Mijn naam is Wil Huisman

Secure your assets …

Of toch Wil Huisman?

Authenticatie een introductie

Menno Stijl, 7 maart 2011

Mijn naam is Wil Huisman

[email protected] www.authasas.com

1

(

© The Authentication Company

8 -

2

Trusted Authentication, Security & Continuity Solutions

Introductie Menno Stijl


Visie Secure your assets …


• Technische en business opleiding §

Brug tussen business, organsatie en ICT

• Projectmanager complexe opdrachten: §

Elektronische aangifte particulieren

§

Chipper

§

Nieuwe generatie reisdocumenten

§

VOIP-implementaties

§

Slimme meter trajecten

•

‘We strongly believe that (strong) authentication will play a dominant role in modern networked society….’ Vision statement R.M. v.d. Drift/M. Stijl January 2004

• Ondernemer in authenticatie:

3


4


Inhoud Secure your assets …


• Introductie authenticatie

• Stelling: Het belang van goede authenticatie wordt

• Authenticatie en Access Control

onderschat

• Authenticatie en een IAM-aanpak

• Authenticatie software framework

5

6


Definities


Het authenticatie probleem Secure your assets …


• Identiteit: persoonsgegevens zoals opgeslagen in het GBA (in Nederland ingeschrevenen)

• Veel organisaties vertrouwen nog steeds op wachtwoorden.

• Authenticatie:

• Spanning tussen wachtwoordbeleid en gebruikersvriendelijkheid.

§

Identificatie: wie ben je?

§

Verificatie: vaststellen of je ben wie je zegt dat je bent

• Credentials: het authenticatie-’middel’ • Autorisatie: gerechtigd zijn om een bepaalde actie te ondernemen • IAM (access control): het geheel van toegang geven aan geauthenticeerde personen die geautoriseerd zijn

• Veel gebruikersfouten, -verwarring en –irritatie

• Wachtwoordmanagement wordt een serieuze kostenpost (o.a. password resets). • Veel verschillende authenticatie middelen naast elkaar (veel verschillende wachtwoorden, tokens, sleutels, kaarten, …) • Vaak functionele i.p.v. persoonlijke authenticatie (groepen, vervanging, delegatie) • Problemen met bewijzen compliance • Gescheiden middelen voor fysieke en logische toegang (c) Authasas-confidential, 2010

7



8

Authenticatie processen - Facilities - IT-afdeling - HR-afdeling - geautomatiseerd


• Stelling:


1. Uitgifte proces -Controle identiteit -Uitgeven van credentials -Vastleggen in register

Passwords zijn eigenlijk niet meer goed bruikbaar voor authenticatie in een

-Beveiliging -Security office

3. Beheer en bewaking

Credentials

-Incidenten -Verrekening -Life cycle management

Register

professionele omgeving . Gebruiker

2. Gebruik -Controle credentials -Beslissing: Accoord of niet -Logging -Geautomatiseerd -Beveiliging

9

10


Authenticatie factoren: kennis


Authenticatie factoren: bezit Secure your assets …


• Bezit

• Kennis § Wachtwoorden

§

Sleutels

§

Tokens –

USB-tokens (dongels)

–

OTP-token (one time password generator)

§ Geheime tekens

–

Calculators met kaart

§ ……

–

GSM-telefoon (SMS-authenticatie, app, …)

§ PIN-codes

§

Kaarten

• Eigenschappen van menselijk geheugen

§

The Code Book, Singh

–

Magneetkaarten

–

Contactloze kaarten (myfare, HID, ….)

–

Contactkaarten (chip, PKI, ..)

….

• Overdraagbaarheid (goeder/kwader trouw)

11


12


Authenticatie factoren: lichaam • Lichaamskenmerken §

Vingerscan

§

Irisscan

§

Retina

§

Gelaatsherkenning

§

Handpalm

§

Fingervein

§

Palmvein

§

…

§

Handtekening/schrift

§

Type-aanslagen

§

Spraak

§

……

Sterke authenticatie



Lichaam + Bezit + Kennis Lichaam+ Bezit Lichaam + Kennis

Oplopende Sterkte credentials

Bezit + Kennis Lichaam Bezit Kennis

Standaard Authenticatie

Betrouwbaarheidsranking credentials: • Uitgifteproces • Overdraagbaarheid • Kopieerbaarheid

• 1:1 en 1:n • Niet altijd beschikbaar…..

13

Sterke Authenticatie




14

Waarom is adequate access control belangrijk ?

Inhoud Secure your assets …


1. Bescherming tegen diefstal van:


• Authenticatie en Access Control

–

Goederen, geld, informatie, enz. (alles van waarde)

–

In de fysieke wereld, eigen (logische) netwerken, internet en off-line

–

Externe en interne dreiging

2. Bescherming tegen fraude en vandalisme (o.a. hackers, terrorisme) 3. Voldoen aan wettelijke eisen (o.a. privacy, compliance)


4. Laagdrempelig genoeg voor gebruikers (discipline) 5. Eenvoudig te beheren 6. Controleerbaarheid handelen (compliance)


15


7. Positieve business case voor organisatie

8-32011

© The Authentication Company Trusted Authentication, Security & Continuity Solutions

16

De 4 A’s van Access Control

Single Sign-On Secure your assets …


• Door middel van 1 enkele log-in toegang verkrijgen tot multipassword omgeving.

Authenticatie

• Wachtwoorden worden automatische “onder water” veranderd. (policies) • Snelle toegang door sterk verminderde foutkansen . Autorisatie

Audit(trail)

• Koppeling via Webservices, wizards en scripting • Invoeren SSO is vooral voor gebruikersgemak • Invoeren SSO impliceert eigenlijk ook overgang naar sterke authenticatie

Access

(c) BioXs


8-32011



De 4 A’s: Authenticatie

18

De 4 A’s: Autorisatie



Authenticatie Authenticatie

Authenticatie

• Ben je wie je zegt dat je bent

Autorisatie • Wat mag je ? (rechten)

• 3 factoren: ØBezit (pas, token, RFID-, smartcard) ØKennis (PIN, wachtwoord) ØBiometrie (vinger, iris, hand, stem, ader) Audit(trail) •

Autorisatie

Sterke authenticatie

Audit(trail)

ØPIN+pas

• Classificatie informatie (en andere assets) • Single sign-on (SSO), ReducedAutorisatie sign-on (RSO) • Wie bepaalt dat dan? (lijnmanagement) • Life cycle management • Veelal veel vervuiling in ID-registers

ØBiometrie+pas ØUsername/password+telefoon (SMS)

• Compliance (controllers, AO/IC) Access

8-32011

Access


19

8-32011


20

De 4 A’s, Access Secure your assets …


• Stelling:

Authenticatie

Moderne smartphone devices Access • 4 domeinen:

(I-Phones, I-PADS, …) zijn niet goed te beveiligen..

Audit(trail)

Ø fysiek (gebouwen, terreinen, ruimtes)

Autorisatie

Ø Logisch (bedrijfsnetwerken) Ø Internet (remote, the world) Ø Off line (laptops, memory sticks, smartphones)

• wildgroei van oplossingen • verdeelde verantwoordelijkheid Access • Trend integratie fysiek en logisch

21


8-32011


De 4 A’s, Audittrail


Inhoud




Authenticatie

Audittrail • Logging • Reporting (management, compliance)

• Authenticatie en Access Control Autorisatie

Audit(trail)

• Accounting (verrekening) • Access violations (patronen, steekproeven)


• Alarmen en escalaties

• Authenticatie software framework Access

8-32011


23

22

24


IAM-leercurve

Fase 1: organische fase Secure your assets …


Authenticatie

Authenticatie Governance fase

Access fase

Autorisatie

Audit(trail)

Audit(trail)

Authenticatie fase

Autorisatie

Organische fase

Access

Access


8-32011



8-32011

25


Fase 2: Authenticatie Verbeteren authenticatie

Fase 3: Access Verbeteren autorisatie en access

-Nadruk op gemak


-Nadruk op toegang en classificatie assets

-Invoeren SSO en strong authentication

-Invoeren IAM

-User life cycle management

-Access life cycle management

-Knelpunten access control oplossen -Positieve business case

26


-Gefaseerde invoering IAM-systeem (groei)

Authenticatie

-> Neutrale business case Governance fase

Iam

Authenticatie Governance fase

-Voordeel voor beheerders

IAm Access fase

Audit(trail)

Access fase

Authenticatie fase

Autorisatie

Audit(trail)

Organische fase

Autorisatie

Organische fase

Access

8-32011

Authenticatie fase

Access


27

8-32011


28

leercurve voor IAM Verbeteren governance

Impact IAM


-Nadruk op bewaken beheren en managen


Mensen

-Access control life cycle management

• Gebruikers: gemak

-Gefaseerde invoering RBAC -> Neutrale business case

Authenticatie

Authenticatie • Beheerders: eenvoud

Governance fase

-Voordeel voor management en compliance IAM

• Management: ROI • Controllers/CISO: compliance

Access fase

Audit(trail)

• rest of the world: ????

Authenticatie fase

Autorisatie

ICT

Audit(trail) Organisatie

Autorisatie

• Beheerprocessen (4 A’s)

Organische fase

• Heldere verantwoordelijkheden • Voorlichting (WIIFM) • Discipline Access

Access


8-32011



8-32011

29

Een voorbeeld aanpak


Inhoud




Authenticatie

• Authenticatie en Access Control Autorisatie

Audit(trail)


•Centrale rol voor draaiboek (learning loop) •Gebaseerd op best practises •Gebaseerd op Prince-2 Access

8-32011



31

30

32


Access control framework

Wie hebben er behoefte aan een sterke authenticatie framework?


Audit & Security management systeem

Authenticatie methoden


(Authenticators )

Authenticatie management systeem

Single Sign-on

Autorisatie Mgnt. systemen

8-32011

Provisioning & logistiek

Grotere bedrijven en organisaties (>200 medewerkers) met behoefte aan sterke authenticatie

•

Gebruikersgemak, compliance, kostenreductie en/of bestuurbaarheid

• Markten die voorop lopen:

Logische Toe ga ng (M S, SA P, O racle , ..) ,

–

Financial services (compliance)

–

Overheid (information security, privacy)

–

Gezondheidzorg (compliance, operational excellence)

• Voorbeelden: interne t toega ng a ppli ca tie s

User Di re ctorie s AD, L DAP,

Gebruikers •Anywhere •Anytime •Anyplace

• F ysie k e toega ng,

Identity Access Mgnt.

§ Off line Toe ga ng

–

Bedrijven die biometrie invoeren voor sterke authenticatie

–

Bedrijven die contactloze kaarten willen hergebruiken

–

Bedrijven die een SSO-oplossing overwegen of ingevoerd hebben en die sterke authenticatie willen

Contactpersonen: –

ICT-management, security officers, compliance officers.



(c) Authasas-co


33

34

Authenticatie framework Secure your assets …


• Stelling: Er is geen authenticatie methode die in elke situatie de beste is ..

8-32011


35

36


En verder….. Secure your assets …

Authenticatie: • Steeds belangrijker • 4 A’s regelen • Oog voor de leercurve • Goed IT-framework

Dank voor uw aandacht

Vragen??

Vragen? Menno Stijl [email protected] 8-32011



37

38


Mijn naam is Wil Huisman

Recommend Documents