Perpustakaan Digital ITB

FIDO2 (fast identity online) adalah suatu protokol autentikasi berbasis public key cryptography. Tujuan utama dari FIDO2 adalah untuk menggantikan sistem autentikasi password, karena autentikasi password memiliki kekurangan dalam aspek keamanan. Dasar dari autentikasi FIDO2 adalah challenge-response, di mana autentikator FIDO membuat public key pair dan melakukan sign pada challenge yang diberikan oleh server. Selain dari aspek keamanan, FIDO2 juga menawarkan aspek privasi, dengan konsep autentikator FIDO akan membuat public key pair yang berbeda-beda untuk setiap service yang didaftarkan. Pada penelitian ini, suatu metode side-channel timing attack didesain, dengan tujuan untuk mengecek apakah suatu kredensial berasal dari suatu autentikator. Timing attack memiliki konsep mengukur dua waktu registrasi dengan mengeksploitasi parameter excludeCredentialList, dengan asumsi terdapat perbedaan antara waktu pemrosesan apabila kredensial telah terdaftar pada autentikator. Timing attack diujikan ke enam buah autentikator dan 3 buah client (browser). Hasil pengujian menunjukkan bahwa tiga dari enam autentikator dan satu dari tiga client rentan terhadap timing attack ini. Penelitian ini juga menguji keakuratan linking pada autentikator yang rentan, dan didapatkan hasil akurasi linking pada suatu autentikator mencapai 97.5%. Untuk mengatasi timing attack ini, dapat dilakukan update pada autentikator atau client.