Menarik membaca salah satu artikel di majalah CACM Edisi
Maret 2013 yang ditulis oleh Jason Hong. Tulisan tersebut berjudul “Password
are Getting Out of Control” yang secara garis besar mengkritisi policy
password yang membikin susah pengguna internet. Dengan alasan keamanan tingkat
tinggi maka policy password tersebut ditingkatkan.
Policy password pada awalnya minimal terdiri dari 4
karakter, lalu berlanjut menjadi minimal 6 karakter. Dirasa kurang aman, dari
keenam karakter tersebut kemudian harus ada kombinasi angka dan huruf. Masih
juga dirasa kurang aman, minimal password 8 karakter dengan kombinasi angka dan
huruf, harus ada huruf kapitalnya, harus ada tanda baca. Namun ada yang lebih
ekstrim lagi seperti dalam artikel tersebut bahwa policy password adalah:
- - Minimal 8 karakter
- - Salah satu diantaranya harus huruf kapital
- - Salah satu diantaranya harus ada huruf kecil
- - Minimal berisi 1 angka
- - Minimal harus berisi sedikitnya 1 karakter tanda baca
- - Tidak boleh berisi karakter dengan ejaan berurutan (misal: abc, efg, cba)
- - Tidak boleh berisi karakter yang sama secara berurutan (misal: aa, bb, cc)
- - Tidak boleh berisi karakter yang sama melebihi dua.
- - Password tidak boleh sama dengan sepuluh password terakhir yang pernah digunakan
- - Tidak dapat diubah sebelum 24 jam
- - Masa berlaku password hanya 60 hari dan harus diperbarui lagi
Jika telah habis masa berlaku password, maka waktu untuk
me-reset password hanya 15 menit. Policy password yag begitu ribet terdapat
pada website pemerintahan US. Demikian disampaikan oleh Jason Hong. Dengan
policy demikian rumit maka dipastikan akan sangat merepotkan para pengguna.
Dengan alasan keamanan tentunya policy tersebut. Jika demikian maka tidak
menutup kemungkinan website lain yang masuk kategori vital akan menerapkan
kebijakan yang sama. Apalagi website-website komersial yang berkenaan dengan
masalah transaksi keuangan.
Banyak metode keamanan lain yang diterapkans elain password.
Metode keamanan tambahan yang umum dipakai dalaha re-Captcha untuk autentikasi
user ketika akan memberi komentar atau mendownload dokumen. Website e-banking
telah menerapkan keamanan berlapis menggunakan token sebagai autentikasi
pengguna. Sampai saat ini metode tersebut masih dirasa cukup aman. Namun
kedepan kemungkinan akan ditemukan celah keamanan oleh para hacker atau
cracker.
Dengan artikel tersebut, terbersit pemikiran saya bahwa saya
mengusulkan satu metode pengamanan baru di bidang internet sebagai pengganti
password, metode tersebut adalah dengan biometric login. Biometric login
sebenarnya telah banyak diaplikasikan di berbagai bidang, mulai dari
kedokteran, forensik, keamanan ruang menggunakan slot biometrik, absensi
personalia dan lain-lain.
Terdapat beberapa macam biometrik yang dikembangkan antara
lain, sidik jari, deteksi wajah, dan kornea mata. Dari beberapa macam biometrik
tersebut yang paling mudah untuk diimplementasikan pada keamanan website adalah
sidik jari. Dengan sidik jari, maka autentikasi dapat dilakukan dengan
sempurna. Namun tetap terdapat celah keamanan yaitu bagaimana proses pengiriman
data sidik jari tersebut kemungkinan dapat dibajak ditengah jalan. Disini mungkin
tantangan berikutnya, dan kebanyakan saat ini celah keamanan adalah pada
transportasi data dari user ke server. Mungkin dan semoga ide ini dapat
terealisasi kedepan. Saya membayangkan bahwa nantinya di setiap gadget terdapat
pemindai sidik jari untuk autentikasi dan website memiliki sistem tambahan
untuk membaca sidik jari user untuk selanjutnya dapat melakukan autentikasi
berbasis biometrik sidik jari.
