Autentikasi & Otorisasi

Questions and Answers

Dalam konteks keamanan sistem informasi, manakah pernyataan yang paling tepat membedakan antara autentikasi dan otorisasi?

• Autentikasi memverifikasi identitas pengguna, sedangkan otorisasi menentukan sumber daya yang dapat diakses pengguna tersebut. (correct)
• Autentikasi berkaitan dengan enkripsi data, sedangkan otorisasi berkaitan dengan dekripsi data.
• Autentikasi memberikan izin akses ke sistem, sedangkan otorisasi memverifikasi bahwa pengguna adalah manusia, bukan bot.
• Autentikasi digunakan untuk melindungi server dari serangan DDoS, sedangkan otorisasi digunakan untuk mencegah injeksi SQL.

Seorang administrator sistem ingin menerapkan metode autentikasi yang paling aman untuk aplikasi web perusahaan. Metode manakah yang paling disarankan di antara pilihan berikut?

• Mengandalkan cookies browser untuk menjaga sesi pengguna tetap aktif.
• Menggunakan alamat MAC perangkat pengguna sebagai faktor autentikasi.
• Mengimplementasikan autentikasi berbasis token JWT dan Multi-Factor Authentication (MFA). (correct)
• Menggunakan username dan password dengan panjang minimal 6 karakter.

Sebuah perusahaan ingin menerapkan Single Sign-On (SSO) untuk semua aplikasi internal mereka. Komponen kunci apa yang diperlukan agar SSO dapat berfungsi dengan baik?

• Sistem deteksi intrusi (IDS) untuk memantau aktivitas mencurigakan.
• Firewall yang kuat untuk melindungi jaringan internal.
• Database terenkripsi untuk menyimpan semua password pengguna.
• Identity Provider (IdP) yang terpercaya untuk mengelola identitas pengguna. (correct)

Dalam konteks model kontrol akses, kapan Attribute-Based Access Control (ABAC) menjadi pilihan yang paling tepat?

Ketika akses perlu dikontrol berdasarkan kombinasi atribut pengguna, resource, dan lingkungan. (A)

Mengapa audit trail dan logging sangat penting dalam sistem keamanan informasi?

Untuk menyediakan data historis yang dapat digunakan dalam investigasi insiden keamanan dan memenuhi kepatuhan regulasi. (A)

Setelah seorang pengguna berhasil login ke sistem, token apa yang umumnya digunakan untuk otorisasi dan informasi apa yang biasanya disimpan di dalam token tersebut?

JWT (JSON Web Token); menyimpan User ID, scope (hak akses), dan waktu kedaluwarsa. (B)

Dalam model keamanan Bell-LaPadula, aturan "No Read Up" dan "No Write Down" diterapkan untuk memastikan apa?

Kerahasiaan data tetap terjaga dengan mencegah informasi rahasia bocor ke tingkat yang lebih rendah. (A)

OAuth 2.0 digunakan untuk apa, dan apa perbedaan utamanya dengan OIDC (OpenID Connect)?

OAuth 2.0 untuk otorisasi (delegasi akses), OIDC menambahkan layer identitas di atas OAuth untuk autentikasi dan profil pengguna. (B)

Manakah dari alur (flow) OAuth 2.0 berikut yang paling aman untuk aplikasi berbasis server?

Authorization Code Flow (A)

Mengapa penting untuk memahami perbedaan antara autentikasi dan otorisasi dalam pengembangan aplikasi web?

Karena autentikasi dan otorisasi adalah dua lapisan keamanan yang berbeda yang harus diterapkan untuk melindungi aplikasi dan data pengguna. (B)

Dalam model kontrol akses RBAC, bagaimana izin akses ditetapkan kepada pengguna?

Izin diberikan berdasarkan peran yang ditetapkan kepada pengguna. (B)

Apa tujuan utama dari protokol Kerberos dalam konteks autentikasi?

Untuk menyediakan sistem autentikasi berbasis tiket yang aman. (C)

Kapan penggunaan Multi-Factor Authentication (MFA) sangat disarankan?

Ketika terjadi pelanggaran keamanan atau ketika melindungi akun dengan akses ke informasi sensitif. (D)

Dalam konteks keamanan, apa yang dimaksud dengan TCB (Trusted Computing Base)?

Sekumpulan hardware dan software yang harus dilindungi untuk menjaga keamanan sistem. (A)

Bagaimana cara kerja Time-based One-Time Password (TOTP) dalam autentikasi?

TOTP menghasilkan password yang berubah setiap jangka waktu tertentu (misalnya, 30 detik) dan disinkronkan antara server dan aplikasi autentikasi. (C)

Apa perbedaan utama antara model keamanan Biba dan Bell-LaPadula?

Biba berfokus pada integritas, sementara Bell-LaPadula berfokus pada kerahasiaan. (D)

Mengapa penting untuk membatasi masa berlaku (expiry time) token dalam sistem otorisasi berbasis token?

Untuk mengurangi risiko jika token dicuri atau disusupi, membatasi jendela waktu penyalahgunaan. (D)

Bagaimana model keamanan Clark-Wilson meningkatkan integritas data?

Dengan mewajibkan validasi transaksi dan pemisahan tugas untuk mencegah manipulasi data yang tidak sah. (B)

Kapan model keamanan Brewer-Nash (Cinderella) paling tepat digunakan?

Ketika konflik kepentingan harus dicegah berdasarkan akses sebelumnya. (A)

Manakah dari metode autentikasi berikut yang memanfaatkan sesuatu yang unik tentang diri Anda untuk verifikasi identitas?

Biometrik (C)

Flashcards

Apa itu Autentikasi?

Proses memverifikasi identitas pengguna. Menjawab pertanyaan: 'Apakah kamu benar-benar siapa yang kamu klaim?'

Autentikasi: Sesuatu yang Anda tahu

Kata sandi, PIN, atau pola yang hanya diketahui oleh pengguna.

Autentikasi: Sesuatu yang Anda punya

Token, kartu fisik, OTP, atau smartphone yang dimiliki pengguna.

Autentikasi: Sesuatu tentang diri Anda

Sidik jari, pengenalan wajah, atau pemindaian retina.

Autentikasi: Tempat kamu berada

Geo-location atau IP whitelist.

Otorisasi berbasis Token

Sistem mengeluarkan token setelah login, yang berisi ID pengguna, hak akses, dan waktu kedaluwarsa.

Apa itu Audit Trail?

Log semua aktivitas penting untuk keperluan keamanan dan forensik.

RBAC (Role-Based Access Control)

Akses dikontrol berdasarkan peran pengguna (misalnya, admin, customer, guest).

ABAC (Attribute-Based Access Control)

Akses dikontrol berdasarkan atribut pengguna, sumber daya, dan lingkungan.

SSO (Single Sign-On)

Login sekali untuk akses ke banyak aplikasi, memerlukan Identity Provider (IdP).

OAuth 2.0

Memberikan izin akses ke aplikasi lain tanpa memberikan kata sandi Anda.

OIDC (OpenID Connect)

Lapisan identitas di atas OAuth 2.0 untuk login pengguna (autentikasi + profil).

MFA

Menggunakan kombinasi dua atau lebih faktor autentikasi untuk meningkatkan keamanan.

Kerberos

Protokol autentikasi berbasis tiket (ticket-granting system).

Token JWT

Setelah login, sistem mengeluarkan token yang dikirim bersama setiap request selanjutnya untuk verifikasi.

DAC (Discretionary Access Control)

Akses ke data ditentukan oleh pemilik data.

MAC (Mandatory Access Control)

Akses secara ketat ditentukan oleh administrator sistem.

Otorisasi

Menjawab pertanyaan: 'Apa saja yang kamu boleh akses?'

Certificate-based Auth

Digital certificate dan public key digunakan untuk verifikasi identitas.

TOTP

Kata sandi sekali pakai yang berubah setiap beberapa detik.

Study Notes

Authentication & Authorization

• Modul ini membahas proses autentikasi (verifikasi identitas) dan otorisasi (kontrol akses).
• Tujuan pembelajaran meliputi pemahaman autentikasi dan otorisasi, metode dan protokol autentikasi modern, model akses, sistem keamanan berbasis peran & atribut, serta pentingnya keamanan sesi dan audit trail.

Authentication (Verifikasi Identitas)

• Authentication menjawab pertanyaan: “Apakah kamu benar-benar siapa yang kamu klaim?”.
• Jenis autentikasi meliputi:
  • Sesuatu yang kamu tahu (password, PIN)
  • Sesuatu yang kamu punya (token, kartu, OTP, smartphone)
  • Sesuatu tentang dirimu (biometrik: sidik jari, wajah, retina)
  • Tempat kamu berada (geo-location, IP whitelist)
• Teknik autentikasi modern termasuk username & password, autentikasi biometrik, token-based auth (JWT), MFA (Multi-Factor Authentication), TOTP (Time-based One Time Password), smart card authentication, dan device authentication (IMEI, MAC Address).

Advanced Authentication

• SSO (Single Sign-On) memungkinkan login sekali untuk akses ke banyak aplikasi, membutuhkan Identity Provider (IdP).
• Certificate-based Auth menggunakan digital certificate dan public key untuk verifikasi identitas.
• Kerberos adalah protokol autentikasi berbasis tiket (ticket-granting system).
• SAML/OIDC digunakan dalam federated identity management (antar sistem berbeda).

Authorization (Kontrol Akses)

• Authorization menjawab pertanyaan: “Apa saja yang kamu boleh akses?”.
• Model kontrol akses meliputi:
  • RBAC (Role-Based Access Control): akses berdasarkan peran pengguna
  • MAC (Mandatory Access Control): aturan ditentukan admin sistem (rigid)
  • DAC (Discretionary Access Control): pemilik data menentukan akses
  • ABAC (Attribute-Based Access Control): akses berdasarkan atribut user, resource, environment
• Komponen utama dalam otorisasi meliputi roles (Admin, Customer, Guest), permissions (CRUD, akses resource), dan authorization policies (berbasis role, waktu, lokasi, atau kombinasi atribut).

Audit Trail & Logging

• Audit trail adalah log semua aktivitas penting untuk keperluan keamanan & forensik.
• Digunakan untuk deteksi penyalahgunaan, kepatuhan regulasi (GDPR, HIPAA), dan investigasi insiden.

Token-based Authorization

• Setelah login, sistem mengeluarkan token (JWT, OAuth Token).
• Token dikirim bersama setiap request, lalu sistem memverifikasi isi token.
• Token menyimpan user ID, scope (hak akses), dan expiry time.

Security Models

• Bell-LaPadula: Fokus pada confidentiality — No Read Up, No Write Down (rahasia tidak bocor ke bawah).
• Biba: Fokus pada integrity — No Write Up, No Read Down (data tidak bisa dikacaukan).
• Clark-Wilson: Validasi transaksi, enforces integrity rules dengan pemisahan tugas.
• Brewer-Nash (Cinderella): Mencegah konflik kepentingan berdasarkan akses sebelumnya.
• TCB (Trusted Computing Base): Komponen sistem yang harus 100% dipercaya agar sistem aman.

SSO dan OAuth (Open Authorization)

• SSO: Login sekali untuk akses banyak aplikasi melalui IdP.
• OAuth 2.0: Izin akses tanpa memberikan password (delegasi), cocok untuk integrasi aplikasi lain.
• OIDC: Layer identitas di atas OAuth, digunakan untuk login user (autentikasi + profil).

Flow OAuth

• Authorization Code Flow: Paling aman, server-side.
• Implicit Flow: Frontend-based, tidak direkomendasikan.
• Client Credential Flow: Server-to-server, tidak melibatkan user.
• ROPC (Resource Owner Password Credentials Flow): Kurang aman.

Kesimpulan Modul

• Authentication ≠ Authorization: Keduanya harus diterapkan.
• Gunakan kombinasi teknik modern: MFA, SSO, OAuth, OIDC.
• Pilih model akses sesuai kebutuhan: RBAC, ABAC, MAC, DAC.
• Selalu audit dan log semua aktivitas yang sensitif.