TUGAS

IT ETHIC REGULATION & CYBER LAW

KELOMPOK :

1. Feby Gilang DP 13.12.0004

2. Rika Yunika 14.12.0016

3. Junianto 13.12.0016

4. Zaint Ma’ruf 13.12.0072

5. Rfqi Alfatul 13.12.0221

STMIK AMIKOM PURWOKERTO

2014

PASSWORD POLICY

LATAR BELAKANG

Dalam dunia komunikasi data global dan perkembangan teknologi informasi

yang senantiasa berubah serta cepatnya perkembangan software, keamanan

merupakan suatu isu yang sangat penting, baik itu keamanan fisik, keamanan data

maupun keamanan aplikasi.Perllu kita sadar bahwa untuk mencapai suatu

keamanan adalh suatu hal yang mustahil. Namun yang bisa kita lakukan adalah

untuk mengurangi gangguan keamanan tersebut.

Salah satu metode pengamanan sistem informasi yang umum diketahui oleh

banyak orang adalah password. Dimana password sendiri mempunyai peranan

penting mengamankan informasi-informasi yang sifatnya pribadi (confidential).

Tetapi banyak dari para pengguna password yang membuat password secara

sembarangan tanpa mengetahui kebijakan pengamanan (password policy) dan

bagaimana membuat password yang kuat (strong password).Yang tanpa kita sadari

banyak diluar sana para “attacker”yang dapat mencuri dan mengacak ngacak

informasi kita

SEKILAS TENTANG PASSWORD

Password adalah suatu bentuk dari data otentikasi rahasia yang digunakan untuk

mengontrol akses ke dalam suatu sumber informasi

Password bukan berarti suatu bentuk kata-kata tertentu saja,password yang bukan

suatu kata yang mempunyai arti akan lebih sulit untuk ditebak

KATEGORI UTAMA SISTEM OTENTIKASI

PASSWORD

1. Otentikasi Lemah (Weak Authentication)

• Cleartext Passwords

• Hashed Passwords

• Hashed Passwords

2. Otentikasi Kuat (Strong Authentication)

• EKE

• DH-EKE, SPEKE

• A-EKE

PROTEKSI PASSWORD

Salting

String password yang diberikan pemakai ditambah suatu string pendek sehingga mencapai panjang

password tertentu

One-time Passwords

Password yang dimiliki oleh pemakai diganti secara teratur, dimana seorang pemakai memiliki

daftar password sendiri sehingga untuk login ia selalu menggunakan password berikutnya. Dengan

cara ini pemakai akan menjadi lebih direpotkan karena harus menjaga daftar password tersebut

tidak sampai tercuri atau hilang.

Satu pertanyaan dan jawaban yang panjang

Yang mengharuskan pemakai memberikan satu pertanyaan yang panjang beserta jawabannya,

yang mana pertanyaan dan jawabannya dapat dipilih oleh pemakai, yang mudah untuk diingat

sehingga ia tidak perlu menuliskannya pada kertas.

Tanggapan-tanggapan

Pemakai diberikan kebebasan untuk menggunakan satu atau beberapa algoritma sekaligus.

KESALAHAN UTAMA PARA PENGGUNA

PASSWORD

• Empat contoh kesalahn yang berkaitan erat dengan pengamanan password :

a)Menuliskan password di kertas

b)Pemilihan password yang buruk

c)Meninggalkan komputer yang masih hidup begitu saja

d)Tidak adanya kebijakan keamanan komputer di perusahaan

PENGGUNAAN PASSWORD YANG BAIK

1. Minimal mempunyai panjang 6-8 karakter, yang dikombinasikan dengan karakter

angka, simbol atau menggunakan sensitive case.

2. Tidak memiliki maksud atau makna. Password yang memiliki makna relatif mudah

untuk ditebak. Jadi penggunaan nama anggota keluarga, alamat, tanggal lahir, dan

sejenisnya harus dihindari.

3. Tidak terdiri dari urutan abjad atau angka, misalnya ‘67890’ atau ‘hijklmn’.

4. Sebaiknya diberi periode berlaku. Ini berarti harus sering mengganti password.

5. Jangan gunakan nama login (username) sebagai password dalam bentuk apapun, baik

dengan mengganti huruf kapital, dibalik, diulang, dan sebagainya.

6. Jangan menggunakan kata-kata yang umum dan terdapat dalam kamus.

7. Jangan pernah menuliskan password yang Anda pakai di tempat-tempat yang dapat

diakses umum.

8. Jangan membuat password yang membuat Anda kesulitan untuk menghafalnya.

Buatlah password yang mudah diingat, namun sulit untuk ditebak.

9. Jangan pernah memberitahu password Anda kepada orang lain.Apabila diperlukan,

ada baiknya jika menggunakan software atau utilitas tambahan untuk menambah

keamanan komputer Anda.

PASSWORD POLICY

Password Policy / Kebijakan Pengamanan

• Kebijakan pengamanan atau yang biasa dikenal dengan password policy adalah

sekelompok peraturan yang dibuat untuk meningkatkan keamanan informasi dengan

mendorong pengguna untuk memakai password yang kuat dan menggunakannya

dengan tepat. Kebijakan pengamanan sering menjadi bagian dari regulasi resmi

suatu organisasi. Kebijakan pengamanan dapat dilaporkan atau ditugaskan dengan

melakukan berbagai jenis pengujian ke dalam operating system.

• Beberapa hal yang dipertimbangkan dalam kebijaksanaan pengamanan adalah

a) siapa sajakah yang memiliki akses ke sistem,

b) siapa sajakah yang diizinkan untuk menginstall program ke dalam sistem,

c) siapa memiliki data apa,

d) perbaikan terhadap kerusakan yang mungkin terjadi, dan

e) penggunaan yang wajar dari sistem.

CONTOH KASUS

1. PENCURIAN 1,2 MILIAR USERNAME DAN PASSWORD OLEH HACKER RUSIA

Pertengahan tahun ini terjadi kepanikan massal terkait isu pencurian data internet terbesar

sepanjang sejarah,yakni pencurian 1,2 miliar username dan password dalam skala

global.Kasus perampokan internet ini kabarnya didalangi oleh sebuah organisasi kriminal asal

Rusia

Tak kurang dari 420000 situs telah berhasil diperah dadt data penting penggunanya.Mulai dari

situs situs kecil hingga situs situs erusahan besar berhsil di tembus.Menurut informasi dari

beberapa media ,ada 500 perusahaan besar yang situsnya berhasil diretas oleh hacker

organisasi kriminal tersebut

Untungnya seluruh data tersebut dipakai untuk menyebar pesan email spam saja.Pemerintah

Rusia pun kabarnya juga tidak berkaitan dengan aksipenjarahaninternet berskala global

tersebut

CONTOH KASUS

2.PENCURI PASSWORD LINKEDIN

Kasus yang paling baru terjadi adalah pencurian password di situs LinkedIn. Ada

6,5 juta password yang berhasil digasak pelaku, dan ironisnya lagi, data yang

amat sensitif itu tersebar bebas di internet. Kasus ini sempat disebut-sebut

sebagai aksi pembobolan terbesar selama 10 tahun terakhir.

3.SONY PLAYSTATION NETWORK

Ini adalah salah satu kasus pembobolan yang cukup menggemparkan. Bagaimana

tidak? Jaringan yang hanya bisa diakses oleh pengguna PlayStation ini dibobol

oleh peretas yang hingga kini tidak diketahui identitasnya. Akibat peristiwa

tersebut sedikitnya 77 juta data pengguna PSN digasak pelaku, termasuk di

dalamnya 12 juta nomor kartu kredit yang tak terenkripsi, serta jutaan data

penting lainnya.

CONTOH KEBIJAKAN PASSWORD

1. KEBIJAKAN PEMBUATAN SANDI/PASSWORD

a) Semua password user-level dan tingkat sistem harus sesuai dengan Sandi

Konstruksi Pedoman.

b) Pengguna tidak harus menggunakan password yang sama untuk <Nama

Perusahaan> account seperti untuk non lainnya

c) Bila memungkinkan, pengguna tidak harus menggunakan password yang

sama untuk berbagai <Nama Perusahaan>

d) Account pengguna yang memiliki hak istimewa sistem-tingkat yang

diberikan melalui keanggotaan kelompok atau uprogram seperti sudo harus

memiliki password yang unik dari seluruh rekening lain yang dimiliki oleh

yang pengguna untuk mengakses hak istimewa sistem-tingkat.

e) Apabila Simple Network Management Protocol (SNMP) digunakan, senar

masyarakat harus didefinisikan sebagai sesuatu selain default standar publik,

swasta, dansistem dan harus berbeda dari password yang digunakan untuk

login secara interaktif. SNMP string masyarakat harus memenuhi pedoman

konstruksi sandi.

CONTOH KEBIJAKAN PASSWORD

2.KEBIJAKAN PERUBAHAN PASSWORD

a) Semua password sistem-tingkat (misalnya, akar, aktifkan, NT admin, aplikasi

account administrasi, dan sebagainya) harus diubah setidaknya setiap tiga bulan.

b) Semua password user-level (misalnya, email, web, desktop komputer, dan

sebagainya) harus berubah setidaknya setiap enam bulan. Interval penggantian

yang disarankan adalah setiap empat bulan.

c) Password cracking dapat dilakukan secara periodik atau acak oleh Infosec Team

atau delegasi nya. Jika password diduga atau retak selama salah satu dari ini scan,

pengguna akan diminta untuk mengubahnya menjadi sesuai dengan Password

Pedoman konstruksi.

CONTOH KEBIJAKAN PASSWORD

3.KEBIJAKAN PERLINDUNGAN PASSWORD

a) Password tidak boleh berbagi dengan siapa pun. Semua password harus

diperlakukan sebagai sensitif,Rahasia <Nama Perusahaan> informasi. Informasi

Perusahaan Keamanan mengakui bahwa aplikasi warisan tidak mendukung sistem

proxy di tempat.

b) Password tidak boleh dimasukkan ke dalam pesan email, kasus Alliance atau bentuk

lain dari komunikasi elektronik.

c) Password tidak boleh diungkapkan melalui telepon kepada siapa pun.

d) Jangan mengungkapkan password pada kuesioner atau suatu bentuk keamanan.

e) Jangan mengisyaratkan format password (misalnya, "nama keluarga saya").

CONTOH KEBIJAKAN PASSWORD

3.KEBIJAKAN PERLINDUNGAN PASSWORD

a) Jangan berbagi password <Nama Perusahaan> dengan siapa pun, termasuk

administrasi asisten, sekretaris, manajer, rekan kerja saat berlibur, dan

anggota keluarga.

b) Jangan menulis password dan menyimpannya di mana saja di kantor Anda.

Jangan simpan password dalam file pada sistem komputer atau perangkat

mobile (ponsel, tablet) tanpa enkripsi.

c) Jangan gunakan fitur aplikasi "Remember Password" (misalnya, web

browser).

d) Setiap pengguna yang mencurigai bahwa password nya mungkin telah

dikompromikan, harus melaporkan kecurigaan ini dan mengubah semua

password.

CONTOH KEBIJAKAN PASSWORD

PENGEMBANGAN APLIKASI

Pengembang aplikasi harus memastikan bahwa program mereka mengandung

keamanan tindakan pencegahan berikut:

a) Aplikasi harus mendukung otentikasi pengguna individu, bukan kelompok.

b) Aplikasi tidak harus menyimpan password dalam bentuk teks atau dalam

bentuk yang mudah reversibel.

c) Aplikasi tidak harus mengirimkan password dalam bentuk teks melalui

jaringan.

d) Aplikasi harus menyediakan semacam manajemen peran, sehingga suatu

pengguna dapat mengambil alih fungsi lain tanpa harus mengetahui password

lain.

CONTOH KEBIJAKAN PASSWORD

PENGGUNAAN SANDI DAN PASS PHRASES

Passphrase biasanya digunakan untuk / otentikasi kunci pribadi publik. Sebuah

masyarakat / sistem kunci privat mendefinisikan hubungan matematis antara

kunci publik yang dikenal oleh semua, dan swasta kunci, yang hanya diketahui

pengguna

Passphrase tidak sama dengan password. Sebuah passphrase adalah versi lama

password yang, lebih aman. Sebuah kata sandi biasanya terdiri dari beberapa

kata. Namun passphrase lebih aman terhadap "serangan kamus."Sebuah

passphrase yang baik relatif panjang dan berisi kombinasi huruf besar dan huruf

kecil dan angka dan tanda baca karakter. Contoh dari passphrase yang baik:

• "The *? #> * @ TrafficOnThe101Was * & #! # ThisMorning“

Semua peraturan di atas yang berlaku untuk password berlaku untuk passphrase.

CONTOH KEBIJAKAN PASSWORD

KEBIJAKAN KEPATUHAN

• Pengukuran Kepatuhan Tim Infosec akan memverifikasi kepatuhan terhadap

kebijakan ini melalui berbagai metode, termasuk namun tidak terbatas, periodik

berjalan-thrus, video monitoring, laporan alat bisnis, internal dan eksternal audit, dan

umpan balik kepada pemilik kebijakan.

PENGECUALIAN

• Setiap pengecualian terhadap kebijakan harus disetujui oleh Tim Infosec terlebih

dahulu.

KETIDAKPATUHAN

• Seorang karyawan yang terbukti melanggar kebijakan ini dapat dikenakan tindakan

disiplin, sampai pemutusan hubungan kerja.

ANALISA

Inti dari keamanan komputer adalah melindungi komputer dan

jaringannya dengan tujuan mengamankan informasi yang berada di

dalamnya. Mencegah terjadinya suatu serangan terhadap sistem. Dengan

demikian kita perlu memperhatikan desain dari sistem, aplikasi yang

dipakai, dan human (admin). Ketiga faktor tersebut merupakan cara yang

baik untuk mencegah terjadinya kebocoran sistem, serangan, dan lain-

lain.Berkacamata dalam kehiduapan sehari hari khususnya dalam

penggunaan password masih banyak diantara kita yang masih sembarang

dalam membuat menggunakan dan menjaga suatau password yang kita

miliki . Begitu banyak teknik dalam mengamankan data dan informasi yang

tersimpan pada sebuah media penyimpanan di komputer,dan contoh

kebijakan tadi patut diterapkan baik untuk diri kita maupun untuk suatu

organisasi atau perusahhaan tertentu.

KESIMPULAN

• Password digunakan untuk memproteksi hal-hal yang sifatnya confidential.

Beberapa orang sudah membuat password dengan menggabungkan beberapa

jenis karakter sehingga sulit untuk ditebak. Ini membuktikan bahwa mereka

tidak ingin informasi yang tersimpan didalamnya di-hack oleh pihak

lain. Password yang mereka punya juga tidak ditulis disembarang tempat

atau diberikan kepada sembarang orang.

• Untuk password policy di perusahaan-perusahaan sangat diperlukan.

Perusahaan mewajibkan para karyawannya untuk menggunakan dan

menjaga password. Hal ini diperlukan untuk mengamankan informasi dan

aset penting dari perusahaan agar tidak mudah di dibobol oleh pihak-pihak

yang tidak bertanggung jawab.