Upload
silas-warner
View
48
Download
3
Embed Size (px)
DESCRIPTION
Důvěřujte JEN PROVĚŘENÝM…. Jednotná autentizace. Pavel Dobiš, ICT Security Architect. Jednotná autentizace. Agenda. Metody autentizace se vyvíjí. Typické útoky na oblast řízení přístupu. Rozsah autentizace. Autentizace aplikace. Autentizace transakce. Autentizace kanálu. - PowerPoint PPT Presentation
Citation preview
Jednotná autentizacePavel Dobiš, ICT Security Architect
Důvěřujte JEN PROVĚŘENÝM…
Jednotná autentizace
Jednotná autentizace
Úvod do jednotné autentizace
Technická architektura
Procesní architektura
Přínosy
Agenda
23.5.2013
Metody autentizace se vyvíjí
Jednotná autentizace
Typické útoky na oblast řízení přístupu
BRUTE FORCE KEYLOGGER
BY-PASS SOCIAL ENGINEERING
23.5.2013
Autentizace aplikace
Autentizace transakce
Rozsah autentizace
Autentizace kanálu
Autentizace zařízení
Autentizace uživatele
Jednotná autentizace23.5.2013
Útočník
Autentizační mechanismy
1.Statické údaje
2.ID
zařízení
3.OTP
4.PKI
5.Dodatečná autentizace
OOB
6.Dodatečná autentizaceEl. podpis
statická hesla, bezpečnostní otázky
jednorázové hesla
webové tokeny, bezkontaktní karty
kontaktní karty
SMS a email
EMV a tokeny
Jednotná autentizace23.5.2013
Jednotná autentizace
Trendy v oblasti autentizace
Adaptivní autentizace Sjednocení logického a fyzického přístupu
23.5.2013
Sjednocení logického a fyzického přístupuUživatelský pohled
Foto
Vstup do budovy
Přístup do PC
Síťový a aplikační přístup Vzdálený přístup Jednotná správa
Personální údaje
Jednotná autentizace23.5.2013
Jednotná autentizace
Správa klíčů
PKI Certifikační autorita
Sjednocení logického a fyzického přístupu
23.5.2013
IDMS CMS
Logický přístupSpráva/ověřeníEnrollment stanice
Personální systém
SchvalovatelZaměstnanec
Fyzický přístup
CDP
Jednotná autentizace
Identity Management System (IDMS)
Přímo nebo nepřímo komunikuje se všemi dalšími komponentami;
Obsahuje rozhraní pro příjem veškerých identifikačních údajů koncového uživatele nutných pro tvorbu karty;
Může být integrován se stávajícími procesy vydávání karet.
23.5.2013
IDMS
Jednotná autentizace
Enrollment Stanice 1/2
Zodpovídá za ověření identity uživatele;
Doplňuje veškeré nutné údaje k zaměstnanci;
Poskytuje podpůrné služby
Typicky se skládá z digitálního fotoaparátu a snímače otisku prstů, případně skeneru.
23.5.2013
Enrollment Stanice
Jednotná autentizace
Enrollment Stanice 2/2
Součástí je self-enrollment
Změna PINu;
Aktivace karty;
Odemčení karty;
Hlášení problémů.
23.5.2013
Enrollment Stanice
Jednotná autentizace
PKI Certifikační Autorita
Zajišťuje životní cyklus privátní klíče a souvisejícího digitálního certifikátu;
Zajišťuje služby pro získání aktuálního stavu certifikátu (typicky CRL, OCSP).
23.5.2013
Správa klíčů
PKI Certifikační autorita
Jednotná autentizace
Management Karet (CMS)
Systém správy karet zajišťuje životní cyklus karty
Zajišťuje podpůrné služby (revokaci, odblokování,…);
Integrace s IDMS, PKI službami, systémem potisku karet, servery jednorázových hesel…;
Umožňuje přípravu karty pro přenos klíčů;
Zajišťuje potisk karet a distribuci karet uživatelům.
23.5.2013
CMS
CDP
Jednotná autentizace
Typické roleRole Odpovědnost
Zaměstnanec předat doklady potvrzující prokazovanou totožnost
Bezpečnostní manažer Zodpovídá za bezpečnostní otázky
Schvalovatel zdůvodňuje potřeby zavedení identity a provádí její autorizaci
Operátor služby podporující prokázání identity
Vydavatel Na základě schváleného požadavku provádí vydání karty s příslušnými oprávněními
23.5.2013
Jednotná autentizace
Ověření identity a vydání karty
23.5.2013
Enrollment Vydavatel
Operátor
Uživatel
SchvalovatelBezpečnostnímanažer
Ověření identity
Uživatelé karty PIV
IDMS Systém správy karet
Centralizace autentizační platformy
Firewall
Uživatel
VIP Uživatel
Network
Autentizačníserver
Informačnísystém
Jméno/heslo
Soft token
OTP token
Knowledge base
PKI
Jednotná autentizace23.5.2013
IVR
Mobil web
Web portál
Call centrum
Fyzický přístup
Příklad pohledu uživatele?
Metody autentizace v praxi
Pracoviště uživatele Bezkontaktní karta
Mobilní kancelář Bezkontaktní karta a OTP
… aneb autentizace v praxi …
Jednotná autentizace23.5.2013
OTP TokenyHardwarové
tokeny
S pinem
Bez pinu
Softwarové tokeny
Personální počítač
Mobilní zařízení
SMS/email
Webové tokeny
Jednotná autentizace23.5.2013
Výběr vhodné metody
Authentication processAttacks/Threat
Threat Resistance RequirementsLevel 1 Level 2 Level 3 Level 4
Online guessing Yes Yes Yes YesReplay Yes Yes Yes YesSession hijacking No Yes Yes YesEavesdropping No Yes Yes YesPhishing/pharming No No Yes YesMan in the middle No Weak Weak StrongDenial of service/flooding No No No No
… alfou a omegou je řízení rizik … a výsledkem je …
Zdro
j: N
IST
SP 8
00-6
3
Efektivní výběr metod
úzce souvisí
s řízením rizik
Jednotná autentizace23.5.2013
Jednotná autentizace23.5.2013
Aspekty výběru autentizační platformy
Celkové náklady Jiné
požadavky a omezení
Snadnost použití
Síla autentizace
RizikoCertifikace Zákony
Uživatelský požadavek
Rozpočet
Přínosy jednotné autentizační platformy
Efektivní kombinace autentizačních metod a nástrojů
Maximalizace uživatelského komfortu při zachování vysoké bezpečnosti
Využití stávajících autentizačních nástrojů
Sjednocení fyzického a logického přístupu
Podpora pro Self-Enrollment
Jednotná autentizace23.5.2013
Jednotná autentizace23.5.2013