Pengamanan Akses Login dalam Visual Studio

By: ozy bebas - In: - 0 komentar

Sudah bukan merupakan rahasia lagi bahwa suatu aplikasi memerlukan pengamanan untuk User dan Password yang digunakan. Rahasia yang mungkin belum diketahui adalah, bagaimana password tersebut bisa dijaga dan disimpan dengan aman.
Password sebaiknya tidak disimpan dalam database sebagai string, sebaiknya, diubah ke suatu nilai yang tidak mudah dikenali dan unik. Nilai seperti ini disebut hash. Algoritma hashing diberikan agar setiap string yang di hash ke dalam nilai yang unik akan selalu berbentuk hash.

keamanan login visualstudioKetika user memberikan suatu password, password tersebut sebaiknya di hash ke nilai yang unik, dan nilai unik tersebut yang sebaiknya disimpan dalam database. Ketika user login dengan menggunakan password, password tersebut bisa di hash kembali menggunakan algoritma yang sama, Nilai hasilnya bisa dibandingkan dengan nilai hash yang tersimpan dalam database untuk validasi login.

Nilai yang telah di hash tidak bisa di un-hash, jadi tidak ada cara untuk memperoleh password asli dari nilai yang sudah di hash. Cara ini memberikan level keamanan tambahan, karena, jika seseorang mengambil password yang telah di hash dari database, password tersebut tidak bisa diubah kembali ke format aslinya. Resikonya adalah, jika user lupa dengan passwordnya, password baru akan diberikan.

Library System.Security.Cryptography dalam Framework .NET menyediakan beberapa class yang menyediakan hash. Dua buah skema hashing yang disediakan dalam library ini adalah:

1. MD5 : Message Digest 5 (MD5). Menggunakan algoritma MD5 untuk meng-hash suatu nilai, seperti password. Algoritma ini memberikan performa yang baik dibandingkan dengan SHA1.
2. SHA1: Secure Hash Algorithm-1 (SHA1). Menggunakan algoritma SHA1 untuk meng-hash suatu nilai, seperti password. Algoritma ini memberikan keamanan data yang lebih baik dibandingkan dengan MD5.

Suatu password, contoh : “password” akan memiliki hash yang akan terlihat seperti: W6ph5Mm5Pz8GgiULbPgzG37mj9g=.
Kode berikut menggunakan algoritma SHA1 untuk meng-hash suatu password:
Dalam VB:

view plaincopy to clipboardprint?
  1. Imports System.Security.Cryptography  
  2. Public Function ComputeHash(ByVal textToHash As StringAs String  
  3.     Dim SHA1 As SHA1CryptoServiceProvider = New SHA1CryptoServiceProvider  
  4.     Dim byteValue As Byte() = System.Text.Encoding.UTF8.GetBytes(textToHash)  
  5.     Dim byteHash As Byte() = SHA1.ComputeHash(byteValue)  
  6.     SHA1.Clear()  
  7.     Return Convert.ToBase64String(byteHash)  
  8. End Function  
Dalam C#:
view plaincopy to clipboardprint?
  1. using System.Security.Cryptography;  
  2. public static String ComputeHash(string textToHash)  
  3. {  
  4.     SHA1CryptoServiceProvider SHA1 = new SHA1CryptoServiceProvider();  
  5.     byte[] byteValue = System.Text.Encoding.UTF8.GetBytes(textToHash);  
  6.     byte[] byteHash = SHA1.ComputeHash(byteValue);  
  7.     SHA1.Clear();  
  8.     return Convert.ToBase64String(byteHash);  
  9. }  
Kita bisa menggunakan kode di atas pada setiap aplikasi untuk menyimpan suatu password atau informasi penting lainnya.
Tetapi meng-hash password tidak bisa melindungi aplikasi dari suatu Dictionary Attack. Untuk menambah keamanan, salt password tersebut,

Salting password

Password yang telah di-hash memberikan keamanan yang lebih baik daripada menyimpan password dalam database sebagai text. Hash – masih memiliki kelemahan bila diserang menggunakan Dictionary Attack. Dengan menggunakan Dictionary Attack, cracker berusaha menebak password dengan menggunakan software untuk mencari pola hash yang sama dari semua kata dalam kamus kata yang disiapkan dan membandingkan nilai hash yang didapat dengan nilai hash yang terdapat dalam database.
Untuk mempersulit kerja para cracker tersebut, kita bisa menambahkan beberapa byte acak pada awal dan/atau akhir dari password sebelum melakukan proses hashing dan penyimpanan. Byte acak tersebut disebut salt. Kemudian kita bisa menyimpan nilai salt ini ke dalam tabel bersamaan dengan password.
Dalam VB:
view plaincopy to clipboardprint?
  1. Public Function ComputeSalt() As String  
  2.     Dim GuidValue As System.Guid = System.Guid.NewGuid()  
  3.     Return GuidValue.ToString()  
  4. End Function  
Dalam C#:
view plaincopy to clipboardprint?
  1. public static String ComputeSalt()  
  2. {  
  3.     System.Guid GuidValue = System.Guid.NewGuid();  
  4.     return GuidValue.ToString();  
  5. }  
Dengan menggunakan 2 teknik hash dan salt, kita bisa meminimalisir kemungkinan akses ilegal ke dalam aplikasi kita.

Validasi Login

Kode-kode pada bagian berikut akan mencoba menyatukan semua konsep di atas untuk mendemonstrasikan suatu method ValidasiLogin. Method ini menggunakan teknik salt dan hash seperti yang telah dijelaskan sebelumnya.
Dalam VB:
view plaincopy to clipboardprint?
  1. Public Function ValidasiLogin(ByVal sUserName As String, _  
  2.    ByVal sPassword As StringAs Boolean  
  3.     Dim dsUser As New DataSet  
  4.     If sUserName.Length = 0 OrElse sPassword.Length = 0 Then  
  5.      Throw New ArgumentOutOfRangeException("Username dan Password diperlukan.")  
  6.     End If  
  7.     dsUser = Me.Retrieve(sUserName)   
  8.   
  9.     ' Jika User tidak ditemukan, tampilkan pesan error  
  10.     If dsUser Is Nothing _  
  11.        OrElse dsUser.Tables(TN_USER) Is Nothing _  
  12.        OrElse dsUser.Tables(TN_USER).Rows.Count = 0 Then  
  13.         Throw New UsernameNotFoundException("Invalid Username")  
  14.     End If   
  15.   
  16.     ' Jika User ditemukan, lanjutkan dengan validasi password  
  17.     ' Suatu nilai hash dari gabungan salt dan password yang dimasukkan.  
  18.     With dsUser.Tables(TN_USER).Rows(0)  
  19.       Dim sPasswordEncoded As String = CType(.Item(FN_PASSWORD_ENCODED), String)  
  20.       Dim sPasswordSalt As String = CType(.Item(FN_PASSWORD_SALT), String)  
  21.       Dim sPasswordHash As String = SecurityUtility.ComputeHash(sPasswordSalt & _  
  22.                                                                      sPassword)  
  23.       ' apakah nilai hash yang didapat sesuai dengan nilai hash dalam database?  
  24.       If String.Compare(sPasswordEncoded, sPasswordHash) <> 0 Then  
  25.           Throw New PasswordInvalidException("Invalid Password")  
  26.       End If   
  27.   
  28.       Return True  
  29.     End Function  
Dalam C#:
view plaincopy to clipboardprint?
  1. public bool ValidasiLogin(string sUserName, string sPassword)  
  2. {  
  3.     DataSet dsUser;  
  4.     if (sUserName.Length == 0 || sPassword.Length == 0)  
  5.     {  
  6.     throw new ArgumentOutOfRangeException("Username dan Password diperlukan.");  
  7.     }  
  8.     dsUser = this.Retrieve(sUserName);   
  9.   
  10.     // Jika User tidak ditemukan, tampilkan pesan error  
  11.     if (dsUser == null || dsUser.Tables[TN_USER] == null  
  12.        || dsUser.Tables[TN_USER].Rows.Count == 0)  
  13.     {  
  14.        throw new UsernameNotFoundException("Invalid Username");  
  15.     }   
  16.   
  17.    DataRow dr =  dsUser.Tables[TN_USER].Rows[0];  
  18.    string sPasswordEncoded  = dr[FN_PASSWORD_ENCODED].ToString();  
  19.    string sPasswordSalt = dr[FN_PASSWORD_SALT].ToString();  
  20.    string sPasswordHash = SecurityUtility.ComputeHash(sPasswordSalt +  
  21.                                                            sPassword);   
  22.   
  23.    if (String.Compare(sPasswordEncoded, sPasswordHash) != 0)  
  24.     {  
  25.        throw new PasswordInvalidException("Invalid Password");  
  26.     }   
  27.   
  28.     return true;  
  29. }  
NB: PasswordInvalidException dan UsernameNotFoundException merupakan developer-defined Exception.
Method ini mengambil nilai password dan username yang dimasukkan sebagai parameter, Jika parameter kosong, kode akan menampilkan pesan kesalahan. Username kemudian akan diteruskan ke method Retrieve, yang akan menerima dataset dari database yang memiliki data mengenai user yang sedang login. Kode akan memberi pesan kesalahan jika dataset kosong.
Salt diterima dari dataset dan ditambahkan ke password yang dimasukkan oleh user. Hasilnya diteruskan ke method ComputeHash untuk menghitung nilai hash. Dari hasil tersebut kemudian akan dibandingkan dengan nilai hash yang diterima dari dalam dataset. Kode akan memberi pesan kesalahan jika kedua nilai hash tidak sesuai.
Finally, Anda bisa menggunakan cara ini sebagai pattern dalam validasi login aplikasi Anda untuk menjaga dan membatasi akses-akses ilegal ke dalam aplikasi Anda.
Ada tambahan?

About the author

author Admin

Duis sed tellus et tortor vestibulum gravida. Praesent elementum elit at tellus. Curabitur metus ipsum, luctus eu, malesuada ut, tincidunt sed, diam. Donec quis mi sed magna hendrerit accumsan.

0 komentar:

Langganan: Posting Komentar (Atom)

Copyright © 2013 ozybebas and Templates

Back to Top