jadi judulnya spt : Authentication, Authorization, and Access Control using GPS/HP technology
(AAA using GPS tech)
1. bisakah bro membandingkan AAA using GPS dgn sejenis BCA key atau sejenis onLine Bussiness (spt Amazon) ?
2. karna menurut gw AAAuGPS selain merepotkan, belum tentu aman (aktivitas terpantau pd server perusahaan telephone)! dam bagaimana kalau HP tsb kecuri (sim card tercopy) ?
3. bisakan beri gambaran chronological/process lebih detail, sewaktu user menggunakan sistem anda ?
4. kalau HP tidak berGPS, gimana server bisa tau posisi (GPS location) dari HP tsb secara akurat ? apakah hanya mengandalkan nomor menara BTS terdekat/terakhir yg menerima signal HP tsb ?
mohon masukannya....
Namo Buddhaya.
Saya coba menjawab pertanyaan bro Johan3000
1. Aplikasi yang dipasang di HP untuk proses log in pertama akan ditambah teknik enkripsi, baik melalui jalurnya dan datanya sendiri. Perbedaan dengan keyBCA adalah : Apakah bro yakin tidak ada keyBca yang sama di dunia ini ? atau staff-staff IT di BCA tidak memiliki keyBCA yang diterima semua account ?. Bagaimana kalau keyBCA hilang, cukup repot karena harus mengurus di BCA nya langsung, bagaimana kalau sedang di luar negeri ?
* saya pernah membalas "System yang di design ini dirancang bukan untuk pengguna aplikasi umum seperti email yahoo facebook, google+, banking, etc" termasuk online business. Karena disamping alasan privacy, juga sedikit merepotkan karena harus membawa satu dongle khusus (GPS) dan handphone apabila ingin log-in. Tapi hal ini bisa diatasi dari kebijakan perusahaan dimana karyawan bekerja.
2. Di dalam IT, tidak ada yang benar-benar 100% aman, kecuali perangkatnya dimatikan. Aktivitas internet kita juga bisa jadi dimonitor oleh perusahaan internet (ISP). Sekali lagi, system ini dirancang untuk "menambah" tingkat keamaanan dan saya tidak pernah mengatakan "pasti paling aman", saya cenderung mengatakan "lebih menyulitkan para hacker untuk melakukan hacking" karena selain password, hacker juga perlu handphone dan dongle GPS pengguna yang tepat.
Untuk mencegah monitoring secara langsung tersebut, perlu ditambahkan teknik enkripsi di dalam aktivitas transaksi data.
perihal HP kecuri dan simcard tercopy merupakan hal yang lain yang tidak dibahas dalam penelitian saya. Anggap saja begini "resiko sebuah mobil dipasang kunci adalah, kuncinya bisa diduplikat" dengan asumsi ini apa artinya, kita tidak boleh membiarkan sopir atau temang menggunakan mobil kita dilengkapai dengan kunci ? kalau gitu gimana makenya ? atau bahkan lebih extreme lagi sekalian saja mobilnya gak perlu kunci, hehe.
Ada mobil yang menggunakan sidik jari, ada juga yang jari pemilik mobilnya dipotong sewaktu rampok menggasak mobil pengguna.
3. Jadi prosesnya seperti ini :
sewaktu user ingin log in ke dalam sistem, user harus konfimasi dulu via handphone (aplikasi yang diinstal di dalam handphone, bukan SMS). setelah itu user baru bisa log in melalui laptop or pc nya (menggunakan user ID, password dan dongle GPS) untuk pencatatan lokasi GPS.
4. Lokasi user ditentukan melalui dongle khusus (GPS) yag ditancapkan melalui port USB. Tidak menutup kemungkinan, apabila user menggunakan handphone yang dilengkapi GPS, server akan membandingkan lokasi GPS dari handphone dengan lokasi dongle GPS. Apabila jaraknya berjauhan, pasti ada yang janggal (fitur ini optional).
*note :
"j3k: kalau gw boleh ngomong, hal2 tsb diatas adalah utk membuat pengunjung merasa aman aja, sedangkan dari sisi security..adalah harus dipertanyakan....hahhaa..."
Setidak-tidaknya hal ini membantu mengurangi resiko. tetapi tidak dikatakan 100% dapat menghilangkan resiko, bagaimana kalau bahan2 peledak dimasukkan menggunakan beberapa mobil, dan akhirnya dirakit di parkiran ?
"j3k:semua transaksi sms pemakai handphone juga tersimpan dalam servernya perusahaan telephone, nahhh bagaimana keamanan tentang hal ini ? bagaimana kalau ada orang dlm yg membocorkan message2 tersimpan tsb ? atau bahkan membocorkan LIVE ? menduplicate kartu SIM dst, dst ? apakah ini juga aman ? bagaimana dgn hal penyadapan handphone ? bagaimana juga dgn keamanan handphone sendiri dlm hal pengiriman/penerimaan SMS apakah udah cukup aman ? karna signal2 itu berterbangan di udara juga....yg dpt disadap oleh siapa juga"
kalau ini sudah kejahatan terorganisasi, terencana dan skala besar. Tergantung iman dari staff IT di perusahaan telekomunikasi, haha.
Seperti yang saya tulis di atas, tidak ada yang 100% aman di dalam IT, kecuali perankatnya dimatikan, offline saja masih tidak aman (server linux memungkinkan admin atau user untuk mereset password root / admin dengan menggunakan CD installer), makanya kenapa ruangan server perlu dikasih access control.
sekali lagi saya memang tidak menjamin 100% system akan aman selamanya, pasti ada cara untuk membobol system secara ilegal, hal inilah yang memunculkan riset-riset berikutnya, bukan malah membuat kita menyerah karena hal-hal tersebut.
* Sebagai tambahan, 2 hari ini saya ikut international conference dan mendapatkan informasi baru, bahwa teknologi hacking, bahkan ada yang merekam flashing lampu pada switch dan bahkan melihat pantulan tulisan yang dihasilkan dari bola mata (bisa ditangkap dari jarak 10-30 meter) menggunakan alat khusus.
yang ingin saya tekankan adalah, hal-hal semacam itu tidak dapat kita hindari (masa harus ngetik dengan mata tertutup?) hehehe.
Sekian dulu dan terima kasih
Salam metta
Yudy