Authenticatie
Hoe en Waarmee
-1
Ik ben
Johan van Barend
-2
Kunt U dat
bewijzen?
-3
Hier is mij
identiteitsbewijs
-4
Mag ik uw
pasfoto zien ?
Authentica...
Risico’s en maatregelen
Iets wat men weet
• Wachtwoord
• PIN/TIN
• Antwoord op geheime vraag of
controle vragen
Iets wat m...
-2
-1
Authenticatie over een communicatiekanaal (bijvoorbeeld over internet, telefoon,…)
Iets wat men heeft
•Hoe bewijzen?...
Gartner: Twee-factor authenticatie banken verslagen
17-12-2009,13:02, www.security.nl
De door banken gebruikte twee-factor...
Enkelvoudige versus gelaagde beveiligingsaanpak
Toegangscontrole-1
Intrusie detectie
Intrusie
preventie
Toegangscontrole-2...
Enkelvoudige versus gelaagde beveiligingsaanpak
Toegangscontrole-1
Intrusie detectie
Intrusie
preventie
Toegangscontrole-2...
Upcoming SlideShare
Loading in...5
×

Authenticatie

912

Published on

authenticatie

Published in: Travel, Business
1 Comment
2 Likes
Statistics
Notes
No Downloads
Views
Total Views
912
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
2
Comments
1
Likes
2
Embeds 0
No embeds

No notes for slide

Authenticatie

  1. 1. Authenticatie Hoe en Waarmee
  2. 2. -1 Ik ben Johan van Barend -2 Kunt U dat bewijzen? -3 Hier is mij identiteitsbewijs -4 Mag ik uw pasfoto zien ? Authenticatie proces in face-to-face situatie (bijvoorbeeld in de winkel) Identificeren -zeggen wie je bent Authenticeren -bewijzen wie je bent 1 Iets wat men weet • Wachtwoord • PIN/TIN • Antwoord op geheime vraag of controle vragen *) Iets wat men heeft •Identiteitsbewijs •Sleutel, smartcard •Tokenizer •GSM, persoonlijk telefoonnummer Iets wat men is •Gezichtskenmerken •Lichaamskenmerken •Stemkenmerken 2 3 Twee factoren zijn gecheckt (twee-factor authenticatie) Op basis van drie factoren kan de authenticiteit worden gecheckt *) Controle vragen is op dit moment het meest gebruikte authenticatiemiddel in een klant contact centrum
  3. 3. Risico’s en maatregelen Iets wat men weet • Wachtwoord • PIN/TIN • Antwoord op geheime vraag of controle vragen Iets wat men heeft •Identiteitsbewijs •Sleutel, smartcard •Tokenizer •GSM, persoonlijk telefoonnummer Iets wat men is •Gezichtskenmerken •Lichaamskenmerken •Stemkenmerken Achterhaalbaar •Voorspellen, raden •Onderscheppen Diefstal en namaken Imitatie • Moeilijk te voorspellen • Pogingen inperken • Onderschepping bemoeilijken • Combineren met andere authenticatie factoren • Diefstal bemoeilijken • Namaken bemoeilijken • Combineren met andere authenticatie factoren • Unieke details gebruiken • Combineren met andere authenticatie factoren • Kwalitatief goede bewijsmiddelen zijn kostbaar. • Distributie van middelen en ondersteuning is kostbaar • Diensten voor verlies en blokkadegevallen met ruime openingstijden is kostbaar • Registratie- en toetsingsapparatuur is kostbaar • Kenmerken verzamelen en administreren is kostbaar • False positives of false negatieves zijn niet volledig uit te sluiten Maatregelen • Zwakke wijze van authententicatie • Diensten voor verlies- en blokkadegevallen met ruime openingstijden is kostbaar Nadelen voor aanbieder Nadelen voor de gebruiker Risico’s • Wordt als belastend ervaren • Confrontatie met false negatives • Middelen moeten fysiek aanwezig zijn • Meedragen van middelen is belastend • Lage beveiliging • Onthouden van codes, wachtwoorden 1 2 3
  4. 4. -2 -1 Authenticatie over een communicatiekanaal (bijvoorbeeld over internet, telefoon,…) Iets wat men heeft •Hoe bewijzen? Iets wat men is •Hoe overbrengen ? Afluisteren •Hoe voorkomen? •Eenmalig wachtwoorden via een geheim patroon •Terugcommuniceren naar een uniek (apparaat) in bezit Bijvoorbeeld: terug bellen naar een persoonlijk telefoonnummer • Versleutelen van de communicatie • Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band) Bijvoorbeeld: wachtwoord voor website via SMS versturen • Apparatuur gebruiken die biometrics vertaald naar automatisch te verwerken data Bijvoorbeeld vingerafdruklezer, stemherkenning Man-in-het-midden-aanval (communicatie manipuleren) •Hoe voorkomen? • Versleutelen van de communicatie • Afzonderlijke berichten communiceren over gescheiden kanalen (out-of-band) Bijvoorbeeld: wachtwoord voor website via SMS versturen 2 3 Authenticeren? Risico’s?
  5. 5. Gartner: Twee-factor authenticatie banken verslagen 17-12-2009,13:02, www.security.nl De door banken gebruikte twee-factor authenticatie is niet meer voldoende voor het beschermen van online bankrekeningen, aldus onderzoeksbureau Gartner. Ruim twee jaar geleden gaf Roel Schouwenberg van Kaspersky Lab dezelfde waarschuwing, dat Trojaanse paarden via man-in-the-browser aanvallen twee-factor authenticatie weten te omzeilen. Ook andere sterke authenticatie factoren, zoals chipkaarten en biometrische technologie, die van de browser afhankelijk zijn, zijn volgens de marktvorser op soortgelijke wijze te verslaan. Verder biedt twee-factor authenticatie via de telefoon ook geen oplossing. Aanvallers zouden door gesprekken door te verbinden zich kunnen laten authenticeren in plaats van de legitieme gebruiker. "Deze aanvallen zijn het afgelopen jaar wereldwijd met succes tegen banken en hun klanten uitgevoerd", zegt vice president Avivah Litan. Ze verwacht soortgelijke aanvallen op andere applicaties en diensten met waardevolle gegevens. Monitoring De oplossing volgens Gartner is een "gelaagde aanpak", met server-gebaseerde fraude detectie en "out-of-band transactie verificatie". Hierbij wordt een ander communicatiekanaal dan het primaire communicatiekanaal, bijvoorbeeld de PC, gebruikt voor het verifiëren van een transactie. Voor de ideale aanpak moeten banken daarnaast meerdere maatregelen nemen. Zoals het monitoren van het gedrag van de gebruikers en verdachte transacties. "Aanvallers hebben gedemonstreerd dat sterke twee-factor authenticatie processen zijn te verslaan. Bedrijven moeten hun gebruikers en accounts via een drie-laagse aanpak beschermen die sterkere authenticatie, fraude detectie en transactie verificatie gebruikt.“ Risico’s nemen toe | complexere en kostbare maatregelen zijn noodzakelijk -1 Afluisteren -2 Man-in-het-midden-aanval •Hoe voorkomen?
  6. 6. Enkelvoudige versus gelaagde beveiligingsaanpak Toegangscontrole-1 Intrusie detectie Intrusie preventie Toegangscontrole-2 Toegangscontrole-3 Toegangscontrole-1 Barrière-1 Barrière-2 Barrière-1 Enkelvoudig Gelaagd Goedkoop Kostbaar Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen Eenvoudig ontwerp Complex ontwerp Vereist eenvoudige organisatie Vereist complexe organisatie
  7. 7. Enkelvoudige versus gelaagde beveiligingsaanpak Toegangscontrole-1 Intrusie detectie Intrusie preventie Toegangscontrole-2 Toegangscontrole-3 Toegangscontrole-1 Barrière-1 Barrière-2 Barrière-1 Enkelvoudig Gelaagd Goedkoop Kostbaar Gemakkelijk te kraken of omzeilen Moeilijk te kraken of omzeilen Eenvoudig ontwerp Complex ontwerp Vereist eenvoudige organisatie Vereist complexe organisatie
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×