Outsourcing autentizace dá se tomu věřit? - ISSS 2018€¢ Klíč(FAB) • Login jméno a ...
Jednotná autentizace
-
Upload
silas-warner -
Category
Documents
-
view
45 -
download
3
description
Transcript of Jednotná autentizace
![Page 1: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/1.jpg)
Jednotná autentizacePavel Dobiš, ICT Security Architect
Důvěřujte JEN PROVĚŘENÝM…
![Page 2: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/2.jpg)
Jednotná autentizace
Jednotná autentizace
Úvod do jednotné autentizace
Technická architektura
Procesní architektura
Přínosy
Agenda
23.5.2013
![Page 3: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/3.jpg)
Metody autentizace se vyvíjí
![Page 4: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/4.jpg)
Jednotná autentizace
Typické útoky na oblast řízení přístupu
BRUTE FORCE KEYLOGGER
BY-PASS SOCIAL ENGINEERING
23.5.2013
![Page 5: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/5.jpg)
Autentizace aplikace
Autentizace transakce
Rozsah autentizace
Autentizace kanálu
Autentizace zařízení
Autentizace uživatele
Jednotná autentizace23.5.2013
Útočník
![Page 6: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/6.jpg)
Autentizační mechanismy
1.Statické údaje
2.ID
zařízení
3.OTP
4.PKI
5.Dodatečná autentizace
OOB
6.Dodatečná autentizaceEl. podpis
statická hesla, bezpečnostní otázky
jednorázové hesla
webové tokeny, bezkontaktní karty
kontaktní karty
SMS a email
EMV a tokeny
Jednotná autentizace23.5.2013
![Page 7: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/7.jpg)
Jednotná autentizace
Trendy v oblasti autentizace
Adaptivní autentizace Sjednocení logického a fyzického přístupu
23.5.2013
![Page 8: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/8.jpg)
Sjednocení logického a fyzického přístupuUživatelský pohled
Foto
Vstup do budovy
Přístup do PC
Síťový a aplikační přístup Vzdálený přístup Jednotná správa
Personální údaje
Jednotná autentizace23.5.2013
![Page 9: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/9.jpg)
Jednotná autentizace
Správa klíčů
PKI Certifikační autorita
Sjednocení logického a fyzického přístupu
23.5.2013
IDMS CMS
Logický přístupSpráva/ověřeníEnrollment stanice
Personální systém
SchvalovatelZaměstnanec
Fyzický přístup
CDP
![Page 10: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/10.jpg)
Jednotná autentizace
Identity Management System (IDMS)
Přímo nebo nepřímo komunikuje se všemi dalšími komponentami;
Obsahuje rozhraní pro příjem veškerých identifikačních údajů koncového uživatele nutných pro tvorbu karty;
Může být integrován se stávajícími procesy vydávání karet.
23.5.2013
IDMS
![Page 11: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/11.jpg)
Jednotná autentizace
Enrollment Stanice 1/2
Zodpovídá za ověření identity uživatele;
Doplňuje veškeré nutné údaje k zaměstnanci;
Poskytuje podpůrné služby
Typicky se skládá z digitálního fotoaparátu a snímače otisku prstů, případně skeneru.
23.5.2013
Enrollment Stanice
![Page 12: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/12.jpg)
Jednotná autentizace
Enrollment Stanice 2/2
Součástí je self-enrollment
Změna PINu;
Aktivace karty;
Odemčení karty;
Hlášení problémů.
23.5.2013
Enrollment Stanice
![Page 13: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/13.jpg)
Jednotná autentizace
PKI Certifikační Autorita
Zajišťuje životní cyklus privátní klíče a souvisejícího digitálního certifikátu;
Zajišťuje služby pro získání aktuálního stavu certifikátu (typicky CRL, OCSP).
23.5.2013
Správa klíčů
PKI Certifikační autorita
![Page 14: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/14.jpg)
Jednotná autentizace
Management Karet (CMS)
Systém správy karet zajišťuje životní cyklus karty
Zajišťuje podpůrné služby (revokaci, odblokování,…);
Integrace s IDMS, PKI službami, systémem potisku karet, servery jednorázových hesel…;
Umožňuje přípravu karty pro přenos klíčů;
Zajišťuje potisk karet a distribuci karet uživatelům.
23.5.2013
CMS
CDP
![Page 15: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/15.jpg)
Jednotná autentizace
Typické roleRole Odpovědnost
Zaměstnanec předat doklady potvrzující prokazovanou totožnost
Bezpečnostní manažer Zodpovídá za bezpečnostní otázky
Schvalovatel zdůvodňuje potřeby zavedení identity a provádí její autorizaci
Operátor služby podporující prokázání identity
Vydavatel Na základě schváleného požadavku provádí vydání karty s příslušnými oprávněními
23.5.2013
![Page 16: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/16.jpg)
Jednotná autentizace
Ověření identity a vydání karty
23.5.2013
Enrollment Vydavatel
Operátor
Uživatel
SchvalovatelBezpečnostnímanažer
Ověření identity
Uživatelé karty PIV
IDMS Systém správy karet
![Page 17: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/17.jpg)
Centralizace autentizační platformy
Firewall
Uživatel
VIP Uživatel
Network
Autentizačníserver
Informačnísystém
Jméno/heslo
Soft token
OTP token
Knowledge base
PKI
Jednotná autentizace23.5.2013
IVR
Mobil web
Web portál
Call centrum
Fyzický přístup
![Page 18: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/18.jpg)
Příklad pohledu uživatele?
Metody autentizace v praxi
Pracoviště uživatele Bezkontaktní karta
Mobilní kancelář Bezkontaktní karta a OTP
… aneb autentizace v praxi …
Jednotná autentizace23.5.2013
![Page 19: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/19.jpg)
OTP TokenyHardwarové
tokeny
S pinem
Bez pinu
Softwarové tokeny
Personální počítač
Mobilní zařízení
SMS/email
Webové tokeny
Jednotná autentizace23.5.2013
![Page 20: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/20.jpg)
Výběr vhodné metody
Authentication processAttacks/Threat
Threat Resistance RequirementsLevel 1 Level 2 Level 3 Level 4
Online guessing Yes Yes Yes YesReplay Yes Yes Yes YesSession hijacking No Yes Yes YesEavesdropping No Yes Yes YesPhishing/pharming No No Yes YesMan in the middle No Weak Weak StrongDenial of service/flooding No No No No
… alfou a omegou je řízení rizik … a výsledkem je …
Zdro
j: N
IST
SP 8
00-6
3
Efektivní výběr metod
úzce souvisí
s řízením rizik
Jednotná autentizace23.5.2013
![Page 21: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/21.jpg)
Jednotná autentizace23.5.2013
Aspekty výběru autentizační platformy
Celkové náklady Jiné
požadavky a omezení
Snadnost použití
Síla autentizace
RizikoCertifikace Zákony
Uživatelský požadavek
Rozpočet
![Page 22: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/22.jpg)
Přínosy jednotné autentizační platformy
Efektivní kombinace autentizačních metod a nástrojů
Maximalizace uživatelského komfortu při zachování vysoké bezpečnosti
Využití stávajících autentizačních nástrojů
Sjednocení fyzického a logického přístupu
Podpora pro Self-Enrollment
Jednotná autentizace23.5.2013
![Page 23: Jednotná autentizace](https://reader035.fdocument.pub/reader035/viewer/2022062408/568135da550346895d9d4b80/html5/thumbnails/23.jpg)
Jednotná autentizace23.5.2013