Autentikasi dan Kontrol Akses
Autentikasi memverifikasi siapa suatu pihak, dan kontrol akses memutuskan apa yang boleh dilakukan pihak tersebut; bersama-sama keduanya adalah penjaga gerbang yang menegakkan kebijakan keamanan di setiap sistem multi-pengguna.
Definition
Autentikasi adalah proses membangun kepercayaan pada identitas yang diklaim, sedangkan kontrol akses adalah penegakan aturan yang menentukan subjek terautentikasi mana yang boleh melakukan operasi apa pada sumber daya mana.
Scope
Topik ini mencakup verifikasi identitas (kata sandi, autentikasi multi-faktor, biometrik, kredensial kriptografi, masuk tunggal) serta model dan mekanisme untuk otorisasi (daftar kontrol akses, kapabilitas, kontrol akses berbasis peran dan berbasis atribut, prinsip hak istimewa paling sedikit). Ini membahas identitas terfederasi dan protokol seperti OAuth dan SAML. Ini tidak termasuk primitif kriptografi yang mendasari kredensial dan kontrol lapisan jaringan yang dibahas di bawah keamanan jaringan.
Core questions
- Bagaimana sistem dapat memverifikasi secara andal bahwa suatu pihak adalah seperti yang diklaimnya?
- Apa saja pertimbangan antara faktor autentikasi pengetahuan, kepemilikan, dan inheren?
- Bagaimana model kontrol akses (DAC, MAC, RBAC, ABAC) mengekspresikan dan menegakkan kebijakan?
- Bagaimana prinsip hak istimewa paling sedikit diterapkan dalam praktik?
- Bagaimana identitas difederasi antar organisasi melalui masuk tunggal?
Key concepts
- faktor autentikasi
- autentikasi multi-faktor
- kata sandi dan penyimpanan kredensial
- biometrik
- daftar kontrol akses dan kapabilitas
- kontrol akses berbasis peran (RBAC)
- kontrol akses berbasis atribut (ABAC)
- hak istimewa paling sedikit
- masuk tunggal dan identitas terfederasi
Key theories
- Faktor autentikasi dan autentikasi multi-faktor
- Identitas diverifikasi oleh sesuatu yang Anda ketahui (kata sandi), miliki (token atau telepon), atau adalah (biometrik); menggabungkan faktor-faktor independen sangat meningkatkan penghalang terhadap pencurian kredensial, karena mengkompromikan satu faktor tidak cukup.
- Model kontrol akses dan hak istimewa paling sedikit
- Otorisasi distrukturkan melalui model — kontrol akses diskresioner dan wajib, berbasis peran (RBAC) dan berbasis atribut (ABAC) — yang, dipandu oleh hak istimewa paling sedikit, memberikan setiap subjek hanya hak yang dibutuhkannya, membatasi kerusakan akibat kompromi.
Mechanisms
Mekanisme autentikasi memverifikasi suatu faktor: membandingkan hash kata sandi yang diberi garam (salted password hash), memvalidasi kode satu kali atau tanda tangan token perangkat keras, atau mencocokkan templat biometrik. Autentikasi kriptografi (sertifikat kunci publik, FIDO2/WebAuthn) membuktikan kepemilikan kunci privat tanpa mengirimkan rahasia. Otorisasi kemudian merujuk pada kebijakan: daftar kontrol akses melampirkan izin ke sumber daya, kapabilitas melampirkannya ke subjek, dan RBAC/ABAC menghitung keputusan dari peran atau atribut. Protokol identitas terfederasi (OAuth, OIDC, SAML) memungkinkan satu penyedia menjamin pengguna ke banyak layanan.
Clinical relevance
Autentikasi dan kontrol akses adalah tempat sebagian besar serangan nyata berhasil atau gagal: kata sandi yang dicuri atau dapat di-phishing menyebabkan sebagian besar pelanggaran, itulah sebabnya autentikasi multi-faktor dan kunci sandi (passkeys) yang tahan phishing (WebAuthn) kini sangat direkomendasikan. RBAC mengatur izin di perusahaan dan platform cloud, dan masuk tunggal (single sign-on) (login Google, Microsoft) membentuk pengalaman pengguna sehari-hari dan risiko keamanannya.
Evidence & guidelines
NIST SP 800-63 (Pedoman Identitas Digital) mendefinisikan tingkat jaminan autentikasi dan panduan kata sandi modern (mengutamakan panjang dan pemeriksaan pelanggaran daripada kompleksitas paksa). RBAC distandarisasi sebagai INCITS 359, dan FIDO2/WebAuthn menyediakan autentikasi yang tahan phishing. OAuth 2.0 (RFC 6749) dan OpenID Connect menstandarisasi otorisasi dan autentikasi terfederasi.
History
Kontrol akses sudah ada sejak sistem berbagi waktu awal, dengan matriks kontrol akses Lampson dan model wajib Bell-LaPadula yang memformalkannya pada tahun 1970-an. Kontrol akses berbasis peran diformalkan oleh Sandhu dan rekan-rekannya pada tahun 1996 dan menjadi standar perusahaan. Autentikasi berkembang dari kata sandi melalui token perangkat keras dan kata sandi satu kali hingga kunci sandi multi-faktor dan tahan phishing saat ini, sementara identitas terfederasi (SAML, kemudian OAuth/OIDC) memungkinkan masuk tunggal berskala web.
Key figures
- Ravi Sandhu
- Ross Anderson
- Jerome Saltzer
- Butler Lampson
- Roger Needham
Related topics
Seminal works
- anderson2020
- sandhu1996
- saltzer1975
Frequently asked questions
- Mengapa autentikasi multi-faktor sangat direkomendasikan?
- Kata sandi saja secara rutin dicuri melalui phishing, penggunaan ulang, dan pelanggaran basis data. Membutuhkan faktor kedua yang independen (perangkat atau biometrik) berarti kata sandi yang dicuri tidak cukup untuk masuk, memblokir sebagian besar serangan pengambilalihan akun.
- Apa perbedaan antara RBAC dan ABAC?
- Kontrol akses berbasis peran memberikan izin melalui peran yang ditetapkan kepada pengguna, yang mudah dikelola. Kontrol akses berbasis atribut membuat keputusan dari atribut pengguna, sumber daya, dan konteks (seperti waktu atau lokasi), memberikan kebijakan yang lebih terperinci dan dinamis dengan biaya kompleksitas yang lebih tinggi.