Autentizační metody na mobilních platformách

Autentizační metody na mobilních platformách Využití mobilních zařízení jako autentizačních prostředků 3.4.2014

Obsah

 Úvod  Autentizace - průzkumy a trendy  Preference a výzvy při výběru autentizační metody  Mobilní zařízení jako ideální autentizační prostředek?  Budoucnost

© 2013 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International“), a Swiss entity. All rights reserved. Printed in the Czech Republic.

1

Úvod

Úvod Přednáška je zaměřena na současné a budoucí trendy v oblasti autentizačních metod, zejména v kontextu mobilních zařízení, resp. jejich využití jako autentizačních prostředků. Příspěvek si klade za cíl představit a diskutovat:  vývoj autentizačních metod poskytovaných klientům přímých služeb (např. bankovnictví, obsluha klientské zóny atp.),  praktické zkušenosti ukazující preference společností při výběru vhodných autentizačních metod, překážky a kompromisy, kterým při jejich zavádění čelí,  budoucí trendy v oblasti autentizačních metod,  použití mobilních telefonů jako prostředků pro autentizaci a  bezpečnost jako poslední bariéru nebo příležitost pro jejich rozšíření v oblasti autentizace?


3

Autentizace průzkumy a trendy

Průzkumy a trendy – Současný stav Současná situace (data průzkumu lokálního a evropského trhu*, zejména finančních institucí)  Všechny významné společnosti využívají pro identifikaci a autentizaci svých klientů nějakou formu uživatelského identifikátoru (UserID, resp. klientské číslo) a hesla,  nicméně např. banky zřídka tento způsob používají samostatně ( -> dvou faktorové metody).  SMS OTP je stále nejfrekventovanější více faktorová metoda poskytovaná klientům,  jednoduchost použití a uživatelská přívětivosti,  vyšší provozní náklady  již zaznamenala úspěšné útoky  S ohledem na výše uvedené je zřetelná aktivita většiny společností, hledající levnější metodu, poskytující stejnou , resp. vyšší, úroveň zabezpečení. Internet banking authorization methods in Czech Republic UserID / Password SMS OTP GSM banking PKI Calculator RSA Token CAP / DPA TAN/Grid 0

5

10

Major Czech banks using selected method

15

Příklad zastoupení autentizačních metod, konkrétně pro internetové bankovnictví v ČŘ * založený na veřejné dostupných informacích © 2013 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International“), a Swiss entity. All rights reserved. Printed in the Czech Republic.

5

Průzkumy a trendy – Trendy Identifikované trendy  OTP metody stále ANO, nicméně  -> posun od tradičních HW tokenů k autentizačním metodám využívajících chytrých mobilních telefonů („phone-as-a-token“).  Diskvalifikace jednoúčelových zařízení (pro autentizaci).  Mobilní (chytré) telefony již nejsou uživateli vnímány jako další zařízení.  Risk-based autentizace není založena pouze na autentizačních nástrojích a prostředcích (přístup adaptivní autentizace).  Podpora a zájem o kontextovou (adaptivní) autentizaci,  -> stále ale není „mainstream“.  Rychlý vývoj v oblasti možností a využití chytrých mobilních telefonů.  -> další impuls k rozšíření kontextové autentizace a „pasivních“ biometrických autentizačních metod (bez nutnosti dalšího HW).  Zvyšování počtu pokročilých a cílených útoků zahrnujících i mobilní zařízení.  Maturita dostupných metod autentizace, resp. silná bezpečnost vs vysoká použitelnost  -> výběr metody je stále otázkou nalezení vhodného kompromisu mezi bezpečností a použitelností.

Zdroje: KPMG, Gartner © 2013 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International“), a Swiss entity. All rights reserved. Printed in the Czech Republic.

6

Preference a výzvy při výběru autentizační metody

Preference a výzvy při výběru autentizační metody Zvažované základní typy a skupiny metod, jako např.

Základní parametry při výběru metod

 UserID + heslo / vylepšené heslo

 Bezpečnost

 X.509 token

 Uživatelský komfort

 OOB autentizace

 Náklady

 Biometrika  + Specifika prostředí Společnosti

 Grafické a slovníkové KBA

Bezpečnost

Uživatelský komfort

Náklady

Společnost čas, přínosy, rizika, distribuce, IT, strategie, skupinové požadavky, legislativa


8

Preference a výzvy při výběru autentizační metody – bezpečnost Hodnocení bezpečnosti autentizačních metod:

Autentizační metody   

Vektory útoku    

Komponenty Technologie Bezpečnostní opatření

Internetové kanály Mobilní telefony Tokeny / technologie ...

Příklady:

Faktor rizika

Uživatelé Biometrie

Tokeny

OTP

…

Authentizační prostředí      

Internetové bankovnictví Klientská zóna Smartbanking Telefonní ústředny Pobočky ...

Model hodnocení bezpečnosti

 Autentizační metody zahrnují prostředky, komponenty, technologie a bezpečnostní koncept (procedury, opatření)  Faktor bezpečnostního rizika jednotlivých metod – úroveň ochrany poskytnuté komponentami, bezpečnostními funkcemi a technologiemi daných metod proti různým typům útoků


9

Preference a výzvy při výběru autentizační metody – uživatelský komfort Faktor uživatelského komfortu zahrnuje více aspektů, které je třeba zohlednit, např.:

Časová náročnost  Čas strávený autentizací / autorizací  Čas zavedení metody

Nová zařízení pro klienta  Je uživatel nucen mít další zařízení?

Složitost použití  Kroky v různých životních situacích (přihlášení, potvrzení akce atp.)  Lokalizace  atp.

Nutnost instalace  Je třeba nainstalovat nějaký software?


Vnímaná úroveň bezpečnosti  Vnímání uživatelem  Adaptivnost  Co znamená ztráta části autentizačních údajů?

Parametry (credentials) k zapamatování  Co si uživatel musí zapamatovat ?

10

Preference a výzvy při výběru autentizační metody – náklady Hlavní kategorie nákladů:  Implementační náklady (odhad ceny implementace, počáteční náklady, pořízení licencí, atp.)  Provozní náklady (odhad ceny údržby IT řešení a koncových stanic, údržba licencí, atp.)

 Pro srovnání odhadů nákladovosti jednotlivých metod lze uvažovat předpoklady a omezení vhodná pro dané referenční prostředí, např.:

Předpoklady Příklady:

0,5 milionu uživatelů Denně cca 50 000 online operací PKI je ve Společnosti již zavedena Aplikace typu XY není zavedená a podporovaná současnými technologiemi, kterými společnost disponuje  Používání nových metod je odhadováno pro typickou distribuci segmentu XY klientů    

Omezení Příklady:

 Odhad cen je počítán na základě oficiálních ceníků prodejců  Nepředpokládají se žádné implementační a počáteční náklady pro současné metody  Nepředpokládají se významné implementační náklady pro HW/SW tokeny


11

Preference a omezení pro výběr metody – Společnosti Preference:  Jednoduchost použití a uživatelská přívětivost  Využití známého prostředí / autentizačního prostředku pro klienta  Nevyžadovat dodatečná zařízení  Neomezovat úrovně služeb pro klienty (množství transakcí, částek, počtu objednávek, možnosti administrace, ...)  Využití metody univerzálně pro více kanálů (např. portál, telefon, pobočka, ...)  Zajištění minimálně stejné úrovně zabezpečení  Adaptivnost, resp. risk based přístup / minimálně dvou-faktorová metoda pro kritické operace /  Zajištění nepopiratelnosti pro určité typy aktivit  Existence jednoduché alternativní možnosti autentizace  Výběr metody reflektuje připravenost společnosti (co-existence se současným řešením, obslužné procesy, IT prostředí)  Nízké náklady na zavedení a provoz  Podpora odstranění případných současných problémů autentizace


12

Preference a omezení pro výběr metody – klienti Preference uživatelů *  Celkově nejatraktivnější je mezi zákazníky na trhu koncept využití jména a hesla při přihlášení, případně jeho kombinace s OTP.  Za další atraktivní primární autentizační metodu je považováno využití mobilní aplikace s datovým připojením (již jen kolem 30%)  Výsledky potvrzují ochotu uživatelů primárně využívat mobilní platformy pro operace spojené s autentizací  Více než 70% uživatelů preferuje bezpečnost metody i za cenu dodatečných kroků (obsluhy metody) na jejich straně

Interpretace výsledků – nová metoda ?

* Výsledky průzkumů © 2013 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International“), a Swiss entity. All rights reserved. Printed in the Czech Republic.

13

Mobilní zařízení jako ideání prostředek ?

Mobilní zařízení jako ideální autentizační prostředek? „Phone as a token“ metoda  SW OTP generátor v aplikaci chytrého mobilního zařízení, time based princip  OTP metoda založena na SW tokenu - aplikaci chytrého mobilního zařízení, chráněné PINem, s využitím transakčních detailů a challenge-response principu  OTP metoda založena na HW tokenu připojeném k chytrému mobilnímu zařízení fyzickým nebo bezdrátovým rozhraním (BT, NFC, USB,…)  Aplikace chytrého mobilního zařízení pro autentizovaný hovor na call centrum  … mnoho dalších variant implementace a autentizačních konceptů

 Ideální autentizační prostředek  Vhodný autentizační prostředek

 ...ano, ALE !


15

Mobilní zařízení jako ideální autentizační prostředek? Na serveru

PIN

Autentizační koncept

Ochrana klíče

Úložiště klíče V mobilním zařízení

Symetrické šifrování Ochrana tajemství uloženého v mobilním zařízení

Android iOS

Biometrie Kognitivní / gesto

Registrace

Platforma Windows Mobile

Offline

Jiná

Autentizace

Online

Aktivity Automatické Iniciace Ruční spuštění

Předání serveru skrze Internet

Auth concept

Metoda předávání authenticator (OTP resp. response) Ověřovateli

Mobilní aplikace

Time-based

Na základě tajemství a nonce (resp. OTP)

Metoda generování authenticator Předání do PC uživatele

Sequence-based Na základě tajemství, challenge a případně nonce

... Manuálně Kabel Manuálně

Obsah Challenge

Push Bluetooth

…. Způsob předání Challenge do mobilního zařízení

Pull

Automatizovaně

NFC ... Poloautomatizovaně Scan QR kódu


Autentizační koncept – příklad parametrů 16

Mobilní zařízení jako ideální autentizační prostředek? – Příklady variant „Phone-as-a-token“ metoda založená na mobilní aplikaci (offline) Životní situace klienta: Chci se přihlásit k on-line službě na internetu. + Jsem přihlášený k on-line službě na internetu a potřebuji potvrdit libovolnou uživatelskou akci / transakci. Potvrzení akce provést rychle, snadno a bezpečně.

Postup využití:

Při přihlášení / resp. potvrzení akce se zobrazí kód aktivity a jste vyzváni k zadání potvrzovacího kódu.

Na svém telefonu spustíte autentizační aplikaci a zadáte svůj PIN. Do aplikace opíšete kód z obrazovky webové aplikace a zobrazí se vám potvrzovací kód.

HW cryptochip via BT, NFC alternativa


Potvrzovací kód, opíšete do webové aplikace. Tím jste potvrdili akci.

pouze OTP generátor alternativa 17

Mobilní zařízení jako ideální autentizační prostředek? – Příklady variant „Phone-as-a-token“ metoda založená na mobilní aplikaci (online) Životní situace klienta: Chci se přihlásit k on-line službě na internetu

Postup využití:

Při přihlašování do online služby zadáte své uživatelské jméno.

Na svém telefonu spustíte aplikaci a zadáte svůj PIN a stiskněte tlačítko „Přihlásit“. Poté jste přihlášeni.

Životní situace klienta: Jsem přihlášený k on-line službě na internetu a potřebuji potvrdit libovolnou uživatelskou akci / transakci. Potvrzení akce chci provést rychle, snadno a bezpečně.

Postup využití:

Při odesílání uživatelské akce je uživatel vyzván k jeho potvrzení.

Na vašem telefonu se objeví výzva k potvrzení akce. Akci potvrdíte zadáním PINu.

QR kód

alternativa © 2013 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International“), a Swiss entity. All rights reserved. Printed in the Czech Republic.

18

Mobilní zařízení jako ideální autentizační prostředek? „Phone-as-a-token“ metoda založená na mobilní aplikaci (online/offline) PRO:        

Variabilita – online/offline (tedy i mimo datové připojení) Využití chytrého mobilního telefonu klienta (telefon již není klienty vnímán jako další zařízení) Známé uživatelské prostředí pro klienta Časově nenáročná a snadná inicializace/distribuce metody (pouze instalace aplikace) Operaci přihlášení, resp. potvrzení akce „na pár kliků“ Nízké provozní náklady Srovnatelná, resp. vyšší míra bezpečnosti (v závislosti na implementaci), více-faktorová metoda Metodu lze provozovat v adaptivním režimu (tedy např. pouze pro „rizikové“ operace)

 Odhadovaná pentrace chytrých telefonů v ČR nyní více než 40%, v roce 2015 přes 70%  Mobilních data v ČR (2012) – 3,3 milionu už. / cca 23% z aktivních SIM karet, meziročně nárůst (aktivovaných ) o 33%

PROTI:  Bezpečnost prostředí klientských zařízení  Mobilní malware (např. Andorid – až cca 200.000 unikátních vzorků, celkem cca 10.000.000 škodlivých aplikací)  Nejistota stran vnímání bezpečnosti mobilních platforem na straně uživatelů Zdroje: KPMG, T-Mobile, veřejně dostupná data © 2013 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International“), a Swiss entity. All rights reserved. Printed in the Czech Republic.

19

Budoucnost

Budoucnost „Inovátorské „ metody  Biometrika  Integrované čtečky prstů v mobilních telefonech  „Otisk“ krevního řečiště  „Tetování“ na kůži  Implantovaný kryptočip  …


21

Budoucnost – bezpečnost jako bariéra nebo příležitost? Rozšíření chytrých mobilních zařízení (jako autentizačních prostředků) První komerční smartphone

2007

Smartphone jako běžný nástroj v osobním, tak i pracovním životě.

2014

Bariéry  Technologie se zatím brání útokům ne příliš efektivně  Služby a produkty v oblasti mobilní bezpečnosti zatím spíše na začátku

Nové příležitosti pro poskytovatele telekomunikačních a IT služeb, a jejich zákazníky  Hardwarové inovace,  end-to-end služby v oblasti zabezpečení mobilních zařízení a  jejich implementace u koncových zákazníků


22

Děkujeme za pozornost

Radek Šichtanc Jan Krob

Autentizační metody na mobilních platformách

Recommend Documents