Categories
Teknologi

Konfigurasi Website Dengan HTTPS Menggunakan Sertifikat SSL Gratis

Saya baru saja mengaktifkan HTTPS di beberapa website yang saya kelola, kemudian sesuai dengan judul artikel ini, semuanya saya dapatkan secara gratis dengan sedikit konfigurasi di nginx yang berjalan pada mesin Ubuntu 16.04. Kok baru sekarang? Iya, selain karena prokrastinasi juga karena ingin mengimplementasikan HTTP/2, dimana syarat menggunakan HTTP/2 adalah HTTPS.

Dulu, website yang menggunakan protokol HTTPS  masih terbatas pada website yang menangani transaksi sensitif, misalnya seperti Internet Banking atau E-Commerce. Hal ini wajar, karena pengguna (user) dari kedua website itu akan mengirimkan informasi sensitif yang berhubungan dengan keuangan, jadi perlu sesuatu yang akan mengamankan informasi di antara keduanya.

Tapi sebelumnya, saya mau coba untuk meluruskan sedikit salah kaprah mengenai protokol HTTPS. Saya sering mendapatkan pertanyaan mengenai kegunaan HTTPS yang dianggap akan mengamankan website dari serangan hacker, sehingga jika websitenya menggunakan HTTPS dijamin aman dari hacking. Jawaban saya: Benar, tapi kurang tepat.

Pertama, HTTPS pada website dapat aktif jika memiliki sertifikat SSL. Sertifikat ini akan menjamin bahwa semua transaksi dari pengguna menuju ke server dan sebaliknya akan aman dari penyadapan. SSL akan melakukan enkripsi data yang melewati jalur HTTPS dengan tingkatan tertentu, kemudian akan memberikan jaminan apabila datanya berhasil diintip oleh hacker, maka si pemilik website akan mendapatkan kompensasi yang nilainya cukup besar dari penjual SSL.

Kedua, HTTPS itu justru lebih mengamankan pengguna websitenya supaya merasa aman dan terlindungi ketika bertransaksi di website. Bagaimanapun juga website itu hanyalah sebuah program yang dibuat dengan bahasa pemrograman dan dijalankan pada mesin yang tersambung ke Internet. Semuanya dilakukan oleh mesin secara otomatis dan dibuat secanggih mungkin supaya dapat melayani manusia. Maka, perlu ditambahkan semacam penjamin bahwa siapapun yang bertransaksi dengan website itu, dijamin aman dan bisa dipercaya.

Jadi kesimpulannya, benar bahwa HTTPS merupakan salah satu metode untuk menghalau hacker, namun kurang tepat jika HTTPS akan menjamin websitenya tidak terkena serangan hacking, karena HTTPS dibuat bukan untuk melindungi website, melainkan untuk melindungi penggunanya.

Oke, bagaimana cara mengaktifkan HTTPS?

Yang jelas harus memiliki sertifikat SSL. Dahulu kala, sertifikat SSL hanya bisa didapatkan dengan cara membeli dan akan diperpanjang setiap tahunnya. Harganya bervariasi, tergantung jenis SSL yang akan dibeli dan tergantung tempat belinya juga. Penyedia sertifikat SSL ini cukup banyak di Internet dan menawarkan berbagai fitur dan harga. Saya pernah membeli Comodo SSL untuk salah satu klien saya, harganya termasuk murah jika dibandingkan dengan merk lainnya.

Selain bisa membeli di masing-masing penyedia sertifikat SSL, saya bisa juga membelinya di perusahaan hosting. Biasanya perusahaan hosting ini telah berafiliasi dengan penjual sertifikat SSL untuk bisa menawarkan ke membernya dengan harga spesial. Keuntungan lainnya, saya tidak perlu memikirkan cara instalasi karena semuanya sudah diurus oleh pihak hosting.

Bagaimana mendapatkan SSL gratis?

Screen Shot 2017 08 11 at 08.19.27

Tersebutlah Let’s Encrypt, sebuah organisasi nirlaba yang didukung oleh Internet Security Research Group (ISRG) untuk menyediakan sertifikat SSL secara gratis bagi orang yang ingin websitenya bisa menggunakan HTTPS. Cukup bermodal domain dan sedikit pengetahuan mengenai Linux saja.

Meskipun demikian hingga tulisan ini dibuat, Let’s Encrypt belum mendukung wildcard domain. Artinya, jika Anda memiliki domain utama dan subdomain, maka Anda harus membuat sertifikat SSL sejumlah domain yang akan diaktifkan.

Misalnya domain yogie.id saya ini punya subdomain lagi, seperti dosen.yogie.id dan engineer.yogie.id. Maka saya harus membuat 3 sertifikat SSL untuk domain utama dan 2 subdomain tadi. Tapi kabarnya, dalam waktu dekat Let’s Encrypt akan meluncurkan fitur wildcard domain, jika ini benar maka nanti saya cukup membuat 1 sertifikat SSL saja.

Bagaimana cara menerbitkan sertifikat SSL dari Let’s Encrypt?

Ini adalah bagian yang menarik, dulu saya pikir untuk mendapatkan sertifkat SSL bakalan ribet, ternyata tidak juga. Namun tutorial ini menyesuaikan dengan environment website saya ya, dimana saya menggunakan layanan cloud dengan sistem operasi Ubuntu 16.04, webserver nginx, dan php-fpm. Untuk Anda yang menggunakan layanan webhosting, saya belum mencobanya, tapi saya yakin banyak sekali tutorialnya di luar sana.

Pertama, pastikan website sudah beroperasional dengan baik di atas mesin Ubuntu 16.04 dan webserver nginx. Kemudian juga memiliki akses ssh yang dapat melakukan perintah “sudo” karena nanti kita akan menginstall beberapa paket di Ubuntu.

Screen Shot 2017 08 11 at 09.06.12

Selanjutnya, saya menginstall layanan Certbot di Ubuntu untuk penerbitan sertifikat SSL dari Let’s Encrypt. Certbot adalah program yang dirancang oleh Electronic Frontier Fondation (EFF) yang mempermudah proses integrasi sertifikat SSL dari Let’s Encrypt di layanan web server.

Setelah terinstall, saya cukup menjalankan Certbot dan mengikuti alur yang sudah tersedia. Oh iya, secara default Certbot akan menggunakan kunci 2048 bit untuk membuat sertifikat SSL. Saya meningkatkan kuncinya menjadi 4096 bit dengan alasan supaya lebih keren saja, tidak ada maksud apa-apa untuk pembuatan itu. Caranya juga mudah, cukup mengetikkan perintah berikut pada saat menjalankan Certbot.

sudo certbot --nginx --rsa-key-size 4096 -d yogie.id

Dalam waktu singkat, website yogie.id telah aktif HTTPS. Prosesnya hanya berlangsung beberapa detik saja dan sudah termasuk dengan redirect port dari 80 (http) ke 443 (https).

Pada artikel berikutnya, saya akan tuliskan bagaimana cara mengoptimasi settingan di atas, misalnya mengatur parameter Diffie-Hellman, auto-renewal pada sertifikat SSL, mengaktifkan HSTS dan HTTP/2.

Categories
Teknologi

Menghindari Kehilangan Data Sejak Dini

Ceritanya akhir Juni 2017 lalu saya sempat kehilangan Macbook Pro di kereta Argo Bromo Anggrek, itu kejadiannya saat perjalanan pulang dari Jakarta ke Semarang. Modus operandinya sebetulnya tidak baru, yaitu menukar laptop dengan buku supaya beban di tas terasa sama, kemudian resleting tas dikasih lem alteco supaya susah dibuka. Mengenai bagaimana cara mereka menukar laptop menjadi tas, kebetulan saya bukan anggota komplotannya jadi belum dikasih tau caranya.

Oh iya, sempat ada kejadian yang bikin kesel, seminggu kemudian saya menemukan Macbook itu dijual di OLX, Bukalapak, dan Tokopedia secara bersamaan. Setelah saya lacak, tokonya ada di Semarang di wilayah Gunung Pati. Sempat ngobrol juga lewat Bukalapak Chat untuk lebih memastikan. Sayangnya ketika mau saya samperin dengan bantuan polisi, Macbook keburu laku hahaha.. Buat yang beli, saya ikut berbahagia kok, itu Macbook-nya sudah saya upgrade ke 16 GB RAM, SSD, dan ganti kabel harddisk yang sering jadi masalah di Macbook Pro unibody.

Oke, biasanya saat seseorang kehilangan perangkat kerja seperti laptop atau smartphone, maka yang akan terasa menyesak adalah kehilangan data. Disinilah peran IT harus dipergunakan secara maksimal, karena teknologi cloud computing sudah dapat digunakan ke end user (pengguna awam) secara mudah dan murah (bahkan gratis).

Kebetulan semua pekerjaan saya sudah tersinkronisasi dengan cloud. Misalnya untuk data di Macbook secara otomatis sudah terhubung dengan iCloud pada folder Documents dan Desktop, sehingga semua data-data baik untuk keperluan mengajar dan publikasi bisa terlindungi. Kemudian tim engineer di GDILab menggunakan teknologi GIT untuk repositori skrip, sehingga saya akan selalu punya update terbaru semua source code. Saya juga tidak pernah download film atau lagu karena telah dilayani oleh Spotify dan LK21, lalu untuk file-file yang berhubungan dengan pekerjaan juga masih tersimpan di Slack dan Trello. Praktis saya tidak memiliki file yang tersimpan di laptop selain yang ada di folder Download.

Alhamdulillah, pada awal Agustus 2017 saya bisa mendapatkan ganti Macbook Pro yang lebih baik daripada sebelumnya, sekarang saya menggunakan seri MF840. Langkah pertama yang saya lakukan pada perangkat tersebut adalah restore data dari setiap akun cloud yang menyimpan data-data saya. Hanya bermodalkan akses Internet yang baik, dalam waktu singkat saya sudah mendapatkan semua data saya kembali. Once you go to Mac, you never go back.

20634940 285922248549961 6038004224606863360 n

Jadi, bagaimana cara menghindari kehilangan data sejak dini? Mungkin bisa meniru cara yang saya gunakan, tetapi apabila Anda memiliki perangkat yang berbeda, mungkin bisa mengikuti panduan berikut:

  • Bila Anda memiliki laptop dengan OS Windows, buatlah akun Microsoft untuk menghubungkan perangkat Anda. Microsoft memiliki layanan OneDrive yang dapat digunakan untuk menyimpan data-data Anda dengan kapasitas tertentu, simpanlah data yang menurut Anda penting dan tidak bisa didapatkan dari tempat lain.
  • Anda tidak perlu download film atau lagu, manfaatkan layanan streaming baik yang berbayar atau gratis. Selain akan menghemat ruang penyimpanan data, juga akan terhindarkan dari perasaan eman-eman kehilangan data. Tarif dan kecepatan akses Internet saat ini sudah mulai masuk akal.
  • Manfaatkan layanan penyimpanan cloud seperti DropBox supaya data/file Anda tersinkronisasi dengan perangkat lain seperti smartphone atau tablet. Cukup install Dropbox pada masing-masing perangkat dengan akun yang sama, maka Anda akan memiliki data tersebut secara tersebar.

Mungkin itu saja tipsnya, tapi yang paling utama adalah meningkatkan kewaspadaan dan selalu menjaga perangkat kerja Anda dengan teliti. Ingatlah, kejahatan bisa terjadi bukan karena niat, namun karena ada kesempatan.

Waspadalah…

Categories
Teknologi

Seberapa Aman Passwordmu?

how-secure-is-my-password

Pencurian password masih menjadi primadona, hal ini tidak terlepas dari makin banyaknya layanan yang tersedia di Internet yang membuat penggunanya semakin malas untuk mengganti password. Padahal, saat ini metode autentikasi yang tersedia masih mengandalkan gabungan username dan password. Bayangkan bila kita terdaftar di 10 layanan web yang berbeda, artinya harus membuat akun di masing-masing layanan tersebut, betapa malasnya apabila harus mengganti password secara rutin. Parahnya lagi, biasanya karena ingin tidak lupa maka semua akun tersebut akan diberi password yang sama. Inilah yang kemudian dimanfaatkan oleh sebagian orang untuk melakukan aktivitasnya.

Pencurian password pada dasarnya memiliki berbagai tahapan dan teknik, tidak ada satu metode yang dianggap paten atau ces-pleng untuk mendapatkan password. Tidak jarang password yang didapatkan masih berbentuk enkripsi sehingga perlu melakukan decrypt supaya bisa membaca password aslinya. Nah, saya menemukan sebuah website untuk mengukur sejauh mana tingkat keamanan password yang kita buat, website tersebut akan memprediksi lama waktu yang dibutuhkan untuk men-decrypt password yang tercuri.

Bagi pemula, biasanya mereka hanya memiliki resource yang terbatas. Katakanlah laptop pribadinya yang diinstall software cracking password dan sudah dilengkapi dengan kamus yang didapatkan dari forum-forum hacker. Secanggih apapun softwarenya, tetap saja proses cracking membutuhkan perangkat hardware untuk melakukan perhitungan. Berikut ini beberapa hasil yang saya dapatkan dari website How Secure is My Password.

Password Tanggal Lahir

Password Tanggal Lahir

Gambar diatas menunjukkan waktu kurang dari satu detik untuk cracking password yang berupa tanggal lahir. Panjangnya 8 karakter dengan password : 17081945. Jadi hindari menggunakan tanggal lahir sebagai password.

Password Generik

Password Generik

Buat yang pernah membaca beberapa tutorial, biasanya penulisnya akan membuatkan password yang mudah diingat tapi sudah cukup kompleks. Misalnya : P@ssw0rd. Namun ternyata password jenis ini juga masih bisa dicrack dalam waktu 3 hari saja. Sudah saatnya untuk ganti password ya.

Solusinya?

Ada beberapa solusi untuk membuat password :

  • Gunakan gabungan password sebelumnya.
  • Gunakan kombinasi karakter
  • Buat minimal 10 karakter

Hasilnya dapat dilihat dari gambar dibawah. Saya menggunakan gabungan password menjadi : P@ssw0rd_17081945.

 

Password Gabungan

Terlihat dengan menggunakan gabungan password, karakter aneh, dan jumlah yang lebih dari 10 karakter sudah dapat mengurangi resiko pembajakan. Cracker membutuhkan waktu yang lama untuk bisa mengetahui apa isi password. Tentunya ini juga semakin susah jika kita rutin mengganti password selama periode tertentu.

Namun demikian, password tetaplah password, dia berfungsi layaknya kunci gembok.

Bijaksanalah dalam menggunakan Internet.

 

Categories
Teknologi

Cloud Storage, Amankah?

144635414

Beberapa minggu terakhir ini, saya dikejutkan oleh berita bahwa iCloud berhasil ditembus oleh hacker yang mengakibatkan beberapa foto telenji milik artis-artis Hollywood tersebar ke Internet (wuhuuu~). Sebagai orang yang mempelajari cloud computing tentunya saya merasa terusik dengan pemberitaan ini, sekaligus bersemangat bahwa teknologi cloud computing ini masih perlu penelitian dan pengembangan lebih lanjut. Pertanyaannya sederhana, apakah menyimpan data di cloud itu aman?

Jika kita mengacu pada pengertian cloud computing yang ditulis oleh Peter M. Mell dan Timothy Grance dari NIST pada tahun 2011 yang menyebutkan bahwa Cloud Computing merupakan pengembangan dari teknologi jaringan komputer yang bertujuan supaya mempermudah dan dinamis dalam pengelolaannya. Ketika menyebut bahwa iCloud jebol kemudian menyebutkan bahwa cloud computing itu tidak aman, saya rasa agak sedikit berlebihan. Memang benar keamanan iCloud sudah tembus dengan bukti beredar foto-foto itu di Internet, saya rasa Anda juga sudah melihatnya khan?

iCloud merupakan contoh produk dari salah satu layanan cloud computing, yaitu layanan Software as a Service (SaaS) dimana kita sebagai pengguna cukup mendaftar kepada penyedia layanan kemudian kita pasrah kepada penyedia itu mengenai segala sesuatunya. Maksudnya, kita hanya dapat mengatur terbatas pada hak akses yang diberikan, yaitu berupa account. Nah, dengan akun ini kita dapat melakukan koneksi dengan perangkat iDevice kemudian upload apapun dari perangkat ke iCloud. Mengenai keamanan? Kita hanya bisa percaya kepada Apple bahwa mereka akan menjaga keamanan datanya.

Jadi intinya, kita hanya mengandalkan modal kepercayaan saja.

Apakah salah? Tentu saja tidak, modal ini juga kita gunakan di berbagai tempat, sebut saja DropBox, Google Drive, dan Microsoft OneDrive. Kita disini hanya berposisi sebagai pengguna yang sudah terlanjur setuju dengan User Agreement. Saran saya, coba baca kembali isi dari user agreement yang telah kita setujui, apakah penyedia layanan itu menjamin keamanan data yang kita simpan. Bandingkan antar penyedia layanan, pilih yang Anda percayai.

Cloud computing merupakan teknologi yang masih muda dibandingkan dengan teknologi yang lain, jadi memang masih perlu banyak pengembangan. Tentunya kita jangan hanya menyerahkan segala sesuatunya kepada penyedia layanan, tapi tingkatkan pengamanan pada diri sendiri seperti memperhatikan masalah kekuatan password. Beredar info bahwa sebetulnya bukan iCloud yang jebol, melainkan akun dari masing-masing artis itu yang berhasil ditembus oleh hacker. Bila itu benar, maka sebetulnya kesalahan tidak hanya di pihak Apple saja, melainkan juga dari si artis itu sendiri.

 

Categories
Teknologi

ProtonMail Layanan Email Anti Sadap

 

ProtonMail

Ceritanya ketika sedang browsing Hacker News, saya melihat ada judul yang menarik, yaitu ada semacam riset bersama antara CERN dan MIT untuk membuat sebuah layanan email yang anti sadap, bahkan oleh NSA sekalipun. Kebetulan saja saat itu sedang ramai membahas mengenai kecurigaan terhadap NSA akan kegiatannya memata-matai seseorang melalui berbagai layanan Internet seperti email dan social media. Pada artikel itu dijelaskan, proyek yang dibuat bernama ProtonMail yang berlokasi di Swiss. Menurut saya ini menarik karena selama ini Swiss dikenal memiliki aturan mengenai perlindungan data yang ampuh, bagaimana jadinya jika ini dikombinasikan dengan layanan email? Tentunya akan meningkatkan keamanan.

Dulu saya pernah menulis artikel mengenai penggunaan enkripsi PGP pada Gmail, hanya saja tool yang harus diinstall sudah tidak dikembangkan lagi oleh developernya, sehingga tidak disarankan jika masih menggunakan acuan dari artikel saya tadi. Padahal, pada artikel itu saya jelaskan mengenai kemudahan menggunakan enkripsi PGP pada email, karena selama ini untuk menggunakan teknik enkripsi itu, bagi orang awam akan mengalami kebingungan. Bagaimana tidak? Kita harus mempunya secret key yang nantinya akan digunakan untuk membuka kunci dan lain sebagainya. Ribet lah pokoknya.. Nah, di artikel itu sebetulnya sangat memudahkan namun sayang, tools sudah discontinued.

ProtonMail

Perlu diketahui bahwa layanan ini masih berada dalam tahap beta, kemudian untuk register akun hanya disediakan berupa invitation dan waiting list, kebetulan saja saya sudah disetujui oleh ProtonMail sebagai pengguna awal dan bisa ngetag nama email yang bagus hahaha.. *pamer. Jadi jika ingin mencoba, sebaiknya segera mendaftar pada form yang disediakan dan tunggu hingga nanti mendapatkan balasan. Sebagai informasi, saya menunggu sekitar 1 bulan untuk mendapatkan akses, semoga Anda bisa mendapatkan lebih cepat dari saya.

Ketika sudah mendapatkan approval, maka nanti Anda akan diminta untuk melakukan konfigurasi pada akun ProtonMail dengan mengeset username, password, dan decrypt password. Ternyata ProtonMail menerapkan pengamanan ganda terhadap inbox. Pengamanan pertama sama seperti layanan email pada umumnya, yaitu hanya memasukkan username dan password. Pengamanan selanjutnya adalah kita nanti akan diminta memasukkan decrypt password untuk membuka inbox. Hal ini dilakukan karena ProtonMail menjamin bahwa mereka tidak dapat mengakses inbox pengguna, selain itu inbox juga dienkrip sehingga diberikan decrypt password untuk mengakses inbox.

Password yang digunakan untuk membuka inbox setelah berhasil login
Password yang digunakan untuk membuka inbox setelah berhasil login

Setelah memasukkan decrypt password maka kita akan dibawa ke dalam inbox. Tampilannya masih sangat sederhana, mengingatkan saya pada inbox Yahoo! Mail pada saat awal-awal kemunculannya dulu, fitur yang tersedia juga standar. Pada bagian kiri bawah nanti akan ada statistik penggunaan, rupanya dalam tahap beta ini semua pengguna diberikan batasan. Mungkin hal ini karena ProtonMail masih dalam tahap Beta.

User masih dibatasi penggunaannya
User masih dibatasi penggunaannya

Mengirim Email Terenkripsi

Pada dasarnya ketika kita mengirim email antar sesama pengguna ProtonMail, maka email kita akan secara otomatis terenkripsi. Namun bagaimana jika berasa dari pengguna selain ProtonMail? Misalnya dari Gmail atau Yahoo?

ProtonMail memiliki kebijakan yakni jika dikirimi email dari pengguna selain ProtonMail, maka email yang masuk secara otomatis statusnya tidak terenkripsi, karena memang mereka mengirimnya tidak pakai enkripsi, nah kemudian jika gantian kita yang akan mengirim maka akan ada dua pilihan. Mau dikirim biasa, atau pakai enkripsi? Jika dikirim biasa (tanpa enkripsi) maka ya akan kirim email biasa seperti pada umumnya. Tapi jika mau kirim email menggunakan fitur enkripsi, ProtonMail menyediakan fitur “Encrypt for Outside Users”. Nantinya kita akan mencetang pilihan ini saat akan mengirim email, kemudian mengeset password, dan sudah! Semudah itu saja dan kita dapat mengirim email terenkripsi.

Fitur untuk mengirimkan email terenkripsi pada akun email selain ProtonMail
Fitur untuk mengirimkan email terenkripsi pada akun email selain ProtonMail

Setelah email berhasil dikirim, maka nanti penerima akan mendapatkan email dari kita yang berisi url yang harus diklik untuk membaca pesan yang kita kirim. Nantinya saat penerima membuka url yang dimaksud, akan diminta memasukkan email dan barulah isi pesan yang dikirimkan dapat dibaca. Pesan terenkripsi ini dapat kita atur expired date-nya sehingga cukup efektif untuk melindungi isi pesan yang kita kirim.

Penerima harus memasukkan password untuk membuka email yang dikirim
Penerima harus memasukkan password untuk membuka email yang dikirim
Tampilan setelah memasukkan decrypt password
Tampilan setelah memasukkan decrypt password

Yak, segitu dulu review dari ProtonMail. Saat ini memang belum saya gunakan sebagai email utama, tapi ini bisa menjadi solusi bagi beberapa dokumen yang harus saya kirimkan secara rahasia. Saya teringat pada sebuah pepatah, yaitu jangan percayakan data kepada perusahaan iklan. Google adalah perusahaan yang bergantung pada iklan.

Categories
Teknologi

Layanan Tanpa Password?

465789863

Sesaat setelah saya selesai menulis postingan mengenai multi-factor authentication, saya terpikir apakah ini merupakan solusi terbaik dalam hal pengamanan akun. Pengamanan yang lebih keren disebut dengan two-step verification ini bermaksud untuk melindungi seseorang ketika dia kehilangan password karena dibajak, sehingga jika pembajak itu berusaha untuk melakukan login menggunakan password curian, maka dia tidak akan berhasil karena dia harus memasukkan kode tambahan yang akan digenerate secara otomatis melalui perangkat pengaman tambahan.

Saya sempat tercenung dengan komentar mas Didut, “Bagaimana jika lupa password?”. Saat itu saya belum terpikir dalam sisi lain, jadi saya menanggapinya dengan biasa saja. Tapi kemudian saya mencoba berpikir dari sisi yang lain lagi, betul juga.. Pengamanan ini berlaku jika si pengguna masih ingat passwordnya.

Selama ini kita selalu meneliti cara untuk mengamankan password. Mulai dengan menggunakan enkripsi dengan berbagai macam metode, hingga yang terbaru adalah ya multi-factor authentication ini. Tapi tetap saja, hal yang dilindungi adalah passwordnya, bukan layanannya. Padahal apa sih password itu? Itu khan hanya semacam sederet karakter yang disimpan ke sistem, kemudian pengguna harus menghapalkan setiap akan menggunakan layanan. Padahal lagi, masalah utama manusia adalah menghapal, sampai-sampai kita harus membuatkan layanan “Lupa Password” untuk membantu saat memang lupa passwordnya. Mengenai two-step verification, saya rasa juga bakalan sama saja, bahkan [cite]http://www.citeworld.com/article/2115319/mobile-byod/two-step-verification-sucks.html[/cite] sempat menulis bahwa two-step verification itu terlalu ribet bagi pengguna kebanyakan.

Trus gimana dong?

Bagaimana jika kita mulai tidak mewajibkan password? Nggak perlulah membuat layanan dengan mewajibkan si user membuat password yang kemudian suatu saat akan dia lupakan sendiri. Ide sederhana ini diimplementasikan oleh [cite]http://blog.shopittome.com/2014/05/29/bye-bye-passwords/[/cite] yang membuat aplikasi iPhone untuk toko onlinenya tanpa menggunakan password.

Cara kerjanya cukup sederhana, pengguna yang akan mendaftar hanya perlu memasukkan nama dan alamat email saja. Selanjutnya bila pengguna akan mengakses layanan, cukup memasukkan email saja dan kemudian mengecek inbox untuk mendapatkan alamat url unik yang digunakan untuk mengakses layanan. Alamat url itu hanya bisa digunakan sekali waktu saja hingga user logout, jadi lebih memanfaatkan fungsi session untuk mengatur waktu akses pengguna.

Tentunya hal ini masih berupa ide awal saja. Tapi menurut saya layak untuk dipertimbangkan supaya nantinya kita akan menemukan solusi terbaik dalam hal pengamanan layanan. Pengguna juga semakin nyaman untuk menggunakan layanan yang kita tawarkan, tanpa harus repot mengingat password untuk mengakses layanan kita.

Gambar diambil dari GettyImages.

Categories
Teknologi

Tingkatkan Keamanan Dengan Multi-Factor Authentication

Judulnya agak serem, membahas mengenai keamanan dengan metode multi-factor authentication. Postingan ini bukan artikel ilmiah, jadi tak coba untuk membahasnya dengan bahasa yang gampang. Jadi begini, sekarang ini sudah banyak layanan yang keren di Internet, fasilitas yang tadinya nggak ada dan tidak terpikirkan di masa lalu, sekarang sudah tersedia dengan biaya terjangkau atau bahkan murah. Siapa sangka kegiatan berkirim pesan, bersosialisasi, bekerja, dan mencari pekerjaan dapat dilakukan dengan mudah melalui Internet? Seakan-akan sekarang dunia maya dan nyata sudah tidak terlihat bedanya lagi.

Tapi di balik segala kemudahan dan kenyaman itu, tentu ada bahaya yang mengancam. Keamanan data yang kita miliki sebaiknya dijadikan sebagai prioritas utama, karena bagaimanapun juga data pribadi harus tetap menjadi pribadi. Masalahnya, apakah ada hal pribadi di Internet? Saya akan menuliskan mengenai hal ini di postingan lain. Masalah lain yang harus kita waspadai adalah hal autentikasi. Selama ini kita mengandalkan username dan password untuk melindungi semua akun Internet yang kita miliki, tapi apakah itu sudah cukup?

Sekarang ini, sudah sangat banyak tools untuk menemukan password. Mulai dari yang berbentuk software semacam brute password pada komputer lokal, sniffer yang dipasang pada jaringan komputer, hingga yang berbentuk hardware seperti keylogger yang dipasang pada port keyboard. Artinya, serumit apapun password yang kita miliki, pada dasarnya hacker akan mudah mendapatkannya. Hanya butuh waktu dan kesabaran untuk melakukannya, dan percayalah.. Hacker adalah orang yang tekun dan sangat sabar. Lalu apa yang bisa kita lakukan untuk meningkatkan keamanan?

Multi-Factor Authentication

Sesuai dengan yang saya dapatkan dari Wikipedia yang mengatakan bahwa Multi-Factor Authentication (atau ada yang menyebutkan sebagai two-step verification) adalah sebuah metode autentikasi yang menggabungkan beberapa faktor. Antara lain :

  • Sesuatu yang hanya user tau (PIN, password, pola)
  • Sesuatu yang hanya user miliki (Kartu ATM, smartphone)
  • Sesuatu yang hanya user itu sendiri (Sidik jari, retina mata)

Nah, apabila Anda telah menggunakan password untuk mengamankan aplikasi, maka Anda baru hanya menggunakan satu faktor autentikasi saja. Alangkah baiknya jika menggabungkan dengan faktor yang lain. Tapi pada dasarnya kita sudah menggunakan model multi-factor authentication lho.

Saya rasa Anda sudah memiliki rekening bank, pihak bank sudah menerapkan pengamanan ini untuk melindungi Anda. Contohnya pada kartu ATM, bank akan memberikan Anda sebuah kartu ATM dan PIN untuk melindunginya. Jadi bila Anda akan mengambil uang, maka Anda harus memiliki keduanya, tidak bisa hanya salah satu saja. Seandainya kartu ATM Anda hilang atau Anda lupa dengan PIN, maka Anda tidak dapat mengambil uang.

Internet Banking juga sudah menerapkan hal yang sama. Anda akan memiliki username dan password untuk dapat mengakses layanan Internet Banking, selain itu Anda juga akan memiliki token yang berfungsi sebagai autentikasi tambahan apabila akan melakukan transaksi keuangan. Jadi semisal akun Internet Banking Anda ditembus orang, maka diharapkan dia tidak bisa melakukan apa-apa selama dia juga tidak memiliki token Internet Banking.

Bagaimana dengan yang lain?

E-mail dan akun social media sekarang ini merupakan penting yang harus dilindungi, maka dari itu sebaiknya kita menambahkan model multi-factor authentication ini pada akun-akun tersebut. Saya sudah menggunakan ini pada akun Google, Microsoft, Facebook, dan Twitter. Secara garis besar metode yang digunakan sama, saya tetap diminta mengisikan username dan password, kemudian apabila saya login menggunakan komputer yang berbeda dengan biasanya, maka saya akan diminta mengisikan kode unik yang dikirimkan oleh server.

Google, Facebook, dan Twitter menggunakan metode yang sama yakni mengirimkan kode tersebut melalui sms, sehingga saya harus melakukan verifikasi nomor hp saya ke server mereka supaya dapat dikirimi kode melalui sms. Yang berbeda hanya Microsoft yang meminta saya untuk menginstall aplikasi 2-step verification pada smartphone yang nantinya akan menggenerate kode unik untuk nantinya dimasukkan ke form login.

Kesimpulannya, untuk saat ini beberapa akun email dan social media yang saya miliki keamanannya sudah setingkat lebih tinggi daripada biasanya. Saya hanya memastikan smartphone siap digunakan untuk menerima kode unik saat saya akan mengakses akun-akun tersebut selain dari laptop yang biasa saya gunakan.

Jika ingin melihat layanan apa saja yang sudah support dengan 2-factor verification, silakan akses websitenya.

Categories
Teknologi

Hati-Hati Dengan E-Bay Negative Feedback Scam

Bagi Anda yang sering bertransaksi di E-Bay pasti sering mendengar istilah Negative Feedback. Itu adalah sebuah parameter yang dimiliki oleh setiap member E-Bay yang menunjukkan kualitas dia di forum jual-beli online terbesar di dunia. Anda akan dicap sebagai pembeli yang baik bila memiliki nilai Positive Feedback lebih banyak dibandingkan Negative Feedback, uniknya poin tersebut tidak diberikan oleh E-Bay, melainkan oleh member lain yang pernah bertransaksi dengan Anda. Canggihnya lagi, nilai Feedback itu juga yang menentukan tingkat kepercayaan seseorang / member lain terhadap Anda.

Sebagai member yang baik, sebaiknya kita jangan sampai mendapatkan nilai Negative Feedback dari siapapun, artinya kita juga harus konsisten dengan tindakan kita di E-Bay. Misalnya dengan mengantarkan barang pesanan bila si pembeli sudah membayar, atau segera membayar bila kita memenangkan bid / lelang yang setiap saat diselenggarakan disana.

Apa itu E-Bay? Sebetulnya E-Bay hanyalah sebuah website yang menyediakan tempat untuk bertransaksi. Jumlah membernya sudah mencapai angka jutaan dari seluruh dunia, artinya Anda bisa bertransaksi dengan mereka semua tergantung dengan apa yang akan Anda tawarkan. E-Bay memiliki banyak aturan, seperi kewajiban menggunakan metode pembayaran melalui Paypal untuk menjamin keamanan dalam bertransaksi.

Jadi ceritanya tu barusan pagi ini aku dapet email dari orang, sebut saja dia bernama LESLIE GAVIN <themeister@live.com>. Tambahkan email tersebut dalam list spammer Anda, dia komplain kenapa kok barang yang dia pesan blom dikirim, trus dia juga bilang kalo udah bayar. Dia tidak menyebutkan nama barang yang dia pesan, hanya sekedar memberikan url yang tertulis menuju ke halaman E-Bay.

Tentu saja aku kaget, ha wong satu-satunya jualanku di E-Bay cuma jasa, bukan njual barang. Pas aku klik linknya dia tidak langsung mengarah ke halaman barang yang dipesan melainkan disuguni form login yang mirip dengan halaman login E-Bay. Padahal sebenernya link tersebut mengarah ke halaman lain, yaitu ke http://oebin.com/v/payd.html. Pas aku cek sepertinya udah ketauan kalo itu web phising.

Nah, seandainya ada orang panik membaca email komplain itu, dan langsung memasukkan username+password di form login jadi-jadian itu, seketika itulah akun E-Bay akan tercuri, atau istilahnya kena hack.

Jadi, misalnya Anda mendapatkan email apapun dari orang, kemudian di isi email tersebut terdapat link menuju ke halaman lain, jangan langsung percaya apalagi trus memasukkan data-data penting disana. Pastikan Anda memastikan bahwa link yang diberikan itu penting, kalo merasa gak penting ya gak usah dibuka. Melindungi diri dari sergapan hacker / cracker itu cukup mudah, yaitu waspada.

Categories
Teknologi

Enkripsi E-mail Di Gmail Menggunakan FireGPG

Update: FireGPG discontinued per tanggal 7 Juni 2010, hal ini sesuai dengan rilis yang ditulis oleh [cite]http://blog.getfiregpg.org/2010/06/07/firegpg-discontinued/[/cite].

Keamanan data di Internet merupakan hal yang wajib diperhatikan oleh siapa saja. Karena data bisa menjadi sangat berharga bila mengandung informasi penting. Apa saja yang kita butuhkan untuk melindungi data? Gampang saja, penggunaan password yang kuat bisa membantu kita untuk mengamankan data. Namun bagaimana dengan e-mail?

Gmail merupakan salah satu penyedia jasa e-mail terbesar di dunia. Selain itu Gmail bisa dengan mudah diakses dari berbagai perangkat. Mulai dari komputer, laptop, Blackberry, hingga ponsel bisa mengakses Gmail dengan mudah asal bisa tersambung ke Internet.

Alangkah baiknya, bila sekarang pengguna Gmail juga memikirkan keamanan datanya. Terutama isi pesan yang dikirimkan melalui Gmail. Karena sangat memungkinkan isi e-mail kita disadap sehingga informasi yang kita kirimkan bisa terbaca oleh orang lain. Kalo hanya orang iseng mungkin efeknya blom terlalu terasa. Bagaimana jika ternyata dibaca oleh penjahat? kompetitor? atau orang lain yang berniat buruk kepada Anda? Bahaya khan?

Untunglah bila Anda sering mengakses Gmail menggunakan laptop atau komputer pribadi, kita bisa melindungi e-mail kita dengan PGP, sebuah teknologi yang berfungsi untuk enkripsi isi e-mail Anda dan hanya bisa dibuka oleh orang yang memiliki kuncinya. Yang perlu Anda butuhkan hanyalah browser Mozilla Firefox dan beberapa software.

Kita bisa menggunakan PGP dengan cara menginstall aplikasi GnuPG. Jangan khawatir, Anda tidak akan mendapatkan tampilan yang mengerikan, hanya tombol next next saja kok. Klik disini untuk menginstal GnuPG di komputer Anda.

Setelah sukses menginstal, sekarang kita instal plugins untuk Firefox yang bernama FireGPG.

Buat Key

Pastikan Anda merestart Firefox setelah menginstall FireGPG. Langkah selanjutnya klik menu Tools –> FireGPG –>Key Manager untuk membuka Key Manager yang berfungsi untuk mengatur semua public key dan private key. Bila Anda kurang paham dengan istilah Private Key atau Public Key, ada baiknya untuk mencarinya di Wikipedia.

tools keymanager

Setelah Key Manager terbuka, klik New Key yang terletak di kiri bawah, ini berfungsi untuk membuat Key untuk e-mail Anda, dan ini juga sebagai identitas digital Anda. Untuk membuatnya sangat mudah, cukup mengisi kolom yang tersedia dan klik Generate Key. Prosesnya mungkin akan cukup lama, jangan khawatir karena itu merupakan bagian dari proses pembuatan key.

addkey keymanager

Bila Key sudah jadi, ekspor key Anda ke server supaya Key bisa dikenali oleh teman Anda. Caranya cukup klik Export to Server, biasanya memakan waktu beberapa menit tergantung koneksi Internet.

Mulai Kirim E-mail

Inilah bagian inti dari postingan ini. Langsung saja klik Compose E-mail untuk membuat e-mail baru. Nanti Anda akan menjumpai menu baru yang bernama FireGPG, dimana nanti ada menu Sign, Encrypt, Inline, dan Attachment.

firegpg

Gunakan tombol itu setelah Anda selesai menulis pesan kepada teman Anda. Untuk detail penggunaannya silakan dicoba-coba sendiri. Yang jelas, pastikan teman Anda juga memiliki PGP supaya bisa membaca isi pesan Anda.

Begitulah sedikit wacana untuk mengamankan isi pesan e-mail Anda, layanan ini masih terbatas untuk pengguna Firefox dan Gmail saja. Bukan tidak mungkin di kemudian hari akan ada pengembangan sehingga bisa digunakan untuk browser lain dan akun e-mail lain.

Related post :