Membuat Web dengan Otentikasi berbasis Token

Pada artikel sebelumnya saya sudah menjelaskan cukup detil tentang cara kerja token yang dipakai pada internet banking. Artikel tersebut hanya menjelaskan sebatas teoretis saja, saya pikir akan lebih baik bila ada prakteknya. Oleh karena itu, seperti yang sudah saya janjikan, kali ini saya akan membuat sebuah contoh sederhana website dengan otentikasi yang menggunakan token seperti pada situs internet banking. Aplikasi token yang saya buat ini dikembangkan dari aplikasi yang bernama Mobile-OTP, dari aplikasi itu saya tambahkan beberapa fitur agar mirip dengan token yang dipakai di internet banking. Sedangkan aplikasi server/website saya harus membuat sendiri dari awal karena tidak tersedia di Internet.

Continue reading

Memahami Cara Kerja Token Internet Banking

photo by:hendriadi.wordpress.com

photo:hendriadi.wordpress.com

Penggunaan token berupa alat kecil semacam kalkulator untuk mengamankan transaksi internet banking kini sudah menjadi hal yang wajib. Token ini menjadi faktor tambahan dalam otentikasi yaitu untuk membuktikan bahwa anda adalah benar-benar pengguna yang sah. Mungkin ada yang bertanya-tanya bagaimana cara kerja token seperti yang dipakai situs internet banking? Bagaimana alat kecil seperti kalkulator itu bisa menghasilkan angka yang juga diketahui oleh server internet banking, padahal alat itu tidak terbubung dengan server. Dalam artikel ini saya akan menjelaskan cara kerja token internet banking, dan dalam artikel berikutnya saya akan membuat token berbasis software dan website sederhana yang akan mensimulasikan internet banking.

Continue reading

Membajak Session Https PermataNet

courtesy of permatanet.com

courtesy of permatanet.com

Hah? Apa nggak salah nih. Https kan secure, mana mungkin bisa dibajak.  Benar, tidak ada yang salah kok. Kalau anda sudah membaca dua artikel saya sebelumnya, understanding https dan session hijacking basics , anda akan mengerti bahwa dalam sebuah koneksi https tidak mungkin dibajak. Namun dengan trik yang akan saya jelaskan ini kita akan bisa membajak session https.

Continue reading

Trusted and Untrusted klikBCA

Kalau anda tanyakan pada nasabah bca, apa alamat internet banking bca. Pasti jawabannya adalah klikbca.com. Padahal yang benar bukan itu, yang benar adalah ibank.klikbca.com, bukan www.klikbca.com atau klikbca.com saja. Kelihatannya sepele, tapi ada konsekuensi security di sini. Web yang dilindungi dengan https (trusted) hanya ibank.klikbca.com, sedangkan www.klikbca.com tidak (untrusted).

Continue reading