Topic: [Newbie][Info][Dikusi] Otentikasi Biometrik (Read 782 times)

Ane ga tahu sih apps exchange dkk biasanya apa upload data fingerprint juga ke server atau cuma store it locally (kayaknya sih cuma nyimpen lokal di hape aja, nyatanya kalau install baru butuh aktifin lagi dan fingerprintnya bisa beda). Bisa dan tidaknya udah dijawab om abhi, but anyway, walaupun disimpan lokal ane rasa juga udah dienkripsi jadi ga data mentah terus di simpen di appdata gitu aja. Tadi baca sekilas dan kalau ane ga salah paham, di Android data-data sensitif kayak gini ada di trusted environment. Di device lain konsep"nya juga mirip".

Ref:
https://www.androidauthority.com/how-fingerprint-scanners-work-670934/
https://source.android.com/security/biometric/measure
https://source.android.com/security/biometric
https://source.android.com/security/trusty

Seharusnya bisa sih Gan ... Jadi mekanismenya menggabungkan sebuah salt dan informasi data biometric lalu melakukan hash function pada kombinasi tersebut. Lalu selanjutnya hash ini disimpan didalam database untuk keperluan verifikasi.

Fungsi salt diatas sebagai string khusus yang hanya diketahui oleh pemilik database, jadi seandainya saja pengguna biometric tersebut melakukan proses serupa pada layanan database lainnya, maka meskipun keduanya menggunakan hash function yang sama tetapi output hash yang dihasilkan akan berbeda (karena memiliki salt yang berbeda).

Bacaan menarik seputar biometric dan hash
https://www.genkey.com/wp-content/uploads/2016/11/GenKey-BIOHASH_final.pdf

Bicara mengenai hash dan salt terhadap penyimpanan data Otentikasi biometrik apakah bisa om? Setahu ane baru tentang enkripsi pasword berupa digit kombinasi pasword yang diubah menjadi sangat berbeda sekali dengan pasword digit asli.

Ya menurut ane ga mungkin exchange atau bisnis apapun yang nyetor hash penggunanya bakal membuat databasenya bisa dilacak dari jaringan internet. Paling banter intranet di kantor atau bahkan ga bisa diakses semua orang dan hanya orang tertentu aja yang bisa mengaksesnya. Bahkan yang lebih bagus ya pake hash dan salt yang ga memungkinkan data mentahnya diketahui.

Tapi misal ada trakcing ini bisa terexplore brrti ya om dan akan lebih mudah terlacak?
Kemudian saya membaca juga bahwa data biometrik ini dapat dikombinasikan menggunakan visual cryptograpy. Dimana nanti data hasil scan wajah, sidik jari dibagi menjadi beberapa bagian (share).  Kemudian dikembalikan lagi dengan menumpuknya kembali sesuai banyak share jika kurang dari maka tidak akan bisa terlihat. Dengan sistem ini sepertinya data biometrik akan lebih aman.

Referensi: Makalah Penggunaan Visual Cryptography dalam Autentikasi
Data Biometrik dan Pengamanan Penyimpanannya. Oleh: Muhammad Furqan Habibi, ITB

Data-data seperti itu juga biasanya dienkripsi, jadi kaluapun scan wajah, bukan berarti di database mereka ada indeks misalnya "Luzin" terus ada foto-foto agan. Kalau kayak gitu ya kebangetan banget lah pengamanan datanya. Kalaupun iya mungkin untuk pertama aja karena pegawainya butuh lihat langsung, setelah itu mereka pake hash dan machine learning untuk memverifikasi geleng" kepala agan di kesempatan berikutnya. Jadi ga perlu capek" juga tiap ada orang mau login ada yang mantengin komputer ngelihatin webcam orang untuk tahu itu orang geleng"nya bener apa engga.

Di sisi lain kalau agan make bitcoin dan bersentuhan dengan layanan / bisnis yang terdaftar di negara tertentu, mustahil kalau agan ga nyentuh KYC. Jadi ya jangan make layanan kayak gitu, atau make aja secara selektif dan sisanya tetep praktikkan apapun yang bisa melindungi privasi agan.

Kalau menurut argumen om ini privasi dan biometrik sepertinya ini agak bertentangan ya. Benar ada beberapa exchang yang mewajibkan kyc. Tapi beberapa exchange ini juga dihindari karena prifasi. Dan ini saya pikir mungkin menjadi salah satu kelemahan biometrik.  Karena menurut pemahaman saya dengan biometrik scan misal melalui wajah maka wajah nya akan terekam maka sedikit prifasi sudah pasti berkurang.

Mungkin yang jadi permasalahan utamanya berkaitan dengan perangkat yang digunakan oleh para pengguna (exchange). Karena pada dasarnya Biometric authentication membutuhkan spesifikasi hardware yang memang dipergunakan untuk hal itu, maka tidak semua perangkat bisa langsung digunakan (contohnya : PC, HP/Laptop generasi lama), dan mungkin juga prosentase pengguna yang memakai perangkat (support Biometric authentication) jumlahnya masih sedikit.

Bisa jadi dengan pertimbangan kondisi diatas, maka pihak exchange tidak terlalu terfokus untuk menggunakan Biometric authentication sebagai opsi 2FA tambahan.

Kalau tidak ada data yang pasti (hasil riset percobaan) tentu akan sulit untuk memverifikasinya gan, yang mungkin bisa dilakukan hanya nebak-nebak aja vektor serangan yang bakal dipake kayak gimana, seperti yang disebutin beberapa sama agan farul di atas.

Pada prinsipnya biometrik bisa dijebol kalau ada orang yang bisa 'menggandakan' data biologis yang agan punya (diluar hack server dkk) yang bisa dilakukan lewat banyak cara. Phishing, datengin rumah agan terus make cairan khusus untuk nyari sidik jari dst. Vektor serangan 2FA juga agak mirip-mirip tapi prinsipnya selama agan ga nginput seed dan ngirim kode" sembarangan, kemungkinan tembusnya juga bakal lebih kecil.

Di sisi lain, sebenarnya sekarang pun kasus jebol 2FA juga ga banyak, yang banyak adalah orang kena phishing. Dan kalaupun biometrik mau dipake, ane rasa kode" 2FA juga bakal dipakai (atau minimal disediakan sebagai opsi). Kehadiran biometrik tidak harus menghilangkan 2FA karena dalam hal ini bisa dipake barengan.

1. Sidik Jari Mungkin Bisa Dipalsukan, Jadi Mungkin Ini Merupakan Salah Satu Cara Yang Tidak Aman; Suara, Wajah Juga Begitu; AFAIK, Yang Paling "Secure" Dari Semua Biometrik Sih Pake Identifikasi Retina. Tapi Katanya Sih Teknologi Facial Recognition Zaman Sekarang Sudah Bisa Membedakan Orang Kembar Identik, Dan Gak Bisa Di"Cheat" Pake Foto Orang, Facial Recognition Juga Lebih Praktis, Kemungkinannya Ini Yang Bakal Populer. Atau Mungkin Bakal Ada Kombinasi Antara Beberapa Metrik Diatas Agar Lebih Dapat Dipastikan Kalau Pengakses Akun Adalah Pemilik Asli.  

2. Jelas Lebih Bagus Menurut Ane, 2FA Ada Resiko Perangkat Anda Udah Kena Bajak, Dan Sulit Mendeteksi Orangnya. Kalo Biometric Mungkin Cukup Gampang Ngedeteksi Yang Ngebajak.

3. Nah Ini Masalah Utamanya Para Komunitas Kripto Sangat Mengutamakan Privasi, Bahkan Privasi Merupakan Salah Satu "Selling-Point" Dari Cryptocurrency. Dan Anda Pasti Tahu Bagaimana Hasilnya Kalau Kita Harus Menyerahkan Informasi Yang Sangat Personal Ke Pihak Ke-3(Perusahaan). Gak Ada Yang Bakal Mau, Kalo Database Biometrik Disentralisasi Satu Database Kena Hack, Yang Lain Bakal Kena Hack Juga. Dan Parahnya Lagi Kita Gak Bakal  Bisa Merubah Identitas Biometrik Kita, Gak Kaya Password. Solusinya (Dan Yang Dipakai Sekarang) Ya Desentralisasi, Menghindari Pengumpulan Data Di Satu Server. Kurang Lebih Kayak Gini :

* Device Yang Dimaksud Dibawah Adalah Device/Perangkat Yang Digunakan Khusus Autentikasi

Mau Login --> Tancapkan Device ---> Lakukan Autentikasi Biometrik Di Device Tersebut ----> Device Tersebut Mengirimkan Semacam Password Ke Server. ---> Bisa Login.

Server Minta Autentikasi Ke Device ---> Device Meminta Autentikasi Biometrik Ke User --> Apabila Biometrik Valid, Device Mengirim Semacam Password / Digital Fingerprint Yang Dibutuhkan Untuk Autentikasi Login Di Server.

Kalo Dengan Mekanisme Ini Misal Device Hilang, Anda Tinggal Kontak Server Kalo Device Hilang, Dan Anda Tinggal Beli Baru. Kalo Biometrik Anda Bocor, Hacker Juga agak Kesusahan Mau Ngehack Akun (Butuh Device Yang Sama).

Nah Kalo Device Anda Ilang, Daripada Ngehubungin Banyak Perusahaan Tempat Akun Anda. Rencananya Hal Ini Bakal Disentralisasi Agar Memudahkan User (Aplikasi Nyata Zaman Sekarang).

Ada Video Bagus Tentang Ini BTW, Baru Ane Liat Tadi Siang : https://www.youtube.com/watch?v=faU_d7DqoiY

Ingatlah Bos TiDak AdA SisTeM YanG AmAn,

Iya om ini saya lakukan untuk menaikan level widraw, ada beberapa step, selain upload identitas diri memang harus selfie untuk verifikasi.


Ya saya lihat sekarang biometrik ini kebanyakan sedang digunakan sebagai pemenuhan data diri untuk pengembangan 2fa mash belum populer sepertinya. Kalau begitu misal ini digunakan sebagai 2fa apakah dari sisi human eror (bukan database yang jebol) seperti terkena malware akankah lebih sulit peretasannya dari pada 2fa lain menggunkan kode angka.

Setau saya Binance belum memiliki opsi 2FA menggunakan metode Biometric, dan saya kira yang agan maksud dengan scan wajah adalah Facial verification sebagai salah satu pemenuhan syarat proses KYC pada Binance, yang pada prosesnya akan dilihat kecocokan dengan photo pada Identitas yang juga ikut dilampirkan (facial verification adalah pengganti metode selfie). (cmiiw)



Tergantung pada fungsi penggunaanya sih gan, karena jika tujuan awalnya sebagai syarat pemenuhan KYC maka data Biometric tersebut akan disimpan sebagai data-data KYC (dari pengguna exchange tersebut). Tetapi jika memang difungsikan sebagai Two Factor Authentication maka data biometric yang tersimpan didatabase juga akan dipergunakan untuk keperluan 2FA masing-masing penggunanya.

1. Bisa disebut 2FA (kalau abis scan butuh input PIN dkk) atau sekedar pengganti password, tergantung sudut pandangnya. Ya memang ada yang memerlukan gerakan geleng-geleng, tapi secara teoritis bisa aja cracker menyadap hape agan dan ngerekam gerakan wajah dst lalu di stream ketika login di situs yang bersangkutan. Ini ane bicara teori dan belum tentu prakteknya semudah itu. Fingerprint dkk ga selalu akurat juga, coba cek kasus Samsung yang nerima fingerprint asal. Jadi ya tergantung hardwarenya juga. eg: Samsung confirms that a bug allows any fingerprint to unlock the Galaxy S10

3. Ane kurang paham maksud agan gimana, tapi prinsipnya 2FA kan otentikasi tambahan, tidak membahas data buat konfirmasi di taruh di mana. Bisa aja exchange punya dua database, satu untuk hash password dan satu lagi untuk generate 2FA dan itu ya sah-sah aja.

Sebelumnya terimakasih jawabnnya om. Karena kemeran membaca diskusi tentang kehilangan kode autentikasi di [Diskusi] Pencurian Kode Aplikasi Google Authenticator
1. Untuk yang pertama sidik jari saya gunakan di binance itu apa termasuk 2fa karena langsung dari exchangenya om tanpa ada pihak lain.  Semisal scan wajah, itu kan biasanya pencocokan melalui gerakan geleng- gelang atau yang lain.  Kalau hanya foto apakah terkonfirmasi?
Kemudian Semisal untuk identifikasi biometrik yang lainnya selain mata, sidik jari, wajah itu kan prosesnya mungkin ribet tapi tingkat keamanannya mungkin lebih baik kalau bisa digunakan.
2. Saya setuju om yang ini, membadingan dengan 2fa lain yang sudah ada kan biometrik itu otentifikasi langsung dan tentu saja lebih baik menurut pemikiran saya
3. Kalau disimpen di exchange sendiri apakah nanti aplikasinya ke bukan ke 2FA Ya om karena seperti om katakan belum ada biometrik terpusat. Jadi bukan lagi otentifikasi dua arah, karena nanti menurut saya ini akan lebih susah dihack atau bagaimana saya belum paham betul.

1. Bisa-bisa aja, dengan risiko yang juga tetep ada. Misalnya kalau pake fingerprint, orang bisa nyuri fingerprint agan (kayak di pilm"), atau kalau make photo wajah bisa aja orang ngasih foto agan doang. Tentunya ada banyak alternatif untuk memperkuatnya jadi ya dipelajari dulu sebelum agan memakainya.
2. Tergantung. Dari segi randomness ga serandom 2FA (selama key aman dan server exchange/layanan yang dipake ga jebol), dari segi portabilitas mungkin lebih mudah (kan ga mungkin agan kehilangan sidik jari, kecuali ada kejadian-kejadian khusus).
3. Ya mestinya disimpen oleh exchange yang bersangkutan, kecuali ada sistem biometrik terpusat yang kemarin banyak juga dibahas.

Saran ane, coba agan utarakan pendapata agan sendiri untuk menjawab pertanyaan" di atas.

1. Bisa aja selama hardware yang digunakan akurat dan aman.
2. Belom tentu baik, kembali ke poin 1  masalah hardware yang digunakan
3. kemungkinan besar exchange tidak akan menggunakan biometrik untuk saat ini 2fa/otp masih lebih rekomendasi dibanding menggunakan biometrik. tapi ada kemungkinan digunakan soalnya perbankan di indonesia sudah mulai menggunakan

#CMIIW semoga bermanfaat

Sejarah Biometrik
Kaisar Cina Ts'In She  oada abad ke 2 sebelum masehi menggunkan sidik jari untuk otentifikasi. Polisi Prancis di Paris (préfecture de police) mulai memulai proses biometrik untuk identifikasi pada tahun 1888 dengan Unit Identifikasi Forensiknya. Empat cetakan dilembagakan pada tahun 1894 dan cetakan ditambahkan pada tahun 1904. Di Inggris, Polisi Metropolitan mulai menggunakan biometrik untuk identifikasi pada tahun 1901.

Pengertian Biometrik
Dari berbagai sumber yang saya dapatkan pengertian biometrik adalah:
1. Biometrik adalah pengukuran biologis - atau karakteristik fisik - yang dapat digunakan untuk mengidentifikasi individu.
2. Biometrik adalah Karakteristik biologis dan perilaku seorang individu yang membedakan, fitur biometrik berulang dapat diekstraksi untuk tujuan pengakuan biometrik.
3. Biometrik mencakup berbagai teknologi di mana atribut orang yang dapat diidentifikasi yang unik digunakan untuk identifikasi dan otentikasi.

Otentifikasi Biometrik
Otentikasi biometrik  adalah proses membandingkan data pada karakteristik seseorang dengan "templat" biometrik orang tersebut untuk menentukan kemiripan.  Perbandingan ini melalui tahapan membuat referensi untuk perbandingan kemudian disimpan dalam database dengan system kemanan yang baik agar tidak diretas. Setelah referensi dibuat maka proses autentifikasi adalah membandingkan refrensi asli (muka,sidikjari,dll) dengan database yang ada.
 
Jenis jenis Biometrik
Dalam penggolongan biometrik dapat dikategorikan menjadi 2 jenis yaitu physiological characteristics dan behavioural characteristics. Physiological characteristics  lebih kepada scan bagian fisik individu seseorang. Sedangkan behavioural characteristics mengarah pada cara unik suatu individu bersikap.
Beberapa tipe pengenalan biometrik yang sudah dikembangkan dalam otentifikasi antara lain:

1. Pengenalan mata ini dilakukan dengan mengidentifikasi Iris atau Retina mata seseorang sebagai data otentikasi.
2. Pengenalan sidik jari dengan penggenalan detail ujung jari
3. Pengenalan melalui garis tangan.
4. Pengenalan melalui identifikasi suara seseorang.
5. Pengenalan melalui analisa cara unik seseorang mengetik untuk memverifikasi identitas.
6. Pengenalan melalui identifikasi cara berjalan unik seseorang.
7. Pengenalan melalui identifikasi bentuk telinga.
8. Pengenalan melalui pencocokan DNA

Kelebihan dan Kekurangan otentikasi Biometrik.
Beberapa kelebihan dari sistem otentifikasi biometric adalah  
1. Sulit untuk diduplikasi
2. Memiliki keamanan  yang tingkat keamanan yang cukup tinggi.
Untuk kekurangannya  
1. Ancaman pada privasi seseorang karena dapat digunakan dan dikumpulkan tanpa diketahui seseorang.
2. Ancaman dari hacker yang meretas database biometrik dan digunakan oleh pihak tidak bertanggung jawab.

Biometrik otentikasi dan cryptocurency
Sistem ontentikasi melalui biometrik melalui indetifikasi wajah telah diaplikasikan pada beberapa teknologi misalkan dibank, pada absensi, pada otentikasi pada taspen dll. Pada cryptocurency exchange juga sudah ada. Salah satunya Binance, ini pengalaman saya sendiri ketika saya mencoba menaikan level di binance saya diwajibkan untuk scan wajah. Kemudian ada vitur touch ID pada bagian security setting. Nampaknya selain aplikasi fitur 2fa, biometric ontentikasi bisa diaplikasikan sebagai alternative keamanan. Namun sayangnya saya belum menemukan banyak mengenai aplikasinya kedalam dunia crytocurency melalui Otentikasi Biometrik.

Menjadi pertanyaan saya adalah:
1. Otentikasi biometrik selain sidik jari, bisakah dipakai untuk otentifikasi sebagai 2FA seperti GA,Authy dll?
2. Apaka sistem ini lebih baik jika dapat diaplikasikan sebagai 2Fa? kenapa?
3. Apakah sistem biometrik ini menjadi aplikasi penganti tanpa memerlukan aplikasi pihak ke 3(2Fa)  artinya exchange menjadi developernya sendiri(jadi
    database disimpan oleh exchange)?

Mohon maaf jika tread saya keliru mohon saran dan kritiknya.

Sumber tulisan :
- https://www.biometricsinstitute.org/what-is-biometrics/types-of-biometrics/
- https://usa.kaspersky.com/resource-center/definitions/biometrics
- https://socs.binus.ac.id/2018/11/29/biometrics-authentication-and-recognition/
- https://www.thalesgroup.com/en/markets/digital-identity-and-security/government/inspired/biometrics