Kombinasi Timestamp Nonce dan Nilai Salt pada Autentikasi Single Sign-On
DOI:
https://doi.org/10.28926/briliant.v8i4.1389Keywords:
Single Sign-On, Timestamp Nonce, salt, autentikasi, Man In The MiddleAbstract
Single Sign-On atau SSO merupakan metode autentikasi tunggal dimana pengguna cukup melakukan autentikasi sekali untuk mengakses beberapa sistem atau aplikasi yang terdaftar. Proses autentikasi yang digunakan pada SSO menggunakan metode autentikasi klasik. Penyerang dapat mencuri data pengguna pada proses komunikasi autentikasi antara pengguna dan server, serangan ini disebut dengan Man In The Middle Attack (MITM). Nonce adalah tindakan untuk melindungi informasi pribadi dan rahasia serta nilai unik yang tidak akan diulang. Pada makalah ini mengusulkan metode autentikasi pada SSO dengan kombinasi algoritma timestamp nonce dan nilai salt. Kombinasi dari kedua algoritma tersebut akan menghasilkan sebuah nilai acak yang bersifat unik. Nilai unik yang dihasilkan tersebut akan digunakan untuk mengenkripsi nama pengguna dan kata sandi pada tahap autentikasi. Sehingga diharapkan dengan metode tersebut dapat mengamankan data pengguna dari pencurian data dan serangan MITM. Penerapan kombinasi algoritma Timestamp Nonce dan nilai salt dapat dijadikan salah satu alternatif pengamanan autentikasi pada sistem SSO. Selain itu, peneliti juga melakukan uji coba serangan MITM dengan melakukan pembacaan setiap paket data yang bertujuan mendapatkan nama pengguna dan kata sandi. Hasilnya adalah variabel nama pengguna dan kata sandi bersifat unik dan tidak bisa di dekripsi.References
Wahyudiyono. (2016). Penggunaan Teknologi Informasi Dan Komunikasi Di Nusa Tenggara Barat. Jurnal Komunika : Jurnal Komunikasi, Media Dan Informatika, 5(1), 29. https://doi.org/10.31504/komunika.v5i1.636.
Anani, W., & Ouda, A. (2017). The importance of human dynamics in the future user authentication. 2017 IEEE 30th Canadian Conference on Electrical and Computer Engineering (CCECE), 1–5. https://doi.org/10.1109/CCECE.2017.7946790.
Aminudin, A. (2014). Implementasi Single Sign On (SSO) Untuk Mendukung Interaktivitas Aplikasi E-Commerce Menggunakan Protocol Oauth. Jurnal Gamma, 10(1), 109–115.
Bajdor, P. (2015). The Use of Information and Communication Technologies in Polish Companies in Comparison to Companies from European Union. Procedia Economics and Finance, 27(15), 702–712. https://doi.org/10.1016/s2212-5671(15)01051-5.
Beltran,V. (2016). Characterization of web single sign-on protocols. IEEE Communications Magazine (2016) 54(7) 24-30.
Jia, L. (2020). Research on Information Security of Large Enterprises. 2020 IEEE 8th International Conference on Information, Communication and Networks, ICICN 2020, 219–223. https://doi.org/10.1109/ICICN51133.2020.9205077.
Karie, N. M., Kebande, V. R., Ikuesan, R. A., Sookhak, M., & Venter, H. S. (2020, March 31). Hardening SAML by Integrating SSO and Multi-Factor Authentication (MFA) in the Cloud. ACM International Conference Proceeding Series. https://doi.org/10.1145/3386723.3387875.
Yang, T. J., & Yang, X. J. (2014). Method of single sign-on for independent web systems based on AJAX. Proceedings of 2013 3rd International Conference on Computer Science and Network Technology, ICCSNT 2013, 310–314. https://doi.org/10.1109/ICCSNT.2013.6967119.
“OAuth 2.0.†Accessed: Jun. 21, 2021. [Online]. Available: https://oauth.net/.
Febrian, T. (2017). Memahami OAuth 2.0 (API Security). https://medium.com/codelabs-unikom/memahami-oauth-2-0-api-security-9376bc3a307b.
Z. Triartono, R. M. Negara, and Sussi, “Implementation of Role-Based Access Control on OAuth 2.0 as Authentication and Authorization System,†in 2019 6th International Conference on Electrical Engineering, Computer Science and Informatics (EECSI), 2019, pp. 259–263. doi: 10.23919/EECSI48112.2019.8977061.
M. Kihara and S. Iriyama, “Security and performance of single sign-on based on one-time pad algorithm,†Cryptography, vol. 4, no. 2, pp. 1–29, 2020, doi: 10.3390/cryptography4020016.
Ramamoorthi, L. S., & Sarkar, D. (2020). Single sign-on: A solution approach to address inefficiencies during sign-out process. IEEE Access, 8, 195675–195691. https://doi.org/10.1109/ACCESS.2020.3033570.
Radha, V., & Reddy, D. H. (2018). A Survey on Single Sign-On Techniques. Procedia Technology, 4(2), 134–139. https://doi.org/10.1016/j.protcy.2012.05.019.
G. M. Køien, “A Brief Survey of Nonces and Nonce Usage,†SECURWARE 2015: The Ninth International Conference on Emerging Security Information, Systems and Technologies, no. c, pp. 85–91, 2015.
CheatSheets Series Team, “OWASP Cheat Sheet Series,†2021. https://cheatsheetseries.owasp.org (accessed Jul. 12, 2021).
Naiakshina, A., Danilova, A., Tiefenau, C., Herzog, M., Dechand, S., & Smith, M. (2017). Why Do Developers get password storage wrong? a qualitative usability study. Proceedings of the ACM Conference on Computer and Communications Security, 311–328. https://doi.org/10.1145/3133956.3134082.
A. Mohammed Ali and A. Kadhim Farhan, “A novel improvement with an effective expansion to enhance the MD5 hash function for verification of a secure E-Document,†IEEE Access, vol. 8, pp. 80290–80304, 2020, doi: 10.1109/ACCESS.2020.2989050.
F. A. Alselami, “Blockchain and Bigdata to Secure Data Using Hash and Salt Techniques,†Journal of Information Technology Management, vol. 14, no. 2, pp. 15–25, 2022, doi: 10.22059/JITM.2022.86924.
F. Ayankoya and B. Ohwo, “Brute-Force Attack Prevention in Cloud Computing Using One-Time Password and Cryptographic Hash Function,†International Journal of Computer Science and Information Security (IJCSIS), vol. 17, no. 2, pp. 7–19, 2019.
