Interaksi Manusia dan Komputer dalam Sudut Pandang Sistem Keamanan Raymond Maulany, Gracie Rekasari Sagala, Vera Maeka Fakultas Teknologi Informasi - UIIAI
Abstrak ini semakin luas seUap hari seiring dengan perkembangan teknologi informasi dan komunikasi. Namun perkembangan ini Penggunaan komputer saat
memunculkan permasalahan yang semakin besar dilihat dari sisi keamanan sistem. lGrenanya perangkat-perangkat yang dikembangkan harus memperhatikan aspek kemananan. Aspek keamanan yang ditambahkan pada sistem seringkali menyebabkan harus mengorbankan kenyamanan pengguna dalam konteks interaKi komputer dengan manusia.
Penelitian
ini
mencoba untuk mengkaji bagaimana mendesain sebuah
antarmuka yang dapat mernenuhi aspek-aspek kemanan sistern namun juga tetap mengutamakan aspek kenyamanan pengguna.
Human Computer Interaction in Prespective of Security Systems Abstract Use of computer every day more and more widely in line with developments
iirfffiiontffihnri@ryad,mmmnlisitiom. HtDtElEF,ttli6,**@nrcntiffi tban 'ff :rumrrqfiy ibqe pni6&m irn iEnm mf mEm ffirrih/. itturre tflte e*im fu@
- ts. muriW Wt i*s;;di*d tb ttte i$SHcm
[email protected]€ffirrrEoT:-rmesrinltfc,ortbstt,.Sf t'hunEniftEmttion :lbrdhfdl mlst rcnBiiEr mHiW
.'vrithmnrgrEm. This study tried to examine how to design an interface that can meet the system security aspects but also keeping the aspect of user convenience.
Pendahuluan Dalam sejarah perkembangannya, kearnanan komputer berakar dari bidang kemiliteran yang struKur dan aturan normanya diharapkan untuk dituruti (Adam & Sasse, 1999). Penting bagi ahli teknis untuk mengatur kebanyakan tool keamanan memperhatikan waKu dimana keamanan merupakan urusan dari sistem administrator yang terlatih dan pengguna yang exrett Sejumlah besar nominal uang dan orangorang ahli diinvestasikan perusahaan dan istitusi untuk membangun dan membiayai sebuah infrastrutur keamanan yang sangat kuat. Bagaimanapun, dalam banyak kasus, tingkah laku manusia merupakan pemicu terjadinya penerobosan keamanan dibanding
Interaksi Manusia dan Komputer dalam Sudut Pandang Sistem Keamanan
Penyelidikan dari dua studi itu disimpulkan dalam beberapa kategori berikuE persepsi keamanan, persepsi ancaman, perilaku terhadap masalah keamanan, dan konteks sosial mengenai keamanan. Persepsi keamanan sangat tidak akurat. Mekanisrne keamanan sering dianggap alat rnenyediakan perlindungan menyeluruh terhadap ancaman, tanpa adanya pengebhuan yang detil tentang cakupan perlindungan yang sebenarnya. Karena itu, tool-tool teftentu dianggap lemah, sebagaimana tidak dapat memberikan perlindungan menyeluruh. Pada kasus lain, pengguna malah mettrsa arnan dengan
tool yang tidak tepat sasaran dan akibatnya tetap berada dalam kondisi tidak terlindungi (contoh firewall melindungi dari virus e-mail). Persepsi ancaman juga mempunyai kesalahpahaman konsep. Ticlak ada dari pengguna yang diteliti benar-benar menyadari posisinya yang rawan dan dapat dengan mudah terkena serangan. Sebagai korban yang potensial, pengguna lain dalam organisasi atau dari organisasi lain diidentifikasi, seperti orang-orang yang mempunyai kedudukan sebagai pimpinan, rnereka yang memiliki informasi berharga, atau instjtusi berlevel tinggi. Hanya sebagian dari mereka menyadari fakta bahwa meski bukan target utama, mereka dapat menjadi batu loncatan dalam serangan. Perilaku pengguna pada umumnya mengnnggap tidak ada orang yang dapat berbuat macam-macam dengan informasi yang ada dalam komputer saya atau dengan e-mail
sya.
Potensi penyerang pada umumnya adalah hacker atau para perxggemar komputer dengan tujuan yang tidak spesifik, hanya untuk bersenang-senang. Terkesan buruk dan mengganggu namun tidak membahayakan; contohnya vandals (para perusak), spmmerc, dan ma*eterc (para pemasar) yang dianggap ancaman terbesar, di samping itu terdapat juga penyerang yang diketahui sebagai penyerang berbahaya sepefti kriminalyang pada umumnya menyerang sistem online banking. Perilaku atas teknologi keamanan yang juga lebih tidak dapat melindungi.
Beberapa studi melaporkan tiga tipe utama perilaku terhadap keamanan, yaitu fundamental privasi, pragmatis privasi, dan tidak @uli (Ackerman et al., 1999). Pengalaman pengguna sangat menentukan dan menganggap keamanan sebagai halangan dan mencoba untuk mempraktekkan aksi pengelakkan untuk mencapai tujuan. Weirich dan Sasse (2001) melaporkan bahwa tidak ada pengguna yang benarbenar menuruti aturan yang ada, lebih mengandalkan keyakinan bahwa mereka dapat melakukan yang terbaik terhadap keamanan.
Sebagai tambahan, tindakan user sering bertentangan
dengn
teknologi
keamanan. Orang-orang menggunakan pernyataan legal pada fmter e-mail mereka atau menggunakan email terenkipsi, tidak memberikan informasi yang eksplisit tapi menggunakan syarat dalam bentuk teks sebagi gantinya. Sehubungan dengan metode.metode tambahan dan kenyataan mereka seringkali berbicara melalui telepon mengenai hal-hal yang penting (Grinter & Palen, 2002) mengindikasikan persepsi yang buruk mengenai teknologi keamanan.
lumal TeIlG, Volunre 2, Nomor 2, Desernber 2009
Kegagalan dilaporkan sebagai reaksi dari kebutuhan mekanisme peningkatan keamanan yang dilakukan secaftt terus menerus dalam usaha untuk berubah yang sulit dilakukan. Hasilnya, pertanggungiawaban yang rendah dan kepercayaan akan menghilang karena kegagalan tersebut. Pandangan masyarakat dilaporkan memiliki peran penUng dalam keamanan harian, sebagaimana user tidak selalu waspada dan sensitif akan ancaman yang mungkin terjadi melainkan hanya memusatkan pikiran pacla penyelesaian pekerlaan mereka. l(arena itu, tidak heran pekerjaan keamanan diberikan kepada sistem, Eman kerja yang dipercaya, organisasi yang mengerti keamanan. Kebanyakan orang sangat mempercayai infrastuKur keamanan perusahaan mereka. Penyerahan kepercayaan ini membuyarkan fokus pengguna dan tidak lagi menjadikan keamanan sebagai satu dari prosedur kerja.
Saat tidak ada petunjuk yang jelas, pengguna menggunakan pemikirannya sendiri dengan opini orang lain, menjadikan sistem mereka menjadi rawan dalam metode engineering sosial (Mitnick, Simon, & Momiak, 2002). Dalam beberapa kasus, kolaborasi menjadikan itu mungkin dan kesempatan untuk membuka pasword orang lain, untuk alasan praktis, alasan teknis, atau sebagai hasil dari perilaku sosial dapat dilakukan semenjak anggapan membagi informasi rahasia adalah suatu tanda kepercayaan.
Dourish et al. (2003) menyimpulkan bahwa dimana penelitian keamanan difokuskan pada kapabilitas dan kesernpatan teori dan tekni( bagi pengguna mengerjakan pekerjaan sistem komputer, masalahnya adalah titik kebosanan (hal. 12). Penulis merekomendasikan peningkatan mekanisme sistem keamanan dan dalam konteks organisasi.
OtenUkasi l-angkah utama otentikasi adalah mengungkap apa yang diketahui, dimiliki, atau siapa subject sebenarnya. Lebih jauh, otentikasi berdasar pada apa yang dimiliki subject contohnya sebuah kunci. Kunci dapat membuka pintu dan memberikan akses untuk mobil, apartemen dan peti kayu di loteng. Kunci tidak sulit digunakan. Dalam dunia IT, sesuatu yang dikebahui orang tertentu seperti password atau nomor pin adalah mekanisme yang melonisme yang jelas. Alaes kfrusus ke dalam IT system dilindungi sebuah kata kunci dan keamanan bergantung pada kata kunci tersebut yang bisa saja clitebak pengguna lain, sedang menyingkirkan suatu teknik tertentu berarti karena hal tersebut bisa atau tidak bisa dirusak. Sebuah informasi teori lainnya menerangkan bahwa keseragaman dan
ketidakberurutan pemilihan urutan huruf dan simbol lainnya akan menghasilkan keamanan yang kuat. Bagaimanapun juga, urutan yang acak dari simbol-simbol yang tidak berhubungan sulit untuk diingat, sebuah relasi yang berakar pada kelemahan manusia.
Untuk mengatasinya, berbagai stm@i ditemukan untuk menyusun password yang dapat dengan mudah diingat manusia tanpa mengorbankan kerahasiaan kata
4
Interaksi Manusia dan Komputer dalam fudut PaMang Sistem Keamanan
kunci. Yan,
et al.,
(2000) memimpin sebuah studi yang terdiri atas 400
siswa
mengenai efek dari tiga bentuk penyusunan kata kunci. Mereka menemukan, dalam contoh, bahwa kata kunci berdasar frase yang talintas merupakan kata kunci yang mudah diingat, sedangkan kata kunci yang secara acak dipilih sulii tebak orang lain. Altematif lainnya yaitu kata kunci kognitif, penggabungan kata, penggunaan frase, gambar, atau pengpnalan wajah. Otentikasi di tempat publik, sepefti ATM telah berubah menjadi satu hal yang
mudah diserang, dimana penjahat mencoba mencari tahu nomor pin dengan menggunakan kamera atau metode observasi lain yang disebut penyerangan shoulder-
surving. Baru-baru ini, Rothm et al,. (2004) memberikan beberapa cara untuk mengatasi jenis penyenngan sholder-surving. Dalam pendekatan ini, tombol dari mesin ATM berwarna hitam atau putih, dan pengguna harus memutuskan nomor yang akan digunakan berwarna hitam atau putih. Sebagaimana warna berubah secara aca(
pengguna harus rnemasukkan nomor yang sama tiga atau empat kali untuk menyelesaikan sebuah proses input. Dengan penyamamn ini, pengguna aman dari pencurian pin lewat kamera. Meskipun demikian pendekatan ini lebih sulit dari pendekatan yang sudah ada, telah dibuktikan dan diterima pada pengguna yang berada dalam situasi pengujian.
Email Security Sebelum tahun 1970an, kiptografi dibangun seluruhnya pada simetrik cypher. Artinya, untuk membangun komunikasi encipher, sebuah kata kunci dibutuhkan pada dua pihak dalam jaringan yang aman. Salah saUJ cara yaitu mempunyai jalur yang dapat dipercaya dimana seseomng akan berkomunikasi dengan aman. Prosedur ini memiliki dua masalah penting, yaitu: pertukaran kata kunci an otentikasi tersembunyi dari pertukaran kata kunci. Sekali terbentuk, kata kunci dapat digunakan untuk melakukan komunikasi yang aman melawan serangan aKif dan pasif selama kata kunci dirahasiakan. Loren Kohnfelder (1978) menemukan sebuah sertifikat public key yaitu sebuah
public key dan sebuah identltas, bersama menjadi sebuah private key dari pembuat key dimana pihak-pihak yang terlibat dapat dipercaya. Ide ini mengangkat ide dari infrastuKur public key . Beberapa model yang ada dari infrastruktur public key adalah model OpenGPG Web dari Trust (Rrc2440) dan peningkatan kompleksitas ITU Recomendation X.509-berdasar abs model (RFC 3280) (Davis, 1996; Ellison, 1996, 1997; Ellison & Schneier, 2000).
Dalam aplikasi seperi surat eleKronik, membangun sertifikasi keamanan, penukaran kunci dan pengaturan kunci account sebagai hal uEama dari intraksi dan keputusan yang dapat diganggu dengn tugas yang mengacu pada hasil dari seorang pengguna dan pengguna memiliki kesulitan dalam mengerti. Pada waktu yang sama, kebanyakan pengguna hanya mengerti konsep dan model yang terpercaya (Davis, 1995) dan sebuah persepi yang lemah dari ancaman. Hasilnya, mereka menghindar dan mengoperate dengan tidak benar software keamanan (Whitten & Tygar, 1999).
Jumal TeIKa, Volurne 2, Nomor 2, Desember 2009
Pada pendekabn yang aman, fungsi keamanan dapat dikelompokkan dalam tahapan peningkatan kompleitas. Seorang pengguna dapat memulai dari tahap paling bawah dan bergerak naik ke tahap di atasnya. Pendekatan ini diajukan oleh Whitten &
Tygar (2003), yang pertama merrcliti kegunaan dari keamanan mail dengan menganalisa performa pengguna saat menggunakan PGP (Whitten & Tygar, 1999).
Keamanan Sistem Perkembangan komputer dari single user ke mulu user membuat sistem menjadi multi user time sharing, yang mengacu pada penggunaan sumber-sumber dalam komputer bersama clan pada waKu yang sama mengontrol penyimpanan data dan arus informasi dalam sistem. Pendekatan untuk mengatasi hal ini adlaah dengan membuat softnare supervisor yang disebut jugn monitor (Anderson, L972), yang mengatur semua keamanan semua hubungan yang terdapat dalam sistem. Kecepatan penyebaran sofuflare di Internet, yang tidak semuanya dapat dipastikan keasliannya dan penyebaran malware yang jumlahnya sangat banyak yang menyerang kelemahan sistem keamanan dan pemrograman yang eror membawa pada situasi dimana keamanan tidak lagi dapat menanggulangi anclman. Daripada membedakan daerah pengguna, aplikasi harus dibeda-bedakan. Sebuat cacat dari web browser ticlak diperbolehkan memiliki akses ke data yang potensial seperti email client dari user atau pemroses kata. Walaupun separasi sedemikian boleh tersedia, software malicious bisa menipu pengguna dengan komponen intedace. Dimana tampilan dan respons yang diberikan sama dengan 1rang asli yang bisa juga berupa login rreen atau window. Salah satu pemecahan masalah ini adalah dengan menandari window yang asli sehingga bisa di kelompokkan dengan aplikasi awal. Salah satu contoh dari peneliUan sistem windowing
yang dirancang untuk ancaman tersebut adalah EROS Trusted Window System (Shapiro, Vanderburgh, Northup, & Chizmadia, 2003).
Future Trends Mobile computing dan pelayanan rnendesak atas ancarnan tergabung dalam satu pelayanan baru dan kuat yang menjanjikan system yang aman dan lebih mudah digunakan. Data terkonteks akan menolong pergguna mengonfigurasi dan mernilih pelayanan yang dibutuhkan pengguna dan dapat mendukung denpn sangat baik.
Radio Frequency Identification Transmitter (RnD) telah didiskusikan dengan
mematuhi implikasinya terhadap privacy. Tentunya, kesadaran seseoritng adalah kekurangamanan bagi privasi orang lain. Di masa yang mendatang, pengembangan dari konsep keamanan kepada konsepnya atau sebaliknya adalah tantangan terbesar untuk teknisi keamanan dan penelitian human-computer interaction (Ackerman, Darell
& Weitzner, 2001). Untuk menyelesaikan tugas ini yang terlihat begitu penting untuk masa depan dan untuk kesempatan dari teknologi tertentu tanpa keamanan akan menjad ikannya'provacy Chemobyl " (Ag re, 1999).
6
Interaksi Manusia dan Komputer dalam Sudut Pandang gstem lcamanan
Kesimpulan Pandangan pengguna mengenai hubungan yang paling lemah dan bahaya keamanan yang potensial pada akhirnya telah menjadikannya sebuah model yang usang. Teknisi keamanan dan mungkin juga orang-orang lainnya yang bertanggung
jawab untuk keamanan IT menyadari bahwa pekerjaan bukan untuk melawan pengguna tapi bekerja dengan dan untuk pengguna. Selama tahun-tahun terakhir, jumlah penelitian mengenai kegunaan keamanan meningkat. Artikel ini memberikan sebuah pandangan dari sebagian pekerjaan yang telah selesai dikefiakan. Untuk membuat teknologi informasi menjadi suatu hal yang dapat dikatakan aman, pengguna harus dijadikan pusat penelitian. lGrena itu, memahami hal-hal yang dibutuhkan pengguna dan mengidentifikasi kegagalan teknologi untuk memahami pengguna menjali hal yang utama yang harus diselesaikan. Bagian peftama dari artikel ini menyimpulkan pekerjaan dari Dourish, Weirich, dan Sasse yang menyediakan informasi terdalam. Tapi banyak pekerjaan yang masih harus diselesaikan.
Teknologi masa depan akan membangun lebih dari sekadar integrasi dan membagi sumber yang berbeda dari informasi dan pelayanan. Tendensi dari distribusi dan informasi infrastuKur lokasi akan menghasilkan masalah kmmanan lainnya. Merasa aman adalah hal yang penting untuk diterima. Keberhasilan dari sistem masa depan juga tergpntung pada rasa aman pengguna dalam menyebarkan informasi dan menggunakan sistem yang terdistribusi, yang telah ditunjukkan dalam tahap pertama dari s.commerce. lGrena itu, membuat keamanan menjadi hal yang berguna adalah suafu aspek yang membuat keamanan menjadi aman.
Daftar Pustaka Ackerman, M. S., & Cranor, L. (1999) Privacy Critics: UI Components to Safeguard Users' Privacy. Prudings of the ACM SIrcHI Conference on Human Factors in Computing Systems, Pittsburgh, Pennsylvania. Ackerman, M. S., Darell, T., & Weitzner, D. (2001). Privacy Computer Interaction, I q2), L67 -t7 6.
in Context. Human-
Anderson, J. P. (t972). Computer tuurity Tehnology Planning Study (No. ESDTR73-51). Bedford, MA: AFSC. Brostoff, S., & Sasse, M. A. (2000). Are Passfaces More Usable Than Passwords? A Field Trial Investigation. In S. McDonald, Y. Waern, & G. CocKon (Eds.), People and computers XlV-usability or Elsr,l Prudings ot HCI 2004 Sunderland, UK.
Diaper, D.,
& Neville A, Stanton, N. A., (2004) The Handbook of Task Analysis for
Human-Computer Interaction. Dourish, P., Grinter, R. E,, Dalal, B., Delgado de la Flor, J., & Dalal, M. (2003). hy-to-My: Ufir Strategies for Managing fuuity as an Everyday,
Saung Pnctial
Jumal TeIlG, Voiume 2, Nomor 2, D€sember 2009
Problern (ISR Technical Report No. UCI-ISR-05-5). Irvine: University of Califomia. Ellison, C., & Schneier, B. (2000). Ten Risks of PKI: What You're Not Being Told About Public Key Infrastructure. Computer fuuity Joumal, 15 (L), t'7.
Kohnfelder, L. M. (1978). Towatds a Practical Public-key Crrytosystem [B.S. Thesis]. Cambridge, MA: MIT.
Smith, S. L. (1987). Authenticating Users by Word Association. Computes &
6
fuurity,
