« Security that triggers trust » © NTX Research, 2009 1 / 14 Pascal Thoniel Founder & CEO NTX Research Official Forum Panellist of SEC 3 session Digital

« Security that triggers trust »© NTX Research, 20091 / 14

Pascal ThonielFounder & CEO NTX Research

Official Forum Panellist of SEC 3 session

Digital Identity and Authentication


CyberSecurity – SEC 3 – Tuesday Oct 6th 2009

Cybersecurity• Managing digital

identity: the good, the bad, the ugly

Cybersécurité• Gérer l'identité

numérique : le bon, le mauvais, le pire

Digital identities are central to modern life, in performing banking transactions, making purchases, obtaining medical treatment, not to mention building and maintaining your personal or corporate reputation.Identity theft has become a serious threat, both on the Internet and in data recovered from stolen or second hand discs and computers. Protecting corporate, customer, employee and personal digital identity is of critical importance.


Index of questions

1. How to properly protect critical data?

2. What tools are now available to protect digital identity and

3. How best to implement them in your country or company?

4. How to implement and improve identity management processes?

1. Comment protéger efficacement les données critiques?

2. Quels sont les outils disponibles pour protéger l’identité numérique

3. Comment les implémenter au mieux dans votre entreprise ou votre pays?

4. Comment mettre en oeuvre et améliorer les processus de gestion d’identité?


How to properly protect critical data? 1 of 2 Comment protéger efficacement les données critiques? 1 sur 2

a) The more you know the better you can protect. The first thing to do in all organizations (companies or administrations) is to classify Digital Identity data (id + credentials + attributes).

b) Regarding identity management, the second thing to do is to know the owner of these data:

• who is the legitimate owner

• who are the authorized keepers

• who can certify these data (an address, a social security number, a data of birth...).

a) On ne protège bien que ce que l'on connait bien. La première chose à faire dans toute organisation (entreprise ou administration) c'est donc la classification des données de l'identé numérique (identités + crédentiels + attributs).

b) En matière de gestion des identités, la deuxième chose à faire c'est de savoir à qui appartiennent ces données :

• qui en est le propriétaire légitime

• qui en sont les détenteurs autorisés

• qui peut certifier ces données (une adresse, un numéro de sécurité sociale, une date de naissance...).


How to properly protect critical data? 2 of 2 Comment protéger efficacement les données critiques? 2 sur 2

c) The third part is about the controlled distribution of such a data. In short, there are three musts:

• control access to these data

• control data distribution (which is much more difficult)

• prevent creation of false data about yourself

The biggest danger in terms of digital identity remains impersonation. That is someone that can pretend it is you on the Internet. Consequences can be devastating ….

c) Le troisième volet concerne la diffusion contrôlée de ces données. En bref, il existe trois impératifs :

• contrôler l'accès à ces données

• contrôler leur diffusion (ce qui est beaucoup plus dur)

• éviter la création de fausses données vous concernant

Le plus grand danger en matière d'identité numérique reste l'usurpation d'identité. C'est-à-dire quelqu'un qui est en mesure de se faire passer pour vous sur Internet. Les conséquences peuvent être dramatiques...


One of the main piece of digital identity protection is Authentication.• Definition: bring or verify the proof of an individual’s identity.

Auhtentication is a security function. This security function is performed by security devices (hardware and software) involving an authentication method

Solutions are available for a limited group of individuals: more or less safe, more or less expensive. Usually, one can find solutions: less expensive but less secure or more secure but expensive.

Une des briques essentielle de la protection de l'identité numérique est l'Authentification.

• Définition : apporter ou vérifier la preuve de l'identité d'un individu.

L'authentification est une fonction de sécurité. Cette fonction de sécurité est assurée par un dispositif de sécurité (matériel et logiciel) mettant en oeuvre une méthode d'authentification.

Les solutions existent pour un petit nombre d'individus : +ou- sûres, +ou- chères. En général, on trouve des solutions : - chères mais - sûres ou bien + sûres mais + chères.

What tools are now available to protect digital identity? 1 of 4

Quel sont les outils disponibles pour protéger l’identité numérique? 1 sur 4




The problem is the following: • Which solution to offer to the scale of the Internet ?

That is a solution More Secure AND Less Expensive A safer solution, that is a strong authentication, usually implies 2-factor

authentication For example: what I OWN (an authentication device) and what I KNOW

(password, secret code). But there is also what I AM (biometrics) and what I CAN do (handwriting, signature)

Le problème est le suivant : • Quelles solutions proposer à l'échelle de l'Internet ?

C'est-à-dire + sûres ET - chères. Une solution + sûre, c'est-à-dire une authentification, implique en général 2

facteurs. Par exemple : ce que je POSSEDE (un authentifieur physique) et ce que je

SAIS (mot de passe, code secret). Mais il y a aussi ce que je SUIS (biométrie) et ce que je SAIS FAIRE (signature manuscrite)


But it is impossible to impose everyone the same physical authentication device:

• In a large company, organisation or administration: various population types imply various behaviours and habits

• Such a phenomenon is even more present on Internet for the citizen/user/consumer: very diverse groups (age, culture, social level…)

Mais il est impossible d'imposer à tous le même authentifieur ou support physique d'authentification :

• dans une grande entreprise, une grande organisation ou une administration : des populations différentes impliquent des comportements, des habitudes différentes

• ce phénomène est encore accentué sur Internet pour le citoyen/consommateur : des groupes très diversifiés (âge, culture, CSP...)




Cheaper solution usually implies:• a 100% software method

• implementable on all types of physical devices

• a) low cost devices: USB data key, CD-card …

• b) expensive devices but already paid by citizen/consumer: Mobile phones and smartphones

An example of 100% hardware solution thus implementable on all authentication devices but remains seafe: code books with virtual secret code

Une solution moins chère implique en général :• une méthode 100 % logicielle

• embarquable sur tout type de supports physiques :

• a) des supports pas chers : cédécartes, clés USB...

• b) des supports chers mais déjà payé par le citoyen/consommateur : téléphones mobiles et smartphones

Un exemple de solution 100 % logicielle donc embarquable sur tout authentifieur mais qui reste sûre : les tables de codage avec code secret virtuel.




How best to implement them in your country or company? 1 of 2

Comment les implémenter au mieux dans votre entreprise ou votre pays? 1 sur 2

At a countrywide scale, there are two ways:• Identity federation (Liberty Alliance) • Identity selector (Infocard)

A l'échelle d'un pays, il existe 2 approches :• la fédération d'identité de type Liberty Alliance• le sélecteur d'identité de type Infocard


How best to implement them in your country or company? 2 of 2

Comment les implémenter au mieux dans votre entreprise ou votre pays? 2 sur 2

Quick description:• Identity federation: initial user consent to data structuring, storage and secured

exchanges with central entities (server side)

• Identity selector: user centric – direct management (storage and consent at time of use) by user (client side) .

Experiment a mix of both: that is the FC² project objective performed in France within the System@tic and TES clusters framework.

Description rapide :• La fédération d'identité : structuration des données, de leur stockage et de leurs

échanges sécurisés au niveau des acteurs centraux (côté serveur) avec consentement initial de l'utilisateur.

• Le sélecteur d'identité : centré sur l'utilisateur - gestion directe (stockage et consentement à l'utilisation) par l'utilisateur (côté client).

Expérimenter un mixte des deux : c'est l'objectif du projet FC² mené en France dans le cadre des pôles de compétitivité System@tic et TES.


How to implement and improve identity management processes? 1 of 2

Comment mettre en oeuvre et améliorer les processus de gestion d’identité? 1 sur 2

The Single Sign On technique (SSO)• SSO Definition: Inter-domain propagation of a successfull authentication via secured

token sent from one server to another

Pseudo-SSO, meanwhile, intends to make transparent to the user, the numerous authentication processes that are taking place (for example several « challenge-response »). User input is only requested once to enter its password or secret code, but multiple authentication are triggered on client site. The « code books with virtual secret code » can perform pseudo-SSO

La technique du Single Sign On (SSO).• Définition du SSO : propagation inter-domaines d'une authentification réussie via des

jetons envoyés de serveur à serveur.

Le pseudo-SSO, quant à lui, vise à rendre transparent pour l'utilisateur la multiplicité des processus d'authentification qui vont s'exécuter (par exemple plusieurs "défi-réponse"). L'utilisateur n'est sollicité qu'une seule fois pour saisir son mot de passe ou son code secret, mais de multiples processus d'authentification sont déclenchés côté client. La solution des "tables de codage avec code secret virtuel" permet du pseudo-SSO.


How to implement and improve identity management processes? 2 of 2

Comment mettre en oeuvre et améliorer les processus de gestion d’identité? 2 sur 2

Generally speaking, how to improve identity management processes:• Inform and make aware people on stake and safe usage of their identity (and the threats

they are exposed to, the worst would be not to pay attention to its digitial identity)

• Promote carefull and controlled use of personnal social networks (Facebook) and professionnal ones (LinkedIn, Viadeo)

• Make available to users easy to use and understand security tools (identity selector, strong authentication systems)

• For Web based solution providers: Mix both identity federation and identity selector (keep best of both worlds)

Plus globalement, comment améliorer les processus de gestion des identités :

• informer et sensibiliser les personnes sur l'enjeu et l'usage sûr de leur identité (à contrario les dangers qu'ils courent, la pire erreur est de ne pas s'occuper de son identité numérique)

• promouvoir l'usage raisonné et maîtrisé des réseaux sociaux personnels (Facebook) et professionnels (LinkedIn, Viadeo)

• fournir aux utilisateurs des outils de sécurité compréhensibles et à usage facile (sélecteur d'identité, système d'authentification forte)

• pour les fournisseurs de solutions Web : mixer l'approche fédération d'identité et sélecteur d'identité (garder le meilleur des 2 mondes)


Your contacts

Pascal Thoniel, CEO & CTO [email protected]

Francis Melemedjian, [email protected]

NTX Research SA111 avenue Victor Hugo

75116 Paris, France+33 1 47 66 39 85

www.ntx-research.com

Documents

« Security that triggers trust » © NTX Research, 2009 1 / 14 Pascal Thoniel Founder & CEO NTX Research Official Forum Panellist of SEC 3 session Digital