Sebagai pengguna perangkat elektronik seperti handphone, tablet, atau laptop, kita mungkin pernah mengalami kehilangan perangkat elektronik tersebut. Kepanikan atau kecemasan akan semakin terasa jika pada perangkat tersebut memiliki akses ke suatu aplikasi atau situs web yang merupakan privasi pribadi atau terdapat akses data-data penting terkait dengan organisasi atau perusahaan tempat kita bekerja. Dalam kasus lain, mungkin pernah terjadi peretasan pada aplikasi sehingga dapat mengakibatkan kerugian baik berupa keuangan maupun non keuangan seperti terungkapnya data sensitif.
Hal ini kemungkinan terjadi dengan beberapa skenario, di antaranya phising yakni peretas mengirimkan suatu pesan baik berupa email, SMS, pesan melalui aplikasi chat, dan lain-lain yang terlihat seperti berasal dari entitas tepercaya. Apabila diklik oleh pengguna akan diarahkan ke situs web palsu yang akan meminta pengguna untuk memasukkan informasi rahasia mereka seperti username dan password. Meskipun kasus-kasus tersebut berpotensi terjadi kepada setiap pengguna, potensi atas terjadinya risiko tersebut dapat diminimalisir dengan didukung teknologi autentikasi saat ini sehingga data-data pengguna yang tersimpan pada aplikasi atau situs web menjadi lebih terlindungi.
Pada umumnya, proses autentikasi dilakukan ketika pengguna ingin masuk ke dalam situs web atau aplikasi dengan memasukkan username dan password. Selain itu, terkadang ketika pengguna sudah berhasil masuk ke suatu aplikasi atau situs web, aksesnya dibatasi hanya pada halaman tertentu karena diatur berdasarkan status dari pengguna. Inilah alasan lain mengapa autentikasi perlu diterapkan, yakni terkait kewenangan pengguna. Dari contoh-contoh yang disebutkan tadi, autentikasi memiliki peran penting pada situs web maupun aplikasi, khususnya untuk tujuan keamanan data dan melindungi dari akses ilegal.
Adapun pengertian autentikasi adalah proses dalam membuktikan identitas user agar dapat dipastikan user yang masuk benar-benar user yang sah atau terdaftar. Proses autentikasi ini biasanya dapat melibatkan verifikasi kredensial user seperti username dan password, token, atau biometrik. Metode untuk menerapkan autentikasi dalam aplikasi, dapat dilakukan dengan beberapa cara tergantung dengan tingkat kesulitan untuk menerapkan autentikasi dan akan berbanding lurus dengan tingkat keamanan yang diterapkan dalam aplikasi. Demi keamanan yang baik, biasanya digunakan standar industri keamanan siber yang merupakan salah satu cara terbaik untuk meningkatkan keamanan sistem dan data.
Metode autentikasi paling sederhana dan termudah yang mungkin pernah kita temui adalah hanya dengan menggunakan username dan password untuk masuk ke dalam suatu aplikasi tanpa tambahan metode lain. Dengan melihat kondisi maraknya serangan siber, metode sederhana dengan hanya berupa username dan password sebagai plain text yang disimpan di dalam database akan lebih rentan bocor jika database tersebut diretas.
Mungkin pernah kita temui informasi atau berita tentang website diretas sehingga informasi pengguna tersebut bocor yang tentunya merugikan pengguna bahkan pada beberapa kasus terdapat perusahaan yang dikenakan tuntutan hukum karena lemahnya sistem keamanan autentikasi pada aplikasi atau situs web. Selain itu, hal ini juga akan berpotensi memiliki dampak buruk berupa penurunan reputasi dan bahkan keuntungan perusahaan ataupun kepercayaan masyarakat. Oleh karena itu, seiring berkembangnya teknologi dan juga kemampuan dan keterampilan hacker, salah satu cara untuk memperkuat keamanan siber adalah dengan menerapkan sistem autentikasi yang kuat pada aplikasi.
Meskipun pada praktiknya, sebagian besar serangan siber yang terjadi di Indonesia disebabkan oleh kurangnya security awareness atau kesadaran keamanan pada pengguna. Namun, dari sisi teknis seperti sistem autentikasi juga turut menjadi elemen penting dalam menjaga keamanan data, yakni sebagai gerbang pertama yang melindungi data dari akses yang tidak sah. Dari sudut pandang pengguna, proses autentikasi yang memerlukan beberapa langkah untuk verifikasi pengguna mungkin akan dianggap sebagai hal yang merepotkan. Selain itu aturan-aturan lain yang harus dipatuhi di awal untuk masuk ke dalam proses autentikasi itu juga diharuskan untuk membuat password dengan jumlah minimal karakter tertentu dan juga kombinasi antara huruf, angka dan simbol ditambah permintaan untuk mengganti password secara berkala. Bagi pengguna, aturan-aturan ini mungkin akan mengganggu kenyamanan. Padahal dengan cara-cara tersebut dapat membantu secara signifikan untuk meningkatkan keamanan akun dan juga melindungi data dari peretas.
Lalu, bagaimana hacker dapat meretas aplikasi yang memiliki sistem autentikasi yang lemah dengan mudah? Salah satu metode yang dapat dilakukan hacker adalah dengan menggunakan serangan brute force yakni teknik yang bergantung pada kecepatan dan ketelitian komputer untuk melakukan percobaan dan mencoba setiap kombinasi atau kata kunci yang mungkin untuk menemukan yang benar. Di era modern saat ini, di antara praktik standar untuk mengamankan password pengguna dan mencegah serangan brute force adalah dengan penerapan perpaduan hashing dan salting pada sistem autentikasi web aplikasi.
Sederhananya, hashing adalah proses fungsi searah yang menghasilkan sebuah kode dengan panjang sama, meskipun berasal dari nilai masukan yang panjangnya beda. Dengan menerapkan hashing, maka akan mengubah password pengguna menjadi string acak yang disebut dengan hash yang kemudian akan disimpan di dalam database sehingga yang disimpan di dalam database bukanlah password asli yang dibuat oleh pengguna. Sementara, salting berfungsi untuk menambahkan nilai acak ke dalam password sehingga akan memastikan hash unik untuk setiap pengguna meskipun para pengguna tersebut ternyata menggunakan password yang sama.
Meskipun sistem autentikasi telah diperkuat dengan hashing dan salting, tetap dibutuhkan juga peran pengguna untuk membuat password yang panjang dan kompleks sehingga dapat memberikan tingkat keamanan yang optimal karena usaha peretasan yang dilakukan oleh hacker seperti brute force akan menjadi sangat lambat dan mahal secara komputasi. Hacker akan membutuhkan waktu yang sangat lama dan juga sumber daya komputer yang tidak sederhana sehingga serangan brute force menjadi suatu yang tidak praktis untuk diterapkan. Selain itu dengan praktik keamanan tambahan lain seperti multifaktor autentikasi, membatasi banyak percobaan permintaan akses, dan pembatasan waktu kadaluarsa pada cookies dan session merupakan beberapa contoh upaya tambahan yang sangat penting untuk menghindari dari serangan peretas.
Dari berbagai metode untuk tujuan keamanan web aplikasi yang telah disebutkan, mungkin dapat sedikit mengganggu kenyamanan pengguna. Namun, sedikit gangguan kenyamanan bagi pengguna tidak akan seberapa dibandingkan dengan potensi risiko atas keamanan data. Apalagi jika keamanan data tersebut menyangkut organisasi atau perusahaan tempat pengguna bekerja, maka risiko tersebut akan berpotensi berdampak negatif dengan cakupan yang lebih luas. Sehingga, dapat disimpulkan bahwa selain dari teknik atau praktik industri keamanan web, sistem autentikasi yang kuat juga perlu didukung oleh pengguna atau user untuk mencapai tingkat keamanan data yang optimal.
Oleh karena itu, peran pengguna juga signifikan dalam menjaga keamanan data meskipun bagi beberapa kalangan akan menjadi sedikit memberatkan. Selain itu, peran pengguna sebagai pihak yang turut andil dalam menjaga keamanan data juga tidak terbatas di bidang autentikasi, dari domain network security misalnya, pengguna juga harus aware apakah situs-situs web yang diakses merupakan situs yang aman. Hal ini penting mengingat dari masing-masing domain yakni network security, cyber security, dan information security mempunyai jenis ancaman keamanan tersendiri yang terkadang berkaitan satu sama lain.
Sumber: djkn.kemenkeu.go.id