Mari Berbagi walaupun hanya sekedar Informasi

Berbagi informasi tentang segala hal positif

Archive for the ‘Tips Keamanan Internet’ Category

Keamanan Email

with 4 comments

Seiring dengan pertumbuhan teknologi, email menjadi sarana komunikasi yang semakin banyak digunakan. Di negara maju, email bahkan sudah menjadi komunikasi utama di kantor atau antara pelanggan dan nasabahnya. Pemberitahuan rapat dan segala hal yang menyangkut urusan kantor menjadi sangat praktis dengan menggunakan email. Bahkan ada bannk yang menggunakan email sebagai komunikasi utama untuk menyampaikan tagihan kartu kredit atau komunikasi penting lainnya.

Dengan fungsinya yang sangat penting tersebut, maka sebagai pengguna harus benar-benar memperhatikan faktor keamanan emailnya. Tulisan ini membahas faktor keamanan email dari sisi pengguna email. Beberapa tahun terakhir ini kasus pembajakan email sangat marak terjadi. Banyak korban yang dirugikan bahkan secara finansial, karena email yang dibajak dipergunakan untuk menipu orang lain dengan berbagai modus. Banyak kerugian lainnya yang diderita akibat pembajakan eccount email seseorang.

Untuk dapat mengantisipasi pembajakan email maka kita harus mengetahui modus yang digunakan seseorang untuk mendapatkan username dan password kita. Umumnya account email disalahgunakan oleh orang lain karena kelalaian dari pemilik account tersebut. Beberapa hal yang menimbulkan kerawanan adalah sebagai berikut:

1. Akses internet di fasilitas umum seperti warnet.
– Pada ruang publik tentunya akan lebih rawan daripada akses internet privat. Seringkali pengguna tidak melakukan logout account emailnya sehingga browser akan langsung membuka email tersebut saat orang lain ingin login ke fasilitas email yang sama. Untuk itu jika pengguna membuka email di warnet harus memastikan bahwa accountnya telah logout saat selesai dan tidak menerima fasilitas save password dari browser.
– Selain itu pemasangan keylogger juga harus diwaspadai. Untuk mengatasi hardware keyloger dapat digunakan virtual keyboard saat mengetikan user name dan password. Free virtual keyboard dapat didownload di sini.
Untuk keylogger berupa perangkat lunak memang sulit untuk memastikan keberadaannya karena software ini biasanya dipasang oleh orang pada web dan disamarkan seolah seperti aplikasi yang bermanfaat atau dengan berbagai modus lainnya. Langkah-langkah umum yang dilakukan supaya sedikit lebih aman dari software keylogger adalah seperti tetap mennjaga antivirus dan anti spyware up to date, menggunakan firewall, mengupdate OS, berhati-hati jika mengunjungi situs yang tidak terpercaya dan menghentikan antivitas jika real time protection anti virus atau anti spyware kita menangkap ada sesuatu yang terinstal saat mengunjungi suatu web. Hal ini tentu sangat susah kita pastikan saat menggunakan fasilitas umum. Pada komputer pribadi bisa dilakukan juga dengan menggunakan mode user terbatas selain administrator saat mengakses internet sehingga tidak akan ada aplikasi yang bisa terinstall secara otomatis.
– Pada access public hotspot juga harus berhati-hati terhadap proses sniffing yang mungkin dilakukan dengan memperhatikan dengan benar akses ke gateway.

2. Ketidakpedulian user terhadap passwordnya
– Seringkali untuk memudahkan mengingat, user menggunakan password sederhana seperti tanggal lahir, kota tempat lahir ataupun password sederhana lainnya yang mudah ditebak seperti angka 012345. Untuk mengamankan account kita sebaiknya menggunakan password yang merupakan kombinasi huruf angka dan special karakter
– Penyimpanan password pada browser atau pada suatu note dalam harddisk, flashdisk ataupun pada hanphone sering dilakukan oleh user awam. Hal ini memang sangat praktis karena kita tidak perlu pusing mengingat password tetapi titik rawan ini sering mengakibatkan account kita terbajak misalkan akibat handphone kita ditemukan orang lain dan data username dan password kita diketahui oleh orang tersebut. Untuk itu jika ingin menuliskan di kertas atau di flashdisk atau media penyimpan lainnya kita dapat sedikit mengamankannya dengan menggunakan teknik enkripsi sederhana. misalkan semua pasword dan user name kita kita tulis dengan menggunakan caesar cipher dengan menggeser password tersebut dengan suatu pola tertentu berdasarkan satu kunci yang kita ingat. Hal ini sangat praktis jika kita lupa password kita dan jika orang lain menemukan catatan password tersebut, orang itu jua tidak bisa menggunakannya karena pasword kita terenkripsi. Dengan kalimat sederhana, tulislah password anda tetapi usahakan hanya anda yang tahu cara membacanya.
– Kecenderungan user menggunakan password yang sama untuk berbagai keperluan. Hal ini praktis tapi tidak aman.

3. Ketidakpedulian akan terpaparnya data diri di ruang publik
– Pengguna internet awam akan dengan mudah menampilkan data pribadi seperti tempat dan tanggal lahir maupun alamat email di ruang publik seperti social networking. Dengan menggunakan data diri tersebut orang iseng bisa saja mensabotase email kita dengan menggunakan fasilitas yang tersedia untuk orang yang lupa password. Jika hal ini dikombinasi dengan pertanyaan sekuriti yang mudah ditebak maka kemungkinan email terbajak akan semakin besar. Demi keamanan account jangan pernah mempublish data diri secara lengkap di internet. Apabila mempublish CV di internet maka bagian dari kompetensi dan keahlian saja yang dipublish, bagian data personal hanya by request untuk instansi atau yang kita percaya.
– Bergabung dengan milist terbuka dengan alamat email utama.
Banyak orang yang bergabung dengan milist terbuka yang keanggotaanya dapat diliat oleh siapapun dengan menggunakan alamat email utama. Hal ini paling tidak akan menyebabkan email kita terkena spam dengan mudah karena data email kita terpapar di ruang publik. Sebaiknya mempunyai dua alamat email untuk keperluan utama kita dan keperluan lain seperti mailingllist umum yang anggotanya tidak kita kenal dan tidak terpercaya.

4. Ketidaktahuan akan fitur email yang digunakan.
Beberapa tahun lalu banyak penyedia layanan email yang kurang memperhatikan masalah proteksi terhadap user. Akan tetapi sekarang ahl tersebut sudah berubah, banyak penyedia layanan email telah menggunakan protokol https pada saat proses login. Untuk itu dalam memilih email kita harus memilih email dengan keamanan yang cukup terjamin. Ada penyedia layanan seperti yahoo mail yang telah menyediakan fasilitas untuk menghindari typo site atau situs palsu dengan cara memasukan suatu kode kita sehingga saat kita salah ketik atau ada suatu softwre yang mengarahkan ke site tertentu maka kita dengan mudah mengenali bahwa site tersebut adalah palsu. Yahoo mail juga menyediakan layanan seperti disposable email yang berguna untuk menghindari spam karena alamat tersebut dapat dihapus tanpa kita kehilangan alamat utama kita. Alamat tersebut dapat digunakan misalkan selama proses pembelian suatu barang. Dan jika proses telah selesai dan kita tidak ingin menerima iklan atau informasi lainnya kita dapat dengan mudah menghapus alamat tersebut. Untuk itu sebaiknya kita meluangkan waktu sejenak mengenali fitur yang ditawarkan oleh layanan email kita.

Demikian tulisan tentang keamanan email, tentunya masih ada celah-celah lain yang dapat membuat account kita terbajak yang belum ditulis dalam tulisan ini.

Ditulis oleh:
Dhidik Prastiyanto

Advertisements

Written by dhidikp

June 6, 2010 at 11:12 pm

Keamanan Transaksi Online

with 4 comments

Menyambung tulisan saya sebelumnya tentang nasabah online banking, tulisan ini akan membahas keamanan transaksi online khususnya untuk pengguna awam teknologi informasi. Layanan transaksi online yang berkembang sangat pesat membuat pengguna layanan tersebut semakin beragam. Beberapa orang memanfaatkan terbatasnya pengetahuan pengguna transaksi online dari kalangan masyarakat yang tidak bergelut dalam bidang IT.

Layanan transaksi online yang dibahas disini bisa dikelompokan dalam dua hal yaitu online banking dan pembelian online. Untuk online banking pada tulisan sebelumnya telah di bahas dari sisi bank sebagai penyedia layanan yang seharusnya meningkatkan keamanaannya. Dalam penjelasan sebelumnya Bank masih bisa meningkatkan keamanan sistemnya dengan berbagai cara yang telah dibahas. Walaupun pada tulisan tersebut terdapat beberapa kritik terhadap layanan online banking, sebenarnya menurut pendapat penulis sebagai pengguna layanan, layanan tersebut sudah cukup aman. Online banking dilengkapi dengan dua tahap keamanan yaitu melalui pin untuk masuk ke account pengguna dan One Time Pad key untuk melakukan transaksi finansial. Kemungkinan terburuk bagi pelanggan adalah accountnya dibajak, tetapi kerugian finansial dapat dihindari karena membutuhkan satu kunci lagi yang unik. Kunci tersebut diwujudkan dalam kombinasi angka yang digenerate oleh alat khusus ataupun dalam bentuk printout disediakan oleh bank untuk setiap pelanggan yang penggunaan kuncinya hanya satu kali pakai. Histori transaksi non finansialpun untuk beberapa bank bisa diliat sehingga bisa dilacak apakah ada login yang bukan oleh nasabah sehingga nasabah bisa cepat melapor jika accountnya terbajak.

Untuk transaksi pembelian online biasanya menggunakan kartu kredit sebagai alat transaksi. Biasanya penyedia layanan memakai protokol https untuk mengamankan proses trnasaksi. Kartu kredit mempunyai keamanan yang lebih lemah dibandingkan dengan online banking. Jika data yang terkirim tersebut terbajak dan dapat dibaca oleh orang maka orang lain dapat memanfaatkan sebelum sampai si pemilik sadar bahwa kartu kreditnya telah disalahgunakan oleh orang lain. Dengan protokol https sebenarnya cukup aman karena data yang dikirimkan terenkripsi sehingga orang yang mengamati lalu lintas trafik data tersebut akan mendapati data acak terenkripsi. Banyak layanan yang menambahkan keamanan dengan menggunaka Secure Socket Layer sehingga komunikasi tingkat socket juga terenkripsi seperti dengan teknologi yang disediakan oleh VeriSign. Dengan menggunakan metode ini maka passive sniffing dengan perangkat lunak yang digunakan untuk menyadap paket yang dikirimkan dari komputer ke server dapat diminimalkan resikonya karena si penyadap hanya akan mendapatkan data terenkripsi.

Akan lain ceritanya jika si penyadap menggunakan active sniffing dan mengelabuhi komputer korban yang seharusnya menghubungi gateway tapi malah menghubungi komputer si penyadap. Hal ini sangat mudah dilakukan, untuk alasan keamanan teknik ini tidak diulas detail disini. Dengan teknik ini si penyadap dapat dengan mudah mendapatkan data rahasia komputer target. Teknik serangan lain yang harus diwaspadai adalah serangan dengan hardware maupun software keylogger yang akan merekam aktivitas pengguna komputer yang terpasang hardware keylogger atau terinstal software keylogger. Dengan metode ini data rahasia transakasi online juga dapat terekam dengan mudah.

Untuk pengguna internet banking sebaiknya melakukan hal-hal berikut:
1. Tidak melakukan transaksi online pada warnet ataupun area public hotspot. Kemungkinan pemasangan keylogger ataupun sniffing sangat besar pada wilayah publik.
2. Menggunakan virtual keyboard untuk meminimalkan serangan hardware keylogger, inipun dilakukan jika memang terpaksa harus melakukan transaksi online di area umum. Virtual keyboard gratis dapat didownload pada link ini.
3. Mengupdate antivirus untuk meminimalkan serangan software keylogger. Penggunaan firewall juga membantu untuk masalah ini.
4. Meneliti dengan benar alamat web penyedia layanan transaksi online untuk meminimalkan salah ketik yang menyebabkan kita terkoneksi ke web yang salah. Banyak yang melakukan modus ini untuk mendapatkan data rahasia kita.
5. Menggunakan ARP Cache static untuk meminimalkan serangan penyadap yang mengelabuhi koneksi kita ke gateway.
6. Hanya melakukan transaksi dengan penyedia layanan terpercaya dan selalu melihat protokol yang digunakan (https) dan mengamati apakah penyedia layanan tersebut menggunakan komunikasi SSL. Dalam banyak kasus banyak toko online yang sebenarnya hanya digunakan untuk mendapatkan data rahasia si pelanggannya.
7. Menggunakan browser yang mempunyai keamanan cukup baik seperti firefox dan chrome.

Kehati-hatian kita dalam menggunakan fasilitas transaksi online akan sedikit mengurangi celah keamanan yang ada. Walaupun tidak benar-benar menjamin bahwa transaksi kita aman. Pengecekan histori transaksi online banking dan rekening tagihan kartu kredit akan membantu kita mengetahui secara dini penyalahgunaan account kita sehingga dapat dengan segera melakukan pemblokiran.

Ditulis oleh:
Dhidik Prastiyanto

Written by dhidikp

May 26, 2010 at 8:46 am

Tips Menghindari Penipuan di Internet

with 3 comments

Tips menghindari penipuan di internet membahas agar terhindar dari penipuan di internet. Penipuan di internet memang sangat marak karena sifat internet yang terbuka dan bebas untuk semua orang. Hal yang ditulis disini adalah gambaran secara umum dan hanya bertujuan untuk menambah wawasan supaya kita tidak tertipu. Dunia internet adalah dunia bebas yang didalamnya kita tidak mengetahui siapa saja dibalik sebuah situs atau sebuah email. Undang-undang informasi dan transaksi elektronis memang telah disahkan di Indonesia, tetapi jangan terlalu banyak berharap perlindungan yang bagus dari Undang-undang ini. Sebagai undang-undang yang baru, kesiapan pendukung undang-undang ini masih sangat minim. Walaupun nantinya pemerintah sudah sangat siap dengan piranti dan perangkat pendukungnya tetapi tetap saja kunci keselamatan kita di internet sangat tergantung pada kewaspadaan dan pengetahuan kita.

Untuk menghidari penipuan di intenet kita harus mengetahui modus-modus yang dipergunakan oleh sang penipu. berikut dijelaskan tentang modus-modus penipuan dan tips untuk mengatisipasinya.

1. Penipuan lewat Email
Sang penipu sering memanfaatkan ketidaktahuan pengguna internet baru dan mengirimkan email yang berisi
– Pemberitahuan bahwa kita memenangkan hadiah
Undian berhadiah memang menggiurkan tapi jangan pernah berharap memenangkan undian berhadiah. Angan-angan memenangkan hadiah adalah angan-angan pemimpi. Kemungkinan kita memenangkan hadiah adalah sangat kecil.
– Meminta bantuan untuk menerima uang dalam jumlah besar
Tidak ada orang asing ataupun orang indonesia yang sudah tidak butuh unag lagi sehingga hartanya dengan mudah dihibahkan ke kita sebagai orang yang tidak dikenalnya.
– Meminta-minta dengan mengatas namakan lembaga
Modus meminta sumbangan sering kali disalahgunakan. Inilah tipikal orang yang menghalalkan segala cara dalam mendapatkan rejeki. Jika ingin menyumbang kita bisa menyalurkan lewat lembaga yang jelas.
– Meminta informasi penting dengan menyamar sebagai pihak yang berwenang
Sering kali penipu mengatas namakan sebagia petugas bank yang meminta nomer rekening, user name dan pin kita di internet banking dengan alasan ada kesalahan tranksaksi yang harus diperbaiki. Penipu juga sering kali mengaku sebagai petugas keamanan yang sedang ditugasi untuk memeriksa data nasabah.

Tips: – Jangan pernah percaya pada email yang isinya setelah disebutkan di atas. Kalaupun kita menang undian pasti akan dihubungi secara langsung melalui telepon, surat atau lainnya. Melalui teleponpun kita harus hati-hati yaitu dengan menanyakan langsung ke penyelenggara undian tersebut. Cari dengan seksama alamat penyelenggara undian tersebut kalau memang kita mengikuti kuis berhadiah.
– Jangan pernah mempercayai petugas bank atau petugas keamanan yang menanyakan data lewat email, telepon dan sms. Bank tidak akan menyuruh petugasnya untuk melakukan hal ini.
– Para penipu ataupun automatic software tersebut biasanya mendapatkan email kita dari berbagai aktivitas yang kita lakukan di internet. Untuk itu akan lebih baik untuk membuat email khusus yang hanya dipakai untuk konfirmasi transaksi finansial dan tidak ada orang lain yang tau selain kita.

2. Situs tiruan
Situs tiruan ini bisa dibuat untuk mengelabuhi pelanggan. Biasanya sang penipu membuat situs dengan mengubah satu kata sehingga mirip dengan nama bank yang kita gunakan misal http://www.bmi.co.id/. Kesalahan ketik antara n dan m sangat mudah terjadi, dengan tampilan situs yang dibuat persis maka sang penipu dapat dengan mudah mendapatkan account kita.

Tips: – Ketikan dengan seksama alamat internet banking jika ingin melakukan tranksaksi. Internet banking pasti menggunakan protokol https jadi curigai jika hasil ketikan ada tidak mengarah ke protokol https. Lakukan juga pengecekan certificate benar atau tidaknya situs tersebut dengan mengklik gambar gembok di ujung bawah browser dan view certificate
– Jangan pernah melakukan penyimpanan password untuk internet banking yang ditawarkan oleh browser kita walaupun di komputer dan laptop pribadi. Saat laptop kita kecurian akan sangat berbahaya jika kita menyimpan pasword kita.

3. Toko Online Palsu
Banyak sekali toko online palsu yang sebenarnya hanya bertujuan memperoleh data kartu kredit kita. Begitu data kartu kredit didapatkan maka dengan mudah akan dapat disalah gunakan.

Tips:- Jangan pernah gunakan kartu kredit untuk pembelian online kecuali perusahaan tersebut terpercaya. Teliti dengan benar web maskapai pesawat apakah asli atau aspal jika ingin membeli tiket. Untuk berlangganan jurnal juga pilih jurnal yang terpercaya dan kita kenal. Kalau tidak kenal benar dan ragu-ragu maka jangan pernah gunakan kartu kredit kita.

4. Iklan barang di internet
Modus ini juga sangat sering terjadi dengan berbupa-pura menjual barang misal di iklan baris online. si penjual biasanya meminta uang muka dulu sebelum mengirimkan barang jika transaksi disepakati. Setelah uang muka didapatkan barang tidak kunjung datang.

Tips: – Perlindungan konsumen di Indonesia masih lemah, jadi untuk saat ini jangan percaya pada penjual online yang tidak kita kenal. Sebaiknya bertemu langsung untuk serah terima barang. Saya tidak mengetaui apakah di Indonesia ada jasa perantara seperti ebay untuk memfasilitasi penjual dan pembeli. Menggunakan ebaypun hati-hati teruta untuk barang yang second. Lembaga perantara sangat perlu untuk menjamin transaksi aman. Kalau tanpa ada lembaga perantara yang terpercaya jangan pernah melakukan transaksi online.

5. Lembaga atau perusahaan licik
Banyak perusahaan, travel agen yang beretika bisnis buruk. Mereka biasanya menaruh suatu peraturan di menu tersembunyi yang ternyata isinya kalau sudah memesan maka akan ada biaya pembatalan apapun alasan kita. Saya pernah mengalami hal ini, 50 euro melayang gara-gara memesan tiket pesawat di agen, hanya dengan klik booking, belum sampai tahap berikutnya. Pada menu tersembunyi memang ada aturan dengan mengkik booking maka ada biaya administrasi jika membatalkan walaupun kita belum membayar. Tulisan ini sengaja dibuat kecil dan tersembunyi untuk menjebak orang yang baru pertama kali berkunjung ke web agen tersebut.

Tips: – Baca dengan detail aturan sebelum memesan tiket atau barang dan sebaiknya menelpon bagian customer service untuk menanyakan aturan pemesanan dan pembatalan.

6. Download gratis
Banyak teman saya menjadi korban download gratis yang ternyata “ada udang dibalik rempeyek”. Sama seperti modus nomer 5, ada aturan yang dibuat kecil dengan maksud menjebak pelanggan. Setelah mendownload maka akan segera datang tagihan untuk membayar “download gratis” tersebut

Tips: – Batalkan untuk mendownload gratis jika disuruh mengisi data diri yang ada alamatnya. Alamat tersebut akan dipergunakan untuk tagihan yang tersembunyi.
– Gunakan disposible email jika hanya email yang diminta untuk dapat mendownload. Mengenai disposable email akan saya bahas dalam tulisan selanjutnya.

7. Program investasi tidak jelas
Harta memang menggiurkan, dan silahkan ketik di prof google mencari uang lewat internet maka akan muncul banyak sekali investasi tidak jelas. Penjelasannya yang menyakinkan akan membuat orang tergoda untuk melakukan investasi. Apalagi dengan modal relatif kecil misalkan 200rb dalam waktu 2 tahun menjadi 2 milyar.

Tips: – Jangan ikuti program investasi tidak jelas. Kalau benar dalam 2 tahun 200rb akan menjadi 2 milyar maka orang tersebut tidak akan mengiklankan investasinya. Lebih baik pengelola program tersebut investasi sendiri atau mengajak keluarga dan teman terdekat sehingga dirinya sendiri dan kroni-kroninya bisa kaya dalam tempo yang cepat. Tidak ada makan siang yang gratis. Untuk mendapatkan uang yang besar kitapun harus berusaha secara mati-matian. Tidak ada program yang tinggal setor sejumlah uang kecil, ongkan-ongkang, setelah itu dalam waktu cepat jadi jutawan. Program seperti itu hanya ada dalam impian.
– Memang ada beberapa program investasi atau MLM yang benar, akan tetapi program itu pasti akan mengharuskan kita banting tulang mengajak orang ke sana ke mari dalam jangka waktu yang lama baru menikmati kesuksesan. Kalau kita bukan tipe pekerja keras jangan pernah ikut MLM karena hanya akan jadi orang yang terinjak-injak didasar piramida MLM. Kalau memang MLM dijadikan harapan hidup maka waktu kita harus tersita habis dalam tahun-tahun awal untuk membangun jaringan. Saya pribadi adalah penolak bisnis MLM karena saya tidak bisa mengajak orang dan tidak bisa berjualan. Saya juga bukan orang yang tega menginjak-injak saudara saya di dasar piramida MLM demi keuntungan pribadi saya. Lain halnya jika kita ikut MLM karena memang tertarik produknya dan ingin memakai produk tersebut dengan harga lebih murah dan kita tidak berharap keuntungan lain. Jadi kalau bukan penjual dan presenter ulung maka jangan pernah ikut program MLM. Jangan pernah berharap menjadi kaya hanya dengan berdiam diri.

8. Memanfaatkan kelengahan orang di fasilitas internet umum
Ternyata ada saja yang mau memanfaatkan ketidaktahuan orang lain. Dengan memasang program key logging atau program sniffer di fasilitas internet umum semisal warnet, sang penipu akan dengan mudah mendapatkan account dan password kita.

Tips: – Jangan pernah melakukan transaksi finansial dengan internet banking ataupun kartu kredi di warnet atau fasilitas umum internet lainnya. Untuk kegiatan non finansial di warnet misal login ke email, jangan pernah menerima tawaran save password dari browser yang kita gunakan.

Internet memang masih terlalu bebas walaupun sudah banyak aturan yang dibuat. Untuk itu jangan pernah tampilkan data pribadi seperti tanggal lahir, alamat lengkap, alamat email, nama ibu di website kita atau di website manapun. Data-data tersebut bisa dipakai oleh orang lain untuk merugikan kita. Selain itu kita juga harus selalu waspada terhadap modus penipuan yang kian licik dan beragam. Demikian tulisan tentang tips menghindari penipuan di internet, semoga bermanfaat.

Beberapa tulisan saya terkait dengan keamanan:
keamanan-internet-banking
Keamanan Facebook

Ditulis oleh:
Dhidik Prastiyanto

Kegelisahan Seorang Nasabah Internet Banking

with 7 comments

Sebagai salah satu pengguna internet banking sebuah bank terpercaya di Indonesia, saya masih memilliki rasa was-was terhadap layanan tersebut. Kekhawatiran saya bertambah karena saya sering menggunakan fasilitas internet banking. Berikut adalah beberapa keraguan tentang sistem keamanan internet banking khususnya untuk bank yang saya gunakan. Sekiranya pembaca adalah pakar keamanan internet banking pada sebuah bank mohon untuk menjawab beberapa pertanyaan-pertanyaan saya.

Berikut kegelisahan tersebut:
1. Apakah PIN/Password yang digunakan tidak terlalu pendek?
Bank yang saya pakai hanya menyediakan 6-10 angka sebagai password. Sistem login tidak mengijinkan adanya huruf dan spesial karakter. Apakah hal ini tidak terlalu rentan untuk sistem keamanan pengguna?. Bank yang saya pergunakan di jerman mengijinkan pasword yang panjang dengan kombinasi huruf, angka dan special karakter.

2. Mengapa tidak ada sistem challenge respon untuk memastikan keabsahan situs bank?
Hal ini menurut saya menunjukkan sifat semena-mena bank terhadap konsumennya. Kita sebagai konsumen tidak diberi kesempatan untuk memastikan apakah website bank tersebut asli atau tidak. Tentunya kita sebagai konsumen rentan terhadap serangan phishing. Bank saya hanya mengingatkan konsumennya untuk berhati-hati dengan selalu menuliskan alamat web secara lengkap di address bar saat mau menggunakan online banking. Sebagai perbandingan Yahoo mail saja yang gratis menyediakan fasilitas anti-pishing (typo site maupun email palsu) untuk memastikan bahwa kita login di web yang sebenarnya walaupun tidak murni menggunakan sistem challenge respon. Yahoo hanya menggunakan teks maupun gambar yang dapat kita set pada komputer pribadi kita. Paling tidak akan menambah rasa aman karena text unik yang kita tuliskan tentunya tidak diketahui oleh orang yang berusaha memasang web aspal. Untuk email antara bank dan epalngakan juga dapat digunakan suatu pengenal khusus sehingga pelanggan tidak tertipu oelh email palsu yang memang sangat banyak.

3.Mengapa tidak digunakan keamanan tambahan dengan sistem One Time Pad?
Saya sebagai nasabah tentu tidak mengetahui sistem keamanan bank secara detail. Yang saya tahu bank saya menggunakan protokol SSL. Data yang dikirimkan akan diacak dengan 128 bit enkripsi. Dalam SSL tentunya untuk autentikasi akan digunakan RSA, DSA atau ECDSA. Menurut saya yang tidak bergelut dibidang security sistem, gabungan antara public key kriptography tersebut dengan sistem one time pad akan lebih aman. Kesulitan penerapan sistem keamanan gabungan ini tidakkah bisa diatasi dengan meksanakan enkripsi dengan publik key kriptografi dahulu setelah itu diacak dengan OTP. Setelah sampe diserver dilakukan proses kebalikan. Keuntungan OTP adalah berubah-ubahnya chiper text setiap kali login. Yang saya khawatirkan jika tidak menggunakan OTP walaupun dienkripsi dengan public key kriptography tetap saja chiper text yang dikirim dari client ke server adalah cipher text yang statis.

4. Seberapa amankah penggunaan kunci tambahan saat transaksi finansial?
Kunci tambahan pada saat transaksi finansial tentunya lebih menguatkan sitem keamanan. Ada sisi lemah yang terlintas di benak saya. Saya mempunyai pertanyaan tersendiri yang tidak saya publish demi alasan keamanan online banking bank yang saya gunakan.

Akhirnya sebagai nasabah kita hanya bisa berhati-hati. Bank tidak akan mau mengganti rugi dengan alasan apapun kalau terjadi penyalahgunaan account dan pasword kita di online banking. Ingatlah peraturan bank yang menyatakan bahwa saldo yang tercatat di bank dijadikan patokan bila terjadi selisih saldo. Kita hanya bisa menunggu sampai bank benar-benar adil terhadap nasabahnya.

Berikut saya sampaikan informasi tips keamanan internet banking dari bank yang saya gunakan. Saya sengaja menghapus nama banknya.
1. Tips Menjaga Kerahasiaan PIN

* Jangan pernah menggunakan PIN yang sama untuk memenuhi kebutuhan finansial maupun non finansial yang Anda lakukan lewat web, seperti e-mail, online shopping, dan pelayanan langganan online lainnya.
* Jangan membuat PIN yang merupakan pengulangan dari User ID
* Jangan menggunakan PIN yang dapat ditebak dengan mudah oleh orang lain, seperti nomor telepon, tanggal kelahiran, nomor kendaraan, atau data pribadi lainnya. Sebaiknya pilihlah nomor PIN yang unik dan tidak bermakna. Semakin acak, semakin bagus.
* Jangan menggunakan nomor PIN yang berurut seperti 123456 atau PIN yang merupakan pengulangan satu angka seperti : 111111
* Jangan pernah memberikan PIN (nomor identifikasi personal) Anda pada orang lain, termasuk orang-orang terdekat Anda dan bahkan pihak bank sekalipun.
* Jangan mencatat PIN pada kertas atau menyimpannya secara tertulis ditempat yang orang lain bisa membacanya, contoh : agenda atau kalender. Jangan pula menuliskan PIN Anda atau menyimpannya di hard disk komputer, disket, telepon seluler atau benda-benda riskan lainnya. Akan lebih baik lagi jika Anda bisa mengingatnya tanpa harus menuliskannya.
* Berhati-hati menggunakan User ID dan PIN Internet Banking agar tidak terlihat atau dibaca orang lain.
* Jika Anda menggunakan layanan Internet Banking, sebelum memasukkan USER ID dan PIN, Anda harus selalu meyakinkan bahwa situs yang Anda kunjungi benar. Pastikan bahwa halaman internet banking yang Anda kunjungi merupakan milik Bank tersebut.
* Ubahlah PIN Anda secara berkala dengan menggunakan pelayanan rubah PIN di menu Administrasi pada Internet Banking
* Ubahlah segera PIN Anda jika Anda merasa PIN tersebut telah diketahui orang yang tidak berwenang.
Memang PIN adalh sesuatu yang sangat rahasia dan hanya nasabah yang mengetahui PIN tersebut. Petugas bank tidak akan pernah menanyakan PIN melalui email telpon atau media lainnya, jadi hati-hailah jika ada yang menanyakan nomer PIN:

2. Waspadai Bahaya ‘Typo Site’ !
Modus kejahatan typo site ini terbilang cukup unik dan seringkali tidak disadari oleh korbannya. Caranya, pelaku membuat situs yang memiliki nama yang hampir serupa dengan situs resmi lainnya. Misalnya saja, sebuah situs resmi yang memiliki alamat di http://klikbanku.com/ dibuat samarannya dengan alamat http://klikbankku.com/ atau http://clickbankku.com/. Nyaris tak bisa dibedakan bukan?

Typo site dapat dengan mudah dibuat untuk domain .COM, .NET, .ORG, dan beberapa jenis domain lainnya. Setiap orang bisa menamakan situsnya tersebut dengan nama apa saja selama domain itu belum dimiliki orang lain. Dan kemudian si pembeli nama-nama domain yang mirip itu dapat membuat tampilan situsnya 100% mirip aslinya, sehingga seringkali orang yang salah ketik tidak menyadari bahwa ia sebenarnya berada di situs yang salah. Biasanya yang sering disalahgunakan adalah situs-situs dari bank resmi. Tujuannya tak lain adalah untuk menangkap user ID, password atau data-data pribadi lainnya. Data-data tersebut kemudian dimanfaatkan untuk melakukan transaksi illegal.
Cara mencegahnya:
– Untuk mencegah terjebak typo site, selalu periksa kembali ejaan nama situs yang Anda ketikkan. Jangan sampai ada kesalahan ketik, termasuk penggunaan symbol. Kesalahan yang banyak terjadi contohnya dalam penulisan huruf EL KECIL (l) yang mirip dengan huruf I BESAR (I), atau angka LIMA (5) mirip dengan huruf S BESAR (S).
– Situs Internet Banking, biasanya dilengkapi sertifikat sebagai proteksi tambahan. Untuk itu, jika Anda meragukan kebenaran sertifikat sebuah situs , Anda dapat meng-klik View Certificate untuk melihat rincian sertifikat dan memastikan apakah perusahaan yang Anda masuki situsnya dapat dipercayai. Jika keluar pesan warning mengenai sertifikat saat mengakses server internet banking , lebih baik tidak jadi mengakses situs tersebut atau mengecek ulang nama situs yang Anda ketikkan.
– Jika Anda mengakses situs internet banking dari sebuah link, periksalah juga apakah link tersebut membawa Anda ke server yang betul. Lihat jangan-jangan ada permainan huruf atau salah ketik
– Jika Anda merasakan atau menemui keganjilan, segera hentikan kegiatan Anda dan jangan lagi masukkan password atau informasi pribadi. Agar lebih yakin lagi tanyakan kepada orang yang Anda percaya dan mengerti benar secara teknis, atau kepada Customer Service Bank.

3. Waspadai Phising
Phising , adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah

Aksi ini semakin marak terjadi. Tercatat secara global, jumlah penipuan bermodus phising selama Januari 2005 melonjak 42% dari bulan sebelumnya. Anti-Phishing Working Group (APWG) dalam laporan bulanannya, mencatat ada 12.845 e-mail baru dan unik serta 2.560 situs palsu yang digunakan sebagai sarana phishing.
Selain terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan. Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan protokol standar sehingga terhindar dari pendeteksian

Bagaimana phishing dilakukan?
Teknik umum yang sering digunakan oleh penipu adalah sebagai berikut:
* Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit.
* Membuat situs palsu yang sama persis dengan situs resmi.atau . pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
* Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.

Mencegah phishing
Jangan mudah terpancing untuk mengikuti arahan/petunjuk apapun sehubungan informasi rekening, yang dianjurkan pada e-mail yang dilink ke situs bank tertentu. Jika Anda menerima e-mail sejenis ini dan mengatasnamakan Bank, berhati-hatilah. Bank biasanya menerapkan kebijakan untuk tidak meminta pemilik rekening/Nasabah mengup-date data melalui sarana e-mail. Jika Anda menerima e-mail seperti ini, segera laporkan kepada pihak Bank anda.

Ditulis oleh: Dhidik Prastiyanto

Keamanan Bermain Facebook

with 16 comments

Tulisan keamanan bermain Facebook ini membahas tentang penggunaan fitur facebook untuk menjaga keamanan account dan privacy. Facebook dengan dampak positif dan negatifnya, beberapa kontroversi, kepopuleran memang menarik untuk disimak. Pengguna facebook banyak yang tidak peduli dan tidak tahu dengan keamanan accountnya. Hal ini sangat berbahaya karena serangan yang menimpa sebuah account dapat menular ke account lain yang menjadi temannya.

Kelengahan pengguna facebook dapat kita tengarai dari masih banyak pengguna yang masih belum tahu terhadap fitur yang ada di Facebook. facebook menyediakan setting privacy yang cukup baik. Banyak yang tidak mengetahui secara detail privasi setting dari account tersebut. Setting Privacy dapat digunakan untuk meeninkatkan keamanan bermain facebook.

Pada Setting basic profile, kita dapat mengatur siapa yang diijinkan melihat profil,info,education, gambar, video, wall dan lainnya. Settingya sangat fleksibel. Kita dapat membuat info-info tersebut terbuka dapat diakses oleh semua orang sampai tertutup tidak ada orang yang dapat melihat. Secara spesifik kita juga dapat menentukan siapa saja yang dapat melihat info tersebut. Sebagai contoh kita dapat mengatur si “A” sama sekali tidak dapat melihat foto dan wall kita.

Pada setting contact information juga dapat diatur bagian apa saja yang dapat dilihat dan siapa yang dapat melihat info tersebut. Hal yang perlu diingatkan disini adalah hati-hatilah menampilkan email jika list friend kita terdapart orang yang tidak kita kenal. Memang banyak orang yang suka menambahkan sebagai teman walaupun tidak kenal. Hati-hati terhadap tipe pengguna seperti ini. Amati list friend dan info mereka sebelum approve sebagai teman. Data-data pribadi juga jangan diumbar pada account information. Data seperti tanggal lahir dan alamat juga riskan untuk ditampilkan di media seperti ini. Jika ada orang yang iseng, data2 ini dapat dipergunakan untuk keperluaan penyalahgunaan semisal untuk memblog kartu kredit.

Search setting juga dapat kita atur untuk melindungi account kita. Apabila account kita dapat dicari oleh semua orang juga akan membuat keamanan account menjadi lebih rentan. Disarankan untuk mengatur siapa saja yang dapat mencari account kita misalkan friend of friend dan college friend. Tentu paling aman adalah mensetting only friend.

Setting pada news feed and wall pun bisa diatur untuk kenyamanan pengguna. Info-info yang sekiranya tidak penting dapat diatur untuk tidak masuk dalam wall. Temanpun bisa dibuat dalam berbagai kategori sehingga memudahkan untuk penggunaannya.

Hal yang perlu diperhatikan adalah setting pada application. Foto yang dipublish dapat diatur menurut album dan siapa yang dapat melihat album tersebut. Kelemahan dari aplikasi photo di facebook adalah tidak ada setting khusus untuk mematikan fasilitas copy foto atau download foto. Untuk itu berhati-hatilah dalam mempublikasikan foto.

Facebook seperti situs-situs jaringan social lainnya rentan terhadap scam, virus, spam dan lain-lain yang serba merugikan. Untuk sedikit mengamankan account bisa dibaca pada link berikut:
http://www.facebook.com/security
Pada link tersebut dibahas mengenai isu keamanan di Facebook. Beberapa hal yang disampaikan antara lain:
1. Waspadai pesan yang mencurigakan seperti pesan untuk melihat suatu video, gambar atau lainnya yang dihubungkan ke situs lain.
2. Account yang terkena spam bisa mengirimkan ke jaringan temannya, apabila ini terjadi jangan di klik pada pesan tau link tersebut, beritahukan si pengirim dan beri tau jaringan teman.
3. Menscan komputer pengguna sangat bermanfaat untuk mengantisipasi serangan, di link tersebut terdapat beberapa sumber virus scan dari web antivirus ataupun dari OS.
Kebiasaan pengguna untuk selalu waspada dan melaporkan setiap email yang mencurigakan akan sangat membantu untuk menjaga keamanan jaringan social ini. Penggunaan password dengan kombinasi huruf angka dan special karakter akan membantu memperkuat keamanan account.
4. Jangan pernah tampilkan tanggal lahir anda dan email anda di situs jaringan sosial semacam ini. Account kita bisa diambil oleh orang yang tidak bertanggung-jawab dengan sangat mudah.
5. Manfaatkan fitur keamanan yang ada di facebook semaksimal mungkin. Pelajari setting account anda dengan teliti
6. Gunakan password yang berbeda untuk setiap account yang kita miliki. Untuk meningkatkan keamanan sebaiknya password merupakan kombinasi huruf, angka dan spesial karakter.
7. Jangan pernah gunakan kartu kredit anda dalam jaringan seperti ini semisal membeli gift atau lainnya.
8. Cara yang paling aman untuk bermain facebook adalah dengan membuat semua private dulu baru dibuka satu-satu sesuai kebutuhan.

Sumber
http://www.facebook.com/security

Written by dhidikp

February 8, 2009 at 11:17 am