Jednotná autentizacePavel Dobiš, ICT Security Architect

Důvěřujte JEN PROVĚŘENÝM…

Jednotná autentizace

Jednotná autentizace

Úvod do jednotné autentizace

Technická architektura

Procesní architektura

Přínosy

Agenda

23.5.2013

Metody autentizace se vyvíjí

Jednotná autentizace

Typické útoky na oblast řízení přístupu

BRUTE FORCE KEYLOGGER

BY-PASS SOCIAL ENGINEERING

23.5.2013

Autentizace aplikace

Autentizace transakce

Rozsah autentizace

Autentizace kanálu

Autentizace zařízení

Autentizace uživatele

Jednotná autentizace23.5.2013

Útočník

Autentizační mechanismy

1.Statické údaje

2.ID

zařízení

3.OTP

4.PKI

5.Dodatečná autentizace

OOB

6.Dodatečná autentizaceEl. podpis

statická hesla, bezpečnostní otázky

jednorázové hesla

webové tokeny, bezkontaktní karty

kontaktní karty

SMS a email

EMV a tokeny

Jednotná autentizace23.5.2013

Jednotná autentizace

Trendy v oblasti autentizace

Adaptivní autentizace Sjednocení logického a fyzického přístupu

23.5.2013

Sjednocení logického a fyzického přístupuUživatelský pohled

Foto

Vstup do budovy

Přístup do PC

Síťový a aplikační přístup Vzdálený přístup Jednotná správa

Personální údaje

Jednotná autentizace23.5.2013

Jednotná autentizace

Správa klíčů

PKI Certifikační autorita

Sjednocení logického a fyzického přístupu

23.5.2013

IDMS CMS

Logický přístupSpráva/ověřeníEnrollment stanice

Personální systém

SchvalovatelZaměstnanec

Fyzický přístup

CDP

Jednotná autentizace

Identity Management System (IDMS)

Přímo nebo nepřímo komunikuje se všemi dalšími komponentami;

Obsahuje rozhraní pro příjem veškerých identifikačních údajů koncového uživatele nutných pro tvorbu karty;

Může být integrován se stávajícími procesy vydávání karet.

23.5.2013

IDMS

Jednotná autentizace

Enrollment Stanice 1/2

Zodpovídá za ověření identity uživatele;

Doplňuje veškeré nutné údaje k zaměstnanci;

Poskytuje podpůrné služby

Typicky se skládá z digitálního fotoaparátu a snímače otisku prstů, případně skeneru.

23.5.2013

Enrollment Stanice

Jednotná autentizace

Enrollment Stanice 2/2

Součástí je self-enrollment

Změna PINu;

Aktivace karty;

Odemčení karty;

Hlášení problémů.

23.5.2013

Enrollment Stanice

Jednotná autentizace

PKI Certifikační Autorita

Zajišťuje životní cyklus privátní klíče a souvisejícího digitálního certifikátu;

Zajišťuje služby pro získání aktuálního stavu certifikátu (typicky CRL, OCSP).

23.5.2013

Správa klíčů

PKI Certifikační autorita

Jednotná autentizace

Management Karet (CMS)

Systém správy karet zajišťuje životní cyklus karty

Zajišťuje podpůrné služby (revokaci, odblokování,…);

Integrace s IDMS, PKI službami, systémem potisku karet, servery jednorázových hesel…;

Umožňuje přípravu karty pro přenos klíčů;

Zajišťuje potisk karet a distribuci karet uživatelům.

23.5.2013

CMS

CDP

Jednotná autentizace

Typické roleRole Odpovědnost

Zaměstnanec předat doklady potvrzující prokazovanou totožnost

Bezpečnostní manažer Zodpovídá za bezpečnostní otázky

Schvalovatel zdůvodňuje potřeby zavedení identity a provádí její autorizaci

Operátor služby podporující prokázání identity

Vydavatel Na základě schváleného požadavku provádí vydání karty s příslušnými oprávněními

23.5.2013

Jednotná autentizace

Ověření identity a vydání karty

23.5.2013

Enrollment Vydavatel

Operátor

Uživatel

SchvalovatelBezpečnostnímanažer

Ověření identity

Uživatelé karty PIV

IDMS Systém správy karet

Centralizace autentizační platformy

Firewall

Uživatel

VIP Uživatel

Network

Autentizačníserver

Informačnísystém

Jméno/heslo

Soft token

OTP token

Knowledge base

PKI

Jednotná autentizace23.5.2013

IVR

Mobil web

Web portál

Call centrum

Fyzický přístup

Příklad pohledu uživatele?

Metody autentizace v praxi

Pracoviště uživatele Bezkontaktní karta

Mobilní kancelář Bezkontaktní karta a OTP

… aneb autentizace v praxi …

Jednotná autentizace23.5.2013

OTP TokenyHardwarové

tokeny

S pinem

Bez pinu

Softwarové tokeny

Personální počítač

Mobilní zařízení

SMS/email

Webové tokeny

Jednotná autentizace23.5.2013

Výběr vhodné metody

Authentication processAttacks/Threat

Threat Resistance RequirementsLevel 1 Level 2 Level 3 Level 4

Online guessing Yes Yes Yes YesReplay Yes Yes Yes YesSession hijacking No Yes Yes YesEavesdropping No Yes Yes YesPhishing/pharming No No Yes YesMan in the middle No Weak Weak StrongDenial of service/flooding No No No No

… alfou a omegou je řízení rizik … a výsledkem je …

Zdro

j: N

IST

SP 8

00-6

3

Efektivní výběr metod

úzce souvisí

s řízením rizik

Jednotná autentizace23.5.2013

Jednotná autentizace23.5.2013

Aspekty výběru autentizační platformy

Celkové náklady Jiné

požadavky a omezení

Snadnost použití

Síla autentizace

RizikoCertifikace Zákony

Uživatelský požadavek

Rozpočet

Přínosy jednotné autentizační platformy

Efektivní kombinace autentizačních metod a nástrojů

Maximalizace uživatelského komfortu při zachování vysoké bezpečnosti

Využití stávajících autentizačních nástrojů

Sjednocení fyzického a logického přístupu

Podpora pro Self-Enrollment

Jednotná autentizace23.5.2013

Jednotná autentizace23.5.2013