Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
ZveřejnilAdam Pokorný
1
Jednotná autentizace Pavel Dobiš, ICT Security Architect Důvěřujte JEN PROVĚŘENÝM…
2
Jednotná autentizace Úvod do jednotné autentizaceTechnická architekturaProcesní architekturaPřínosy Agenda Jednotná autentizace23.5.2013
3
Metody autentizace se vyvíjí
4
Typické útoky na oblast řízení přístupu BRUTE FORCEKEYLOGGER BY-PASS SOCIAL ENGINEERING Jednotná autentizace23.5.2013
5
Autentizace aplikace Autentizace transakce Rozsah autentizace Autentizace kanálu Autentizace zařízení Autentizace uživatele Jednotná autentizace23.5.2013 Útočník
6
Autentizační mechanismy 1. Statické údaje 1. Statické údaje 2. ID zařízení 2. ID zařízení 3. OTP 3. OTP 4. PKI 4. PKI 5. Dodatečná autentizace OOB 5. Dodatečná autentizace OOB 6. Dodatečná autentizace El. podpis 6. Dodatečná autentizace El. podpis statická hesla, bezpečnostní otázky jednorázové hesla webové tokeny, bezkontaktní karty kontaktní karty SMS a email EMV a tokeny Jednotná autentizace23.5.2013
7
Trendy v oblasti autentizace Adaptivní autentizace Sjednocení logického a fyzického přístupu Jednotná autentizace23.5.2013
8
Sjednocení logického a fyzického přístupu Uživatelský pohled Foto Vstup do budovy Přístup do PC Síťový a aplikační přístup Vzdálený přístup Jednotná správa Personální údaje Jednotná autentizace23.5.2013
9
Správa klíčů PKI Certifikační autorita Sjednocení logického a fyzického přístupu Jednotná autentizace23.5.2013 IDMS CMS Logický přístup Správa/ověření Enrollment stanice Personální systém SchvalovatelZaměstnanec Fyzický přístup CDP
10
Identity Management System (IDMS) Přímo nebo nepřímo komunikuje se všemi dalšími komponentami; Obsahuje rozhraní pro příjem veškerých identifikačních údajů koncového uživatele nutných pro tvorbu karty; Může být integrován se stávajícími procesy vydávání karet. Jednotná autentizace23.5.2013 IDMS
11
Enrollment Stanice 1/2 Zodpovídá za ověření identity uživatele; Doplňuje veškeré nutné údaje k zaměstnanci; Poskytuje podpůrné služby Typicky se skládá z digitálního fotoaparátu a snímače otisku prstů, případně skeneru. Jednotná autentizace23.5.2013 Enrollment Stanice
12
Enrollment Stanice 2/2 Součástí je self-enrollment Změna PINu; Aktivace karty; Odemčení karty; Hlášení problémů. Jednotná autentizace23.5.2013 Enrollment Stanice
13
PKI Certifikační Autorita Zajišťuje životní cyklus privátní klíče a souvisejícího digitálního certifikátu; Zajišťuje služby pro získání aktuálního stavu certifikátu (typicky CRL, OCSP). Jednotná autentizace23.5.2013 Správa klíčů PKI Certifikační autorita
14
Management Karet (CMS) Systém správy karet zajišťuje životní cyklus karty Zajišťuje podpůrné služby (revokaci, odblokování,…); Integrace s IDMS, PKI službami, systémem potisku karet, servery jednorázových hesel…; Umožňuje přípravu karty pro přenos klíčů; Zajišťuje potisk karet a distribuci karet uživatelům. Jednotná autentizace23.5.2013 CMS CDP
15
Typické role RoleOdpovědnost Zaměstnanec předat doklady potvrzující prokazovanou totožnost Bezpečnostní manažer Zodpovídá za bezpečnostní otázky Schvalovatel zdůvodňuje potřeby zavedení identity a provádí její autorizaci Operátor služby podporující prokázání identity Vydavatel Na základě schváleného požadavku provádí vydání karty s příslušnými oprávněními Jednotná autentizace23.5.2013
16
Ověření identity a vydání karty Jednotná autentizace23.5.2013 Enrollment Vydavatel Operátor Uživatel Schvalovatel Bezpečnostní manažer Ověření identity Uživatelé karty PIV IDMS Systém správy karet
17
Centralizace autentizační platformy Firewall Uživatel VIP Uživatel Network Autentizační server Informační systém Jméno/heslo Soft token OTP token Knowledge base PKI Jednotná autentizace23.5.2013 IVR Mobil web Web portál Call centrum Fyzický přístup
18
Příklad pohledu uživatele? Metody autentizace v praxi Pracoviště uživateleBezkontaktní karta Mobilní kancelář Bezkontaktní karta a OTP … aneb autentizace v praxi … Jednotná autentizace23.5.2013
19
OTP Tokeny Hardwarové tokeny S pinemBez pinu Softwarové tokeny Personální počítač Mobilní zařízení SMS/email Webové tokeny Jednotná autentizace23.5.2013
20
Výběr vhodné metody Authentication process Attacks/Threat Threat Resistance Requirements Level 1Level 2Level 3Level 4 Online guessingYes ReplayYes Session hijackingNoYes EavesdroppingNoYes Phishing/pharmingNo Yes Man in the middleNoWeak Strong Denial of service/floodingNo … alfou a omegou je řízení rizik … a výsledkem je … Zdroj: NIST SP 800-63 Efektivní výběr metod úzce souvisí s řízením rizik Jednotná autentizace23.5.2013
21
Jednotná autentizace23.5.2013 Aspekty výběru autentizační platformy Celkové náklady Jiné požadavky a omezení Snadnost použití Síla autentizace Riziko Certifikace Zákony Uživatelský požadavek Rozpočet
22
Přínosy jednotné autentizační platformy Efektivní kombinace autentizačních metod a nástrojůMaximalizace uživatelského komfortu při zachování vysoké bezpečnostiVyužití stávajících autentizačních nástrojůSjednocení fyzického a logického přístupuPodpora pro Self-Enrollment Jednotná autentizace23.5.2013
23
Jednotná autentizace23.5.2013
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.