Abstract:
Keamanan data pengguna pada sistem informasi berbasis web seringkali terancam
oleh kelemahan mekanisme otentikasi konvensional yang hanya mengandalkan
kata sandi. Serangan seperti pencurian kredensial (credential theft) dan Brute Force
menuntut adanya lapisan keamanan tambahan. Penelitian ini bertujuan untuk
merancang
dan
mengimplementasikan
sistem
keamanan
Two-Factor
Authentication (2FA) menggunakan algoritma HMAC-SHA256 (Hash-based
Message Authentication Code with Secure Hash Algorithm 256-bit) yang
terintegrasi dengan fitur Trusted Device dan notifikasi Web Push. Metode yang
diterapkan adalah Time-based One-Time Password (TOTP) dengan interval waktu
30 detik, di mana kode unik dibangkitkan melalui proses dynamic truncation 32-bit
dari hasil enkripsi SHA-256. Pengujian sistem dilakukan menggunakan metode
Black Box Testing dan Security Testing dengan skenario pengulangan sebanyak 10
kali percobaan. Hasil penelitian menunjukkan bahwa sistem memiliki tingkat
keberhasilan fungsional sebesar 100% dalam memvalidasi pengguna yang sah.
Selain itu, sistem terbukti efektif memitigasi ancaman keamanan dengan tingkat
keberhasilan 100% dalam menolak serangan SQL Injection, Cross-Site Scripting
(XSS), dan Replay Attack melalui mekanisme validasi token satu kali pakai.
Implementasi notifikasi Web Push juga terbukti memberikan alternatif pengiriman
kode OTP yang lebih efisien dan aman dibandingkan SMS konvensional.
