Autentikasi Berbasis Photo dari Handphone

Menggunakan Awase-E

  1

  2

  3 Adang Suhendra , Miftah Andriansyah , Marliza Ganefi 1,2

Jurusan Teknik Informatika, Universitas Gunadarma

Jl. Margonda Raya No. 100, Depok, Jawa Barat

  1

  2 Email: adang@staff.gunadarma.ac.id, didi@staff.gunadarma.ac.id

3 Jurusan Sistem Informasi, Universitas Gunadarma

  

Jl. Margonda Raya No. 100, Depok, Jawa Barat

Email: marliza@staff.gunadarma.ac.id

Abstrak

Sistem keamanan pada saat ini mudah ditembus bahkan dengan metode pelacakan sederhana, misalkan

brute force. Hal tersebut dikarenakan banyak faktor, salah satunya faktor manusia. Dengan menomor

duakan faktor manusia, suatu password dapat mudah diketahui oleh pihak yang tidak mempunyai otorisasi

suatu akun. Ataupun dengan mencoba membuat serumit mungkin password/PIN suatu akun, ke depannya

akan menjadi bumerang bagi sang pemiliki akun tersebut, seperti faktor lupa ataupun kesulitan dalam

mengingatnya kembali. Atau membuat sistem autentikasi seaman dan seketat mungkin, juga berdampak

pada ketidaknyaman penggunaan layanan keamanan. Kedua faktor tersebut sering bertolak belakang pada

sistem yang ada sekarang, yakni keamanan vs kenyamanan. Dalam tulisan ini diperkenalkan metode

autentikasi berbasis photo pribadi/khusus pemilik akun yang diharapkan dapat memberikan keamanan

sekaligus kenyamanan pengguna dalam proses autentikasi suatu sistem. Kata kunci: autentikasi, photo, handphone, awase-e

1. Pendahuluan

  Saat ini telepon genggam (HP, HandPhone) sudah menjadi bagian dari kebutuhan dan gaya hidup masyarakat di dunia, tidak terkecuali di Indonesia. Ditiap sudut kota dengan mudah kita jumpai masyarakat asyik berHP ria menggunakannya untuk berbagai kepentingan, baik bisnis maupun pribadi. Berbagai macam latar belakang, usia, level pendidikan, level kesejahtraan mempunyai HP sebagai salah satu barang yang ‘wajib’ dibawa kemanapun mereka pergi, muali ke kantor, ke sekolah, bahkan ke kamar mandi. Semua orang selalu ingin merasa terhubung dengan orang lain. Dengan semakin terjangkaunya harga HP, sekarang ini hampir seluruh HP memiliki fitur layar warna, fitur kamera, hingga fitur TV dan Internet. Dalam tulisan ini akan kami jelaskan penggunaan photo dari HP berfitur kamera untuk keperluan autentikasi ke dalam system akun masyarakat, bisnis, hiburan, komunikasi, dan lain lain.

  Bicara penggunaan dalam bisnis, seperti mobile banking dan bisnis online, banyak orang yang ragu dalam memanfaatkan teknologi ini untuk mendukung keperluan sehari-hari. Ada dua alasan utama yang mengahalangi atau membuat ragu seseorang dalam menggunakanya yakni masalah keamanan dan masalah kenyamanan penggunaan. Kedua masalah tersebut yang sering dijumpau dan berjalan kearah yang berbeda dalam penggunaan suatu system autentikasi. Jika ingin aman maka kenyamanan dikorbankan dan berlaku sebaliknya. Ambil satu contoh, apabila kita punya akun serta password misalkan ‘andri’ butuh 10 kali menekan tombol pada HP. Bukan suatu hal yang menyenangkan dalam kultur teknologi sekarang ini, yang menuntut kecepatan, kenyaman dalam setiap pemanfaatan aplikasi teknologi. Tulisan ini memaparkan suatu proses autentikasi yang mengedepankan keamanan, kenyamanan manusia dalam menggunakannya.

  2. Autentikasi: Jenis, Kekurangan dan Solusi

  Jenis autentikasi yang digunakan pada saat ini dibagi menjadi tiga area: §

  Autentikasi berbasis token /ABT §

  Autentikasi berbasis biometrik/ABB §

  Autentikasi berbasis pengetahuan/ABP

  Kekurangan Autentikasi berbasis Token (Password/PIN)

  Saat ini kebanyakan autentikasi menggunakan password atau pin sebagai kunci masuk kedalam suatu akun. Sebagai contoh untuk proses masuk keakun pribadi pada saat melakukan transaksi menggunakan ATM, setelah memasukkan token (kartu), password/pin menjadi kunci masuk ke dalam system bank. Ada kemudahan untuk mengingat, namun ada kemudahan pula untuk memecahkan PIN, terutama dengan kecanggihan teknologi yang semakin berkembang, dampak pencurian PIN/password hingga penyalahgunaan akun pribadi menjadi masalah yang sangat serius. Apabila ingin aman akun seseorang, maka semakin rumit password/pin yang dibuat yang ke depannya akan menyulitkan pengguna itu sendiri.Fakta ini lah yang terjadi akibat system autentikasi yang ada sekarang karena mengabaikan faktor manusia itu sendiri.

  Penelitian yang dilakukan oleh Morris dan Thompson dalam keamanan password ditemukan bahwa lebih dari 15% orang memilih password kurang atau sama dengan tiga karakter [11]. Lebih jauh, penelitian tesebut mengatakan 85% dari password tersebut dapat dengan pasti dipecahkan/dibobol menggunakan serangan brute force sederhana.

  Kekurangan Autentikasi berbasis biometrik

  ABB, juga mulai digunakan pada berbagai macam bidang walaupun belum sebanyak ABT, misalkan menggunakan sidik jari (finger print), pindai retina (iris scan), atau pengenalan wajah (face recognition). Alasan utama metode ini belum banyak penggunaanya adalah faktor biaya yang cukup mahal dan system yang lebih komplek dbanding ABT.

  Autentikasi Berbasis Pengetahuan: Pilihan Autentikasi yang Aman dan Nyaman

  Autentikasi berbasis image berawal dari teori akan image yang telah dilihat sebelumnya, suatu keahlian dan kelebihan yang dimiliki manusia yang tidak dimiliki oleh mesin. Atau dapat dikatakan, bahwa lebih mudah mengenali sesuatu dibandingkan harus mengingat kembali informasi yang sama dari ingatan tanpa bantuan [7].

  Percobaan ilmiah kognitif klasik menunjukkan bahwa manusia memiliki daya ingat yang sangat besar bahkan hampir tak terbatas akan suatu gambar khusus (favorite.red) [8,9]. Suatu fakta, bahwa percobaan menunjukkan seseorang dapat mengingat dan merekognisi ratusan hingga ribuan gambar dalam persepsi hitungan detik. Dengan menggantikan password/PIN yang biasanya berupa karakter dengan gambar akan mengurangi muatan kognitif seseorang, yang berdampak pada berkurangnya kesalahan dan akan membuat lebih nyaman.

  Konsep dasar autentikasi berbasis rekognisi dijelaskan oleh Perrig dan Song [10] pada tahun 1999 dan dikembangkan oleh Dhamija dan Perrig [12] pada tahun 2000 dengan proposalnya tentang skema autentikasi grafik berdasarkan pada teknik Hash Visualization

  3. Pembahasan

  Awase-E: Autentikasi Berbasis Image Favorite Pengguna dengan Registrasi Image dan Antarmuka Notifikasi

  Didasarkan pada semakin canggih dan semakin terjangkau harga dan penggunaan HP yang memiliki fitur kamera, dikembangkan suatu metode autentikasi berbasis image khusus pada HP dengan menggunakan gambar favorite yang dimiliki oleh sang pemilik dengan nama Awase-E.

  Awase-E adalah suatu sstem autentikasi menggunakan foto (bukan password) yang mengintegrasikan image dan antar muka notifikasi kedalam kerangka autentikasi yang berlaku (Gambar 1).

  Gambar 1: Transisi antara Sistem Autentikasi yang sudah ada dengan yang baru .

  Antarmuka registrasi image memungkinkan pengguna menambahkan gambar-gambar favoritenya ke dalam system autentikasi yang sudah ada. Yang nantinya, gambar-gambar tersebut sebagai kunci masuk (pass-image) ke dalam system. Sekarang ini jutaan HP berkamera dimiliki pengguna di Indonesia. Hal tersebut menjadi faktor transisi perubahan penggunaan password dengan gambar. Dalam Awase-E, gambar-gambar yang telah diregistrasi ke dalam system tidak semuanya berlaku sebagai kunci masuk hanya sebagian yang berfungsi sebagai pass-image (minimal satu gambar). Hal itu dimaksudkan sebagai salah satu cara untuk meningkatkan keamanan system.

  Antarmuka notifikasi dimaksudkan agar pengguna dapat mengatasi gangguan lebih mudah. Antarmuka tersebut menginformasikan pengguna atas segala kejadian peristiwa yang terkait autentikasi. Sebagai contoh, Awase-E akan mengirimkan e-mail ke pengguna yang telah mendaftarkan gambar/photonya, dimana e-mail tersebut lengkap dengan link atau URL nya. Halaman website yang terhubung dengan URL tersebut memuat gambar/photo yang telah didaftarkan pengguna untuk kemudian dikonfirmasi legitimasinya. Apabila ada gambar/photo yang dikirim ke email pengguna, namun orang tersebut tidak pernah mengirimkannya hal tersebut berarti ada pihak tertentu yang mendaftarkannya secara ilegal (tanpa persetujuan pengguna). Oleh sebab itu, pengguna yang sah dapat mengetahui apakah gambar/photo yang dikirim sudah sesuai atau tidak, atau ada yang mencoba menggunakan gambar atau kameranya secara tidak sah. Hal inilah yang membuat system Awase-E menjadi lebih aman karena ada konfirmasi dari kedua pihak, Sistem (Awase-E) dan Pengguna (yang sah).

  Dalam hal keamanan, Awase-E menyimpan segala catatan penggunaan oleh pengguna untuk proses pengecekan ulang autentikasi oleh pengguna. Sebagai kemudahan, pengguna dapat mengecek seluruh catatan penggunaan melalui website. Hal ini agar pengguna dapat memeriksa semua penggunaan walaupun HP yang digunakan telah hilang.

  Sistem Awase-E menggunakan e-mail dan website sebagai antar muka untuk konfirmasi proses autentikasi. Hal ini berarti Awase-E digunakan dari komputer. Berikut ini adalah rincian proses autentikasi pada Awase-E, ditunjukkan pada Gambar 2.

  Level verifikasi Level 1 Level 2 Level 3 Level 4 Contoh ini, autentikasi terdiri dari 4 level verifikasi, namun hanya ada dua level pemilihan

  

Gambar 2. Rincian Proses Autentikasi dalam Awase-E (N=4, P=9)

gambar yang benar (yang telah dipilih sebagai pass-image)

  Satu proses autentikasi dalam Awase-E terdiri atas N level verifikasi dan P gambar yang ditampilkan pada layar, dan pengguna harus memilih satu pass-image dengan benar. Hanya satu pass-image dalam gambar yang ada dalam tiap level. Hal ini dilakukan untuk mengalihkan pemilihan gambar yang benar dari suatu serangan/pembobolan pass-image. Penempatan gambar pada layar ditentukan secara acak dengan maksud agar lokasi pass-image dan gambar pengalihan (decoy image) berubah tiap waktu. Penepatan tersebut memungkinkan tidak adanya pass-image dalam suatu level dan pengguna yang benar harus memilih ‘no pass-image’.

  Oleh karena itu, Awase-E merupakan metode yang lebih memudahkan pengguna untuk menyelesaikan proses autentitakasi dibandingkan metode lainnya, walaupun pada penggunaan di HP. Tombol nomor pada keypad HP adalah unik terhadap setiap image yang terdapat dilayar HP pada tiap level yang diberikan.Hal itu memungkinkan pengguna untuk memilih sebarang gambar di layar dengan satu kali pencetan. Awase-E tidak memerlukan pengetikan teks dalam proses autentikasi, karena menggunakan alamat e-mail sebagai user ID pengguna.

4. Kesimpulan

  Beberapa riset yang telah dilakukan memiliki tujuan sama, yakni mengatasi kelemahan dari autentikasi berbasis password dan berbasis PIN yang semuanya menghasilkan kesimpulan bahwa ABI memiliki keuntungan dibandingkan yang berbasis password/PIN, terutama yang menyangkut aspek manusiawi. Orang lebih mudah mengingat gambar dibandingkan text atau bahkan karakter.

  Riset tersebut pada penerapannya hanya menggunakan image yang disediakan oleh system bukan berdasarkan apa yang dimiliki oleh pengguna. Awase-E dibangun dengan lebih mengedepankan faktor ‘selera’ yang cenderung besar untuk tetap berada dalam ingatan seseorang dibandingkan gambar (yang disediakan dan dibuat) oleh orang lain karena menggunakan gambar atau photo hasil bidikan atau milik pribadi pengguna yang cenderung lebih unik dibandingkan yang disediakan sistem Disisi yang lain, yakni faktor keamanan, Awase-E menyediakan level-level pengalihan yang meminimalisir penerobosan atau serangan dari pihak luar yang tidak sah serta secara personal pengguna akan lebih sering memperbaharui image secara berkala tanpa harus diingatkan oleh penyedia jasa.

  Dalam ABI, serangan yang biasanya terjadi yaitu ‘Serangan Interseksi’ (intersection attact) [12], terjadi pada saat semua pass-image berada dalam setiap level verifikasi. Namun dalam Awase-E , serangan tersebut diminimalisir dengan adanya level ‘no pass-image’ pada beberapa level verifikasi (bukan setiap level).

  Secara umum, Awase-E dirancang untuk memberikan kemudahan (kenyamanan) sekaligus meningkatkan keamanan dalam proses autentikasi, yang meminimalisir trade-off yang biasanya terjadi pada autentikasi berbasis token /password. Awase-E lebih murah dalam pengembangan dan penggunaan dibandingkan autentikasi berbasis biometric.

  Awase-E mudah dalam pengoperasiannya, cocok untuk berbagai tingkat level masyarakat yang biasa menggunakan HP berkamera. Dengan menggunakan image favorite pengguna sebagai pass-image akan mengurangi beban daya ingat pengguna mengingat password namun akan lebih ‘senang’ menggunakan image milik sendiri dibandingkan gambar yang disediakan sistem. Awase-E, mempunyai prospek yang cerah dalam penerapannya di Indonesia, dilihat dari jumalh HP berkamera yang lebih dari 50 juta, dibandingkan tempat Awase-E pertamakali di Jepang yang hanya berkisar 20 juta

  Daftar Pustaka

  [1] Tetsuji Takada, Hideki Koike. Awase-E: Image-based Authentication for Mobile Phones using User’s Favorite Images . [2] Srinath Akula, Veerabhadram Devisetty. Image Based Registration and Authentication System [3] Hideki Koike, Tetsuji Takada, Takehito Onuki. Awase-E: Photo-based User Authentication System [4] Rachma Dhamija, Adrian Perrig. De-Ja-Vu: A User Study Using Images for Authentication. [5] Xiaoyuan Soo, Ying Zhu, G.Scott.Owen. Graphical Password: A Survey [6] Richard E. Newman, Piyush Harsh, Prashant Jayaraman. Security Analysis and Proposal for Image- Based Authentication. [7] Jakob Nielsen. Usability Engineering. Academic Press, 1993. [8] Ralph Norman Haber. How We Remember What We See. Scientific American, 222(5):104-112, May 1970. [9] L. Standing, J.Conezio, dan R.N. Haber. Perseption and memory for pictures:Single-trial learning of 2500 visual stimuli , Psychonomic Science, 19(2):73-74, 1970. [10] Adrian Perrig and Dawn Song. Hash Visualization: A new technique to improve real-world security. Proceeding of 1999 International Workshop on Cryptographic Techniques and E-commerce (CryTEC’99), 1999. [11] R. Morris and K. Thompson. Password security: A case history. Communications of The ACM, 22(11), Nov 1979. [12] R. Dhamija and A. Perrig. Déjà Vu: A User Study Using Images for Authentication. In Proceeding of

  th 9 USENIX Security Symposium, 2000.