Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…

ZveřejnilAdam Pokorný

Podobné prezentace

Prezentace na téma: "Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…"— Transkript prezentace:

1 Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…

2 Jednotná autentizace Úvod do jednotné autentizaceTechnická architekturaProcesní architekturaPřínosy Agenda Jednotná autentizace23.5.2013

3 Metody autentizace se vyvíjí

4 Typické útoky na oblast řízení přístupu BRUTE FORCEKEYLOGGER BY-PASS SOCIAL ENGINEERING Jednotná autentizace23.5.2013

5 Autentizace aplikace Autentizace transakce Rozsah autentizace Autentizace kanálu Autentizace zařízení Autentizace uživatele Jednotná autentizace23.5.2013 Útočník

6 Autentizační mechanismy 1. Statické údaje 1. Statické údaje 2. ID zařízení 2. ID zařízení 3. OTP 3. OTP 4. PKI 4. PKI 5. Dodatečná autentizace OOB 5. Dodatečná autentizace OOB 6. Dodatečná autentizace El. podpis 6. Dodatečná autentizace El. podpis statická hesla, bezpečnostní otázky jednorázové hesla webové tokeny, bezkontaktní karty kontaktní karty SMS a email EMV a tokeny Jednotná autentizace23.5.2013

7 Trendy v oblasti autentizace Adaptivní autentizace Sjednocení logického a fyzického přístupu Jednotná autentizace23.5.2013

8 Sjednocení logického a fyzického přístupu Uživatelský pohled Foto Vstup do budovy Přístup do PC Síťový a aplikační přístup Vzdálený přístup Jednotná správa Personální údaje Jednotná autentizace23.5.2013

9 Správa klíčů PKI Certifikační autorita Sjednocení logického a fyzického přístupu Jednotná autentizace23.5.2013 IDMS CMS Logický přístup Správa/ověření Enrollment stanice Personální systém SchvalovatelZaměstnanec Fyzický přístup CDP

10 Identity Management System (IDMS) Přímo nebo nepřímo komunikuje se všemi dalšími komponentami; Obsahuje rozhraní pro příjem veškerých identifikačních údajů koncového uživatele nutných pro tvorbu karty; Může být integrován se stávajícími procesy vydávání karet. Jednotná autentizace23.5.2013 IDMS

11 Enrollment Stanice 1/2 Zodpovídá za ověření identity uživatele; Doplňuje veškeré nutné údaje k zaměstnanci; Poskytuje podpůrné služby Typicky se skládá z digitálního fotoaparátu a snímače otisku prstů, případně skeneru. Jednotná autentizace23.5.2013 Enrollment Stanice

12 Enrollment Stanice 2/2 Součástí je self-enrollment Změna PINu; Aktivace karty; Odemčení karty; Hlášení problémů. Jednotná autentizace23.5.2013 Enrollment Stanice

13 PKI Certifikační Autorita Zajišťuje životní cyklus privátní klíče a souvisejícího digitálního certifikátu; Zajišťuje služby pro získání aktuálního stavu certifikátu (typicky CRL, OCSP). Jednotná autentizace23.5.2013 Správa klíčů PKI Certifikační autorita

14 Management Karet (CMS) Systém správy karet zajišťuje životní cyklus karty Zajišťuje podpůrné služby (revokaci, odblokování,…); Integrace s IDMS, PKI službami, systémem potisku karet, servery jednorázových hesel…; Umožňuje přípravu karty pro přenos klíčů; Zajišťuje potisk karet a distribuci karet uživatelům. Jednotná autentizace23.5.2013 CMS CDP

15 Typické role RoleOdpovědnost Zaměstnanec předat doklady potvrzující prokazovanou totožnost Bezpečnostní manažer Zodpovídá za bezpečnostní otázky Schvalovatel zdůvodňuje potřeby zavedení identity a provádí její autorizaci Operátor služby podporující prokázání identity Vydavatel Na základě schváleného požadavku provádí vydání karty s příslušnými oprávněními Jednotná autentizace23.5.2013

16 Ověření identity a vydání karty Jednotná autentizace23.5.2013 Enrollment Vydavatel Operátor Uživatel Schvalovatel Bezpečnostní manažer Ověření identity Uživatelé karty PIV IDMS Systém správy karet

17 Centralizace autentizační platformy Firewall Uživatel VIP Uživatel Network Autentizační server Informační systém Jméno/heslo Soft token OTP token Knowledge base PKI Jednotná autentizace23.5.2013 IVR Mobil web Web portál Call centrum Fyzický přístup

18 Příklad pohledu uživatele? Metody autentizace v praxi Pracoviště uživateleBezkontaktní karta Mobilní kancelář Bezkontaktní karta a OTP … aneb autentizace v praxi … Jednotná autentizace23.5.2013

19 OTP Tokeny Hardwarové tokeny S pinemBez pinu Softwarové tokeny Personální počítač Mobilní zařízení SMS/email Webové tokeny Jednotná autentizace23.5.2013

20 Výběr vhodné metody Authentication process Attacks/Threat Threat Resistance Requirements Level 1Level 2Level 3Level 4 Online guessingYes ReplayYes Session hijackingNoYes EavesdroppingNoYes Phishing/pharmingNo Yes Man in the middleNoWeak Strong Denial of service/floodingNo … alfou a omegou je řízení rizik … a výsledkem je … Zdroj: NIST SP 800-63 Efektivní výběr metod úzce souvisí s řízením rizik Jednotná autentizace23.5.2013

21 Jednotná autentizace23.5.2013 Aspekty výběru autentizační platformy Celkové náklady Jiné požadavky a omezení Snadnost použití Síla autentizace Riziko Certifikace Zákony Uživatelský požadavek Rozpočet

22 Přínosy jednotné autentizační platformy Efektivní kombinace autentizačních metod a nástrojůMaximalizace uživatelského komfortu při zachování vysoké bezpečnostiVyužití stávajících autentizačních nástrojůSjednocení fyzického a logického přístupuPodpora pro Self-Enrollment Jednotná autentizace23.5.2013

23 Jednotná autentizace23.5.2013

Stáhnout ppt "Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…"

Podobné prezentace

Bezpečný digitální podpis v praxi

Bezpečný digitální podpis v praxi
Elektronický podpis.

Elektronický podpis.
Počítačové praktikum Úvod do předmětu

Počítačové praktikum Úvod do předmětu
Czech POINT Český Podací Ověřovací Informační Národní Terminál Seminář Plzeň Luděk Šafář Projektový manažer.

Czech POINT Český Podací Ověřovací Informační Národní Terminál Seminář Plzeň Luděk Šafář Projektový manažer.
Přednáška č. 5 Proces návrhu databáze

Přednáška č. 5 Proces návrhu databáze
Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.

Operační systémy a aplikační servery Tomáš ZACHAT SPŠ Praha 10, STIC.
Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.

Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.
Tomáš Baďura ARI.  Mnoho velkých společností dávno začalo prosazovat přesun výpočetního výkonu IT do velkých datových center.  Decentralizované systémy.

Tomáš Baďura ARI.  Mnoho velkých společností dávno začalo prosazovat přesun výpočetního výkonu IT do velkých datových center.  Decentralizované systémy.
Global network of innovation 18.10.2004e-government – Užití IT v sociálním pojištění E-government Užití informačních technologií v sociálním pojištění.

Global network of innovation e-government – Užití IT v sociálním pojištění E-government Užití informačních technologií v sociálním pojištění.
Audit IT procesů ve FNOL

Audit IT procesů ve FNOL
SAP Ing. Jiří Šilhán.

SAP Ing. Jiří Šilhán.
Nové funkcionality systému Ing. Michal Pajr IZIP 2005.

Nové funkcionality systému Ing. Michal Pajr IZIP 2005.
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Řízení přístupových práv uživatelů

Řízení přístupových práv uživatelů
Informační systém základních registrů. Obsah Úvod Komunikace se základními registry Autentizace a autorizace Práce s údaji Funkcionalita v rámci Portálu.

Informační systém základních registrů. Obsah Úvod Komunikace se základními registry Autentizace a autorizace Práce s údaji Funkcionalita v rámci Portálu.
Návrh počítačové sítě malé firmy

Návrh počítačové sítě malé firmy
8. dubna 2013ISSS - Portál interních identit, Z. Motl1 Portál interních identit jako nadstavba identity managementu Mgr. Boleslav Bobčík, T-Systems Czech.

8. dubna 2013ISSS - Portál interních identit, Z. Motl1 Portál interních identit jako nadstavba identity managementu Mgr. Boleslav Bobčík, T-Systems Czech.
JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.

JIP a KAAS Co umí. A co nabízí ve vztahu k základním registrům.
VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/34.0883 NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:

VÝUKOVÝ MATERIÁL V RÁMCI PROJEKTU OPVK 1.5 PENÍZE STŘEDNÍM ŠKOLÁM ČÍSLO PROJEKTU:CZ.1.07/1.5.00/ NÁZEV PROJEKTU:ROZVOJ VZDĚLANOSTI ČÍSLO ŠABLONY:
Databázové systémy Architektury DBS.

Databázové systémy Architektury DBS.

Podobné prezentace

Reklamy Google