T0 = 0, X = 30, UNIX time = 59, maka T = (59-0)/30 = 1. Nilai waktu T harus lebih besar dari interger 32-bit ketika tahun sudah melebihi Penandatanganan Digital Tanda tangan digital atau digital signature adalah skema matematis untuk membuktikan keaslian dokumen atau pesan digital. HMAC adalah salah satu tipe dari Message Authentication Code (MAC) yang berbasis fungsi kriptografi hash satu arah. MAC sendiri adalah fungsi satu-arah yang menggunakan kunci privat (K) dalam membangkitkan digest message. Selain membutuhkan kunci privat, dalam mengimplementasikan HMAC juga perlu untuk menentukan fungsi hash (H) yang akan digunakan. HMAC(K, m) = H((K opad) H((K ipad) m)) dimana, H = fungsi kriptografi hash K = kunci privat m = pesan yang akan dibuktikan IJCCS Vol. x, No. x, July201x : first_page end_page

5 IJCCS ISSN: K = kunci privat yang diturunkan dari kunci privat asli dengan menambahkan 0 pada sebelah kanan hingga panjang kunci sama dengan ukuran block = konkat = fungsi XOR Opad = outer padding Ipad = inner padding Dalam penelitian ini, SHA-1 adalah fungsi hash satu arah yang digunakan dalam proses penandatanganan digital pada penelitian ini dan pesan yang akan ditandatangani adalah time window (T) sedangkan K yang digunakan adalah secret seed dari masing-masing pengguna, sehingga persamaannya menjadi, HMAC(K, T) = SHA1((K opad) SHA1((K ipad) T)) Truncate / Pemotongan Digest Setelah didapatkan digest message dari hasil penandatanganan digital atau digital signing menggunakan SHA1, langkah terakhir adalah pesan digest tersebut harus dipotong terlebih dahulu karena pesan terlalu panjang untuk digunakan sebagai OTP. Oleh karena itu, digest message dipotong dengan menggunakan fungsi pemotongan yang bersifat dinamis sehingga panjang pesan menjadi 32 bit atau 4 bytes dengan indeks awal ditentukan oleh nilai 4 bit terakhir dari digest message. Hasil pemotongan dari digest message masih terlalu panjang untuk digunakan sebagai OTP, sehingga hasil pemotongan ini perlu disederhanakan lagi agar dapat digunakan sebagai OTP. Pemotongan hasil akhir ini dilakukkan dengan cara melakukan operasi modulo 10 8 sehingga didapat bilangan bulat integer dengan panjang 8 digit. 8 digit angka ini adalah kode OTP yang dapat digunakan oleh pengguna. 3. HASIL DAN PEMBAHASAN Untuk menguji keberhasilan model yang usulkan dalam penelitian ini, penulis melakukan sampling pengguna dan waktu tertentu untuk melakukan proses login terhadap sistem. Penulis melakukan uji coba setiap pengguna masing-masing 5 kali percobaan login pada 5 pengguna berbeda. Tabel Hasil Sampling Uji Coba Sistem No Nama Pengguna Tanggal (UTC) Jam (UTC) Unix Time Password Kode OTP 1 gasyxar :32: password gasyxar :38: password gasyxar :48: password gasyxar :52: password gasyxar :10: password wusehu :18: password wusehu :21: password wusehu :27: password wusehu :29: password wusehu :33: password Title of manuscript is short and clear, implies research results (First Author)

6 6 ISSN: zecyhuny :01: password zecyhuny :22: password zecyhuny :27: password zecyhuny :36: password zecyhuny :56: password bipityga :46: password bipityga :37: password bipityga :39: password bipityga :26: password bipityga :56: password farik :42: password farik :03: password farik :04: password farik :34: password farik :50: password Pada tabel uji coba diatas terlihat bahwa, setiap pengguna memerlukan password dan kode OTP untuk melakukan login. Setiap pengguna akan memerlukan kode OTP yang berbeda setiap kali mencoba untuk melakukan login, dan kode OTP yang dihasilkan untuk setiap pengguna dan setiap waktu selalu berbeda. 4. KESIMPULAN 1. Perangkat mobile android dapat digunakan untuk membangkitkan kode OTP menggunakan metode time-based one time password yang dapat digunakan sebagai faktor kedua dalam implementasi two-factor authentication pada aplikasi berbasis web. 2. Aplikasi web dapat mengimplementasikan two-factor authentication dengan menggunakan kombinasi username dan password sebagai faktor pertama, dan perangkat mobile android sebagai faktor kedua. 3. Dengan mengimplementasikan two-factor authentication, akun pengguna relatif lebih aman dari tindakan phising 5. SARAN 1. Dalam mengimplementasikan two-factor authentication ini, penulis hanya membuat prototipe bagian sistem saja, sehingga model ini belum teruji pada aplikasi web yang sesungguhnya. 2. Pada pembangkitan shared secret tingkat randomness-nya masih belum terhitung, sehingga penulis belum mengetahui apakah ada kemungkinan suatu shared secret yang sama dapat terjadi pada proses pembangkitan yang berbeda. 3. Keamanan pada aplikasi android masih perlu dikembangkan lagi sehingga menutup kemungkinan seseorang untuk membuka proses didalamnya. IJCCS Vol. x, No. x, July201x : first_page end_page

7 IJCCS ISSN: UCAPAN TERIMA KASIH Dengan memanjatkan puji syukur kehadirat Allah SWT. Tuhan Yang Maha Pengasih dan Maha Penyayang yang telah melimpahkan segala rahmat, hidayah dan inayah-nya kepada penulis sehingga laporan tugas akhir dengan judul Sistem Two-Factor Authentication Dengan Algoritma Time-Based One-Time Password Pada Aplikasi Web Menggunakan Perangkat Android dapat penulis selesaikan sesuai dengan rencana karena dukungan dari berbagai pihak yang tidak ternilai besarnya. Oleh karena itu penulis menyampaikan terimakasih kepada: 1. Dr.Ir. Edi Noersasongko, M.Kom, selaku Rektor Universitas Dian Nuswantoro Semarang. 2. Dr. Abdul Syukur, selaku Dekan Fasilkom. 3. Dr. Heru Agus Santoso,M.Kom, selaku Ka.Progdi Teknik Informatika dan selaku dosen wali selama menempuh perkuliahan di Universitas Dian Nuswantoro. 4. Desi Purwanti Kusumaningrum,M.Kom, selaku pembimbing tugas akhir yang telah memberikan ide penelitian, memberikan informasi referensi yang penulis butuhkan dan bimbingan yang berkaitan dengan penelitian penulis. 5. Dosen-dosen pengampu di Fakultas Ilmu Komputer Teknik Informatika Universitas Dian Nuswantoro Semarang yang telah memberikan ilmu dan pengalamannya masing-masing, sehingga penulis dapat mengimplementasikan ilmu yang telah disampaikan. Semoga Tuhan yang Maha Esa memberikan balasan yang lebih besar kepada beliau-beliau, dan pada akhirnya penulis berharap bahwa penulisan laporan tugas akhir ini dapat bermanfaat dan berguna sebagaimana fungsinya. DAFTAR PUSTAKA [1] S. Acharya, A. Polawar, P. Baldawa, S. Junghare and P. Pawar, "Internet Banking Two Factor Authentication Using Smartphone," IJSER, vol. 4, no. 3, [2] E. Kalaikavitha and J. Gnanaselvi, "Secure Login Using Encrypted One Time Password (Otp) and Mobile Based Login Methodology," International Journal Of Engineering And Science, vol. 2, no. 10, pp , [3] A. A. Khan, "Preventing Phishing Attacks using One Time Password and User Machine Identification," International Journal of Computer Applications, vol. 68, no. 3, [4] VirtualDCS, "Should two factor authentication be the norm: VirtualDCS," virtualdcs, 12 February [Online]. Available: [Accessed 12 November 2015]. [5] B. Schneier, "Two-Factor Authentication: Too Little, Too Late," Inside Risks 178, Communications of the ACM, vol. 48, no. 4, [6] D. v. Thanh, I. Jorstad, T. Jonvik and D. v. Thuan, "Strong authentication with mobile phone as security token," in Mobile Adhoc and Sensor Systems, MASS '09. IEEE 6th International Conference on, Macau, [7] The Open Group, "The Open Group Base Specification Issue 7," [Online]. Available: [Accessed ]. Title of manuscript is short and clear, implies research results (First Author)