SlideShare a Scribd company logo

To-faktor-autentisering og Feide

Snorre Løvås
Snorre Løvås

Presentasjon for fylkeskommunenes IT-forum: To-faktor-autentisering, sikkerhetsnivå 3 og Feide.

Technology
1 of 24
Download to read offline
To-faktor-autentisering og Feide Fylkeskommunalt IT-forum, Arendal 2011-06-17 Snorre Løvås snorre.lovas@iktsenteret.no @snorrelo http://www.slideshare.com/snorrelo
http://www.rb.no/lokale_nyheter/article5615982.ece
Hva ønsker dere å oppnå? à Sikrere identifisering av brukeren? à Ekstra sjekk ved viktige operasjoner? à Ekstra sjekk om brukeren fremdeles er den som logget inn? à Signering? à Logging, historie og deteksjon? 3
To-faktor autentisering à To-faktor/to-nivå/to-stegs autentisering à Tilgjengelige faktorer: •  Noe personen vet - for eksempel et passord •  Noe personen har - for eksempel en passordkalkulator/kodekort •  Noe personen er - for eksempel et fingeravtrykk à Eksempler på noe en har: 4
Autentisering på Nivå 3 à Definert i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor à Risikonivå 1 – 4 => Sikkerhetsnivå 1-4 à Setter forskjellige krav: •  Krav til autentiseringsfaktor(er) •  Krav til utlevering til bruker •  Krav til sikring av autentiseringsfaktorer ved lagring •  Krav til uavviselighet •  Krav til offentlig godkjenning 5
Autentisering på Nivå 3 (forts) à Krav til autentiseringsfaktor(er) •  To-faktor, hvorav en er dynamisk à Krav til utlevering til bruker •  Post til folkeregistrert adresse. Utsendelsesprosedyren skal ha integrert tilleggssikring som sørger for at sannsynligheten for at feil person tar løsningen i bruk minimaliseres à Krav til sikring av autentiseringsfaktorer ved lagring •  Dynamiske kan være kopierbare. Statiske kan ikke være kopierbare 6
Autentisering på Nivå 3 (forts) à Krav til uavviselighet •  Det skal foreligge rutiner og logger, som gjør at det er rimelig sikkert at kommunikasjonsparten står bak en handling eller et informasjonselement à Krav til offentlig godkjenning •  Ingen krav à Alle løsninger på et høyere nivå vil kunne benyttes på et lavere sikkerhetsnivå 7
To-faktor autentisering eller Nivå 3 på tjenester à  Hva er det dere ønsker? •  To-faktor autentisering? •  Nivå 3 etter rammeverket? à  Hvor grovkornet skal en være? •  Ekstra beskyttelse for hele tjenesten eller funksjoner i tjenesten? •  For alle brukere, spesielle brukergrupper? à  Hvem bestemmer hva som skal beskyttes ekstra? •  Feide (KD, UNINETT, IKT-senteret)? •  Hver tjenesteleverandøren? •  Hver kundene/skoleeierne? •  ”Fellesskapet” (Feide, tjenesteleverandøren, kundene av tjenesten)? 8
Noen konsekvenser ved innføring av to- faktor / Nivå 3 i Feide à Datakvalitet •  Strengere krav til kontinuerlig datakvalitet på knytning mellom person og autentiseringsfaktorer, utlevering og tilbaketrekking à Tekniske endringer i •  Feides innloggingstjeneste •  Hver tjeneste som skal benytte to-faktor à Kostnader •  Sannsynligvis transaksjonskostnad pr autentisering (uansett hvem som ender med å ta kostnaden) •  En-faktor: 2,3 øre pr innlogging i snitt for fylkeskommunene våren 2011 •  To-faktor med SMS: Regn med ca 30 øre pr innlogging 9
Single Sign-on à Single Sign-on er en separat problemstilling fra autentiseringsfaktorer og sikkerhetsnivå. Men relatert… Single sign-on mellom tjenester på et risikonivå medfører ikke automatisk at en person må autentisere seg på et høyre sikkerhetsnivå. à Skal den sikrere identifiseringen av brukeren ved to-faktor også gi single sign-on på dette sikkerhetsnivået? à Hvem bestemmer om single sign-on skal være tillatt eller ikke? 10
Feide og eID/Id-porten i dag à Feide à ID-porten •  Målgruppe: Personer i •  Målgruppe: Lovlige utdanningssektoren innbyggere i Norge (over 13) •  Tjenester: Alle som gir en •  Tjenester: Offentlige tjenester merverdi for sektoren rettet mot innbyggere •  Desentralisert lagring, sentral •  Sentralisert lagring, sentral innlogging innlogging •  Lokalt lagres en del •  Sentralt lagres litt om alle informasjon om personer i innbyggere sektoren •  Identifikator: Feide-id •  Identifikator: Fødselsnummer 11
Feide og eID/Id-porten i dag à Feide à ID-porten •  Sikkerhetsnivå: ”Nivå 2-ish”. •  Sikkerhetsnivå: Nivå 3 og Ikke innpassa i rammeverket Nivå 4 •  Autentisering: en-faktor, kan •  Autentisering: to-faktor økes •  Brukskostnad: Fastpris etter •  Brukskostnad: Gratis 2011/ type og størrelse Ukjent/Volumbasert 12
Noen mulige to-faktorløsninger med Feide og Id-porten à Viser noen tekniske muligheter •  Dette er ikke en uttømmende liste à Ser helt bort i fra •  Målgrupper •  Tillatte tjenester •  Avtaleverk osv à Ikke diskutert med Difi/FAD 13
Null-alternativet, tjenestene må sørge for to- faktor selv ... Feide-ID e.l. •  Hver tjeneste må +mobilnummer Engangskode +attributter implementere to-faktor •  Kan ende ut med mange forskjellige løsninger •  Ingen endringer i Feide og hos skoleeierne "Karakter og fravær"-tjeneste 14
Feide tilbyr to-faktor autentisering Engangskode ... Feide-ID e.l. •  Feide må legge til støtte for +attributter to-faktor •  En felles måte for metode for alle Feide-tjenester(?) •  Ingen tekniske endringer hos skoleeierne "Karakter og fravær"-tjeneste 15
Id-porten for to-faktor og Feide en-faktor som innlogging i tjeneste ... Fødselsnummer Feide-ID el.l. +attributter •  Bruker må forholde seg til to innloggingsløsninger •  Hver tjeneste må tilpasse seg to innloggingstjenester "Karakter og fravær"-tjeneste •  Hver tjeneste må inneholde fødselsnummer •  Ingen endringer i ID-porten, Feide og hos skoleeierne 16
Id-porten som to-faktor-løsning for innlogging i Feide F.nr Fødselsnummer ... Feide-ID el.l. +attributter ? Hvor kommer du fra? Hvilken Feide-bruker har dette fødselsnummeret? •  En innloggingstjeneste for "Karakter og fravær"-tjeneste tjenestene •  Feide må kunne lese all info i alle Feide-LDAPene hele tiden 17
Id-porten for to-faktor innlogging, attributter fra Feide •  En innloggingstjeneste for tjenestene •  Tjenestene må hente ekstra informasjon fra Feide •  Feide må kunne lese all info i alle Feide-LDAPene hele tiden F.nr "Karakter og fravær"-tjeneste F.nr ? Hvor kommer du fra? Hvilken Feide-bruker har dette fødselsnummeret? Attributter ... 18
Id-porten for to-faktor innlogging, attributter fra skoleeierne •  En innloggingstjeneste for tjenestene •  Hver tjenestene må hente ekstra informasjon fra akke skoleeierne •  Alle skoleeier må tilby attributter til tjenester og SSO mot Id-porten F.nr F.nr "Karakter og fravær"-tjeneste ? Hvor kommer du fra? Attributter for innlogget bruker SSO mellom tjenester og attrbuttlager 19
Logging, historie og deteksjon à Er konsekvensene størst ved at noen kommer inn og ser informasjon? à Eller er det at informasjon blir endret/slettet og at dette ikke blir oppdaget? Siste innlogginger: Torsdag 16. juni kl 08:42 fra admpool-104.ntfk.no Fravær: 2 satt, 3 endret Karakterer: 3 satt Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no Fravær: 2 endret Karakterer: 2 endret Tirsdag 14. juni kl 10:58 fra admpool-145.ntfk.no Fravær: 4 satt Karakterer: 14 satt Søndag 12. juni kl 08:35 fra dhcp-135.124.3.123.ntebb.no Fravær: ingen endringer Karakterer: 3 satt Mer... 20
Logging, historie og deteksjon Detaljer: Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no Ola Nordmann(olanor) 3 timer fravær 15. januar endret til 0 timer Ola Nordmann(olanor) 4 timer fravær 7. februar endet til 0 timer Ola Nordmann(olanor) Fysikk 2 (REA3005) Standpunktkarakter vår 2011 endret fra 4 til 5 Truls Blære(trubla) Fysikk 2 (REA3005) Standpunktkarakter vår 2011 endret fra 4 til 3 21
Min anbefaling à Kjør en risikoanalyse på tjenestene og finn ut hva det er dere ønsker à For to-faktor autentisering finn ut om det er to-faktor eller Nivå 3 dere ønsker à Er det et behov for bedre logging, historie og deteksjon av endringer? I tillegg til eller i stedet for to-faktor? à Diskuter gjerne med oss og Feide om mulige løsninger og de tilhørende konsekvensene for helheten og for hver av dere 22
Mer informasjon à Feide i skolen http://uninettabc.no/feide/ à Feide http://feide.no/ à Difi – Elektronisk ID http://www.difi.no/elektronisk-id à Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor http://bit.ly/mF4qyO 23
KOMMER! (skamløs promotering) FITS-kurs - Rammeverk for IKT-drift i skolen http://iktsenteret.no/bedre-ikt-drift-med-fits

Recommended

Tofaktorautentisering og feide
Tofaktorautentisering og feideTofaktorautentisering og feide
Tofaktorautentisering og feide
Snorre Løvås
 
Sterk autentisering med feide elverum kommune
Sterk autentisering med feide elverum kommuneSterk autentisering med feide elverum kommune
Sterk autentisering med feide elverum kommune
Senter for IKT i utdanningen, redaksjon
 
Feide fagdag 10.6.15 to faktor buskerud fylkeskommune
Feide fagdag 10.6.15 to faktor buskerud fylkeskommuneFeide fagdag 10.6.15 to faktor buskerud fylkeskommune
Feide fagdag 10.6.15 to faktor buskerud fylkeskommune
Senter for IKT i utdanningen, redaksjon
 
Digital dømmekraft - IKT-plan
Digital dømmekraft - IKT-planDigital dømmekraft - IKT-plan
Digital dømmekraft - IKT-plan
iktplan
 
Tone
ToneTone
Tone
iktplan
 
Nye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorerNye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorer
Snorre Løvås
 
Feide - Veikart og veivalg
Feide - Veikart og veivalgFeide - Veikart og veivalg
Feide - Veikart og veivalg
Snorre Løvås
 
Nye feide - teknisk oversikt - vertsorganisasjoner
Nye feide - teknisk oversikt - vertsorganisasjonerNye feide - teknisk oversikt - vertsorganisasjoner
Nye feide - teknisk oversikt - vertsorganisasjoner
Snorre Løvås
 

Recommended

Tofaktorautentisering og feide
Tofaktorautentisering og feideTofaktorautentisering og feide
Tofaktorautentisering og feide
Snorre Løvås
 
Sterk autentisering med feide elverum kommune
Sterk autentisering med feide elverum kommuneSterk autentisering med feide elverum kommune
Sterk autentisering med feide elverum kommune
Senter for IKT i utdanningen, redaksjon
 
Feide fagdag 10.6.15 to faktor buskerud fylkeskommune
Feide fagdag 10.6.15 to faktor buskerud fylkeskommuneFeide fagdag 10.6.15 to faktor buskerud fylkeskommune
Feide fagdag 10.6.15 to faktor buskerud fylkeskommune
Senter for IKT i utdanningen, redaksjon
 
Digital dømmekraft - IKT-plan
Digital dømmekraft - IKT-planDigital dømmekraft - IKT-plan
Digital dømmekraft - IKT-plan
iktplan
 
Tone
ToneTone
Tone
iktplan
 
Nye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorerNye Feide - oversikt for tjenesteleverandorer
Nye Feide - oversikt for tjenesteleverandorer
Snorre Løvås
 
Feide - Veikart og veivalg
Feide - Veikart og veivalgFeide - Veikart og veivalg
Feide - Veikart og veivalg
Snorre Løvås
 
Nye feide - teknisk oversikt - vertsorganisasjoner
Nye feide - teknisk oversikt - vertsorganisasjonerNye feide - teknisk oversikt - vertsorganisasjoner
Nye feide - teknisk oversikt - vertsorganisasjoner
Snorre Løvås
 
2017 i tall - Feides innloggingstjeneste
2017 i tall - Feides innloggingstjeneste2017 i tall - Feides innloggingstjeneste
2017 i tall - Feides innloggingstjeneste
Snorre Løvås
 
2016 i tall - Feides innloggingstjeneste
2016 i tall - Feides innloggingstjeneste2016 i tall - Feides innloggingstjeneste
2016 i tall - Feides innloggingstjeneste
Snorre Løvås
 
Mellomvare og integrasjon - sett fra UNINETT
Mellomvare og integrasjon - sett fra UNINETTMellomvare og integrasjon - sett fra UNINETT
Mellomvare og integrasjon - sett fra UNINETT
Snorre Løvås
 
2015 i tall - Feides innloggingstjeneste
2015 i tall - Feides innloggingstjeneste2015 i tall - Feides innloggingstjeneste
2015 i tall - Feides innloggingstjeneste
Snorre Løvås
 
Oppbygning av en Feide-LDAP
Oppbygning av en Feide-LDAPOppbygning av en Feide-LDAP
Oppbygning av en Feide-LDAP
Snorre Løvås
 
Krav til informasjon i Feide
Krav til informasjon i FeideKrav til informasjon i Feide
Krav til informasjon i Feide
Snorre Løvås
 
Funksjonalitet i et brukeradministrativt system
Funksjonalitet i et brukeradministrativt systemFunksjonalitet i et brukeradministrativt system
Funksjonalitet i et brukeradministrativt system
Snorre Løvås
 
UNINETT ABC – strategi og satsningsområder
UNINETT ABC – strategi og satsningsområderUNINETT ABC – strategi og satsningsområder
UNINETT ABC – strategi og satsningsområder
Snorre Løvås
 
Feide Nøkkelen til den digitale skolen
Feide Nøkkelen til den digitale skolenFeide Nøkkelen til den digitale skolen
Feide Nøkkelen til den digitale skolen
Snorre Løvås
 
Connect og Feide - Workshop 2015-09-22
Connect og Feide - Workshop 2015-09-22Connect og Feide - Workshop 2015-09-22
Connect og Feide - Workshop 2015-09-22
Snorre Løvås
 
Connect og Feide - Workshop 2015-09-10
Connect og Feide - Workshop 2015-09-10Connect og Feide - Workshop 2015-09-10
Connect og Feide - Workshop 2015-09-10
Snorre Løvås
 
Feide - Sammenkobling lokal og nasjonal sso
Feide - Sammenkobling lokal og nasjonal ssoFeide - Sammenkobling lokal og nasjonal sso
Feide - Sammenkobling lokal og nasjonal sso
Snorre Løvås
 
Digital Eksamen - Integrasjon - UNINETT-konferanse 2015
Digital Eksamen - Integrasjon - UNINETT-konferanse 2015Digital Eksamen - Integrasjon - UNINETT-konferanse 2015
Digital Eksamen - Integrasjon - UNINETT-konferanse 2015
Snorre Løvås
 
2014 i tall - Feides innloggingstjeneste
2014 i tall - Feides innloggingstjeneste2014 i tall - Feides innloggingstjeneste
2014 i tall - Feides innloggingstjeneste
Snorre Løvås
 
Digital Eksamen - Integrasjon - SUHS 2014
Digital Eksamen - Integrasjon - SUHS 2014Digital Eksamen - Integrasjon - SUHS 2014
Digital Eksamen - Integrasjon - SUHS 2014
Snorre Løvås
 
Feide Connect for Feide administratorsamling
Feide Connect for Feide administratorsamlingFeide Connect for Feide administratorsamling
Feide Connect for Feide administratorsamling
Snorre Løvås
 
Digital Exams - Integration - Dialogkonferanse
Digital Exams - Integration - DialogkonferanseDigital Exams - Integration - Dialogkonferanse
Digital Exams - Integration - Dialogkonferanse
Snorre Løvås
 
Gruppeinformasjon i Feide
Gruppeinformasjon i FeideGruppeinformasjon i Feide
Gruppeinformasjon i Feide
Snorre Løvås
 
Valgfrihetens forbannelser - eKommune 2013
Valgfrihetens forbannelser - eKommune 2013Valgfrihetens forbannelser - eKommune 2013
Valgfrihetens forbannelser - eKommune 2013
Snorre Løvås
 
FITS - IKT-drift slik det burde være
FITS - IKT-drift slik det burde væreFITS - IKT-drift slik det burde være
FITS - IKT-drift slik det burde være
Snorre Løvås
 

More Related Content

More from Snorre Løvås

More from Snorre Løvås (20)

2017 i tall - Feides innloggingstjeneste
2017 i tall - Feides innloggingstjeneste2017 i tall - Feides innloggingstjeneste
2017 i tall - Feides innloggingstjeneste
 
2016 i tall - Feides innloggingstjeneste
2016 i tall - Feides innloggingstjeneste2016 i tall - Feides innloggingstjeneste
2016 i tall - Feides innloggingstjeneste
 
Mellomvare og integrasjon - sett fra UNINETT
Mellomvare og integrasjon - sett fra UNINETTMellomvare og integrasjon - sett fra UNINETT
Mellomvare og integrasjon - sett fra UNINETT
 
2015 i tall - Feides innloggingstjeneste
2015 i tall - Feides innloggingstjeneste2015 i tall - Feides innloggingstjeneste
2015 i tall - Feides innloggingstjeneste
 
Oppbygning av en Feide-LDAP
Oppbygning av en Feide-LDAPOppbygning av en Feide-LDAP
Oppbygning av en Feide-LDAP
 
Krav til informasjon i Feide
Krav til informasjon i FeideKrav til informasjon i Feide
Krav til informasjon i Feide
 
Funksjonalitet i et brukeradministrativt system
Funksjonalitet i et brukeradministrativt systemFunksjonalitet i et brukeradministrativt system
Funksjonalitet i et brukeradministrativt system
 
UNINETT ABC – strategi og satsningsområder
UNINETT ABC – strategi og satsningsområderUNINETT ABC – strategi og satsningsområder
UNINETT ABC – strategi og satsningsområder
 
Feide Nøkkelen til den digitale skolen
Feide Nøkkelen til den digitale skolenFeide Nøkkelen til den digitale skolen
Feide Nøkkelen til den digitale skolen
 
Connect og Feide - Workshop 2015-09-22
Connect og Feide - Workshop 2015-09-22Connect og Feide - Workshop 2015-09-22
Connect og Feide - Workshop 2015-09-22
 
Connect og Feide - Workshop 2015-09-10
Connect og Feide - Workshop 2015-09-10Connect og Feide - Workshop 2015-09-10
Connect og Feide - Workshop 2015-09-10
 
Feide - Sammenkobling lokal og nasjonal sso
Feide - Sammenkobling lokal og nasjonal ssoFeide - Sammenkobling lokal og nasjonal sso
Feide - Sammenkobling lokal og nasjonal sso
 
Digital Eksamen - Integrasjon - UNINETT-konferanse 2015
Digital Eksamen - Integrasjon - UNINETT-konferanse 2015Digital Eksamen - Integrasjon - UNINETT-konferanse 2015
Digital Eksamen - Integrasjon - UNINETT-konferanse 2015
 
2014 i tall - Feides innloggingstjeneste
2014 i tall - Feides innloggingstjeneste2014 i tall - Feides innloggingstjeneste
2014 i tall - Feides innloggingstjeneste
 
Digital Eksamen - Integrasjon - SUHS 2014
Digital Eksamen - Integrasjon - SUHS 2014Digital Eksamen - Integrasjon - SUHS 2014
Digital Eksamen - Integrasjon - SUHS 2014
 
Feide Connect for Feide administratorsamling
Feide Connect for Feide administratorsamlingFeide Connect for Feide administratorsamling
Feide Connect for Feide administratorsamling
 
Digital Exams - Integration - Dialogkonferanse
Digital Exams - Integration - DialogkonferanseDigital Exams - Integration - Dialogkonferanse
Digital Exams - Integration - Dialogkonferanse
 
Gruppeinformasjon i Feide
Gruppeinformasjon i FeideGruppeinformasjon i Feide
Gruppeinformasjon i Feide
 
Valgfrihetens forbannelser - eKommune 2013
Valgfrihetens forbannelser - eKommune 2013Valgfrihetens forbannelser - eKommune 2013
Valgfrihetens forbannelser - eKommune 2013
 
FITS - IKT-drift slik det burde være
FITS - IKT-drift slik det burde væreFITS - IKT-drift slik det burde være
FITS - IKT-drift slik det burde være
 

To-faktor-autentisering og Feide

  • 1. To-faktor-autentisering og Feide Fylkeskommunalt IT-forum, Arendal 2011-06-17 Snorre Løvås snorre.lovas@iktsenteret.no @snorrelo http://www.slideshare.com/snorrelo
  • 3. Hva ønsker dere å oppnå? à Sikrere identifisering av brukeren? à Ekstra sjekk ved viktige operasjoner? à Ekstra sjekk om brukeren fremdeles er den som logget inn? à Signering? à Logging, historie og deteksjon? 3
  • 4. To-faktor autentisering à To-faktor/to-nivå/to-stegs autentisering à Tilgjengelige faktorer: •  Noe personen vet - for eksempel et passord •  Noe personen har - for eksempel en passordkalkulator/kodekort •  Noe personen er - for eksempel et fingeravtrykk à Eksempler på noe en har: 4
  • 5. Autentisering på Nivå 3 à Definert i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor à Risikonivå 1 – 4 => Sikkerhetsnivå 1-4 à Setter forskjellige krav: •  Krav til autentiseringsfaktor(er) •  Krav til utlevering til bruker •  Krav til sikring av autentiseringsfaktorer ved lagring •  Krav til uavviselighet •  Krav til offentlig godkjenning 5
  • 6. Autentisering på Nivå 3 (forts) à Krav til autentiseringsfaktor(er) •  To-faktor, hvorav en er dynamisk à Krav til utlevering til bruker •  Post til folkeregistrert adresse. Utsendelsesprosedyren skal ha integrert tilleggssikring som sørger for at sannsynligheten for at feil person tar løsningen i bruk minimaliseres à Krav til sikring av autentiseringsfaktorer ved lagring •  Dynamiske kan være kopierbare. Statiske kan ikke være kopierbare 6
  • 7. Autentisering på Nivå 3 (forts) à Krav til uavviselighet •  Det skal foreligge rutiner og logger, som gjør at det er rimelig sikkert at kommunikasjonsparten står bak en handling eller et informasjonselement à Krav til offentlig godkjenning •  Ingen krav à Alle løsninger på et høyere nivå vil kunne benyttes på et lavere sikkerhetsnivå 7
  • 8. To-faktor autentisering eller Nivå 3 på tjenester à  Hva er det dere ønsker? •  To-faktor autentisering? •  Nivå 3 etter rammeverket? à  Hvor grovkornet skal en være? •  Ekstra beskyttelse for hele tjenesten eller funksjoner i tjenesten? •  For alle brukere, spesielle brukergrupper? à  Hvem bestemmer hva som skal beskyttes ekstra? •  Feide (KD, UNINETT, IKT-senteret)? •  Hver tjenesteleverandøren? •  Hver kundene/skoleeierne? •  ”Fellesskapet” (Feide, tjenesteleverandøren, kundene av tjenesten)? 8
  • 9. Noen konsekvenser ved innføring av to- faktor / Nivå 3 i Feide à Datakvalitet •  Strengere krav til kontinuerlig datakvalitet på knytning mellom person og autentiseringsfaktorer, utlevering og tilbaketrekking à Tekniske endringer i •  Feides innloggingstjeneste •  Hver tjeneste som skal benytte to-faktor à Kostnader •  Sannsynligvis transaksjonskostnad pr autentisering (uansett hvem som ender med å ta kostnaden) •  En-faktor: 2,3 øre pr innlogging i snitt for fylkeskommunene våren 2011 •  To-faktor med SMS: Regn med ca 30 øre pr innlogging 9
  • 10. Single Sign-on à Single Sign-on er en separat problemstilling fra autentiseringsfaktorer og sikkerhetsnivå. Men relatert… Single sign-on mellom tjenester på et risikonivå medfører ikke automatisk at en person må autentisere seg på et høyre sikkerhetsnivå. à Skal den sikrere identifiseringen av brukeren ved to-faktor også gi single sign-on på dette sikkerhetsnivået? à Hvem bestemmer om single sign-on skal være tillatt eller ikke? 10
  • 11. Feide og eID/Id-porten i dag à Feide à ID-porten •  Målgruppe: Personer i •  Målgruppe: Lovlige utdanningssektoren innbyggere i Norge (over 13) •  Tjenester: Alle som gir en •  Tjenester: Offentlige tjenester merverdi for sektoren rettet mot innbyggere •  Desentralisert lagring, sentral •  Sentralisert lagring, sentral innlogging innlogging •  Lokalt lagres en del •  Sentralt lagres litt om alle informasjon om personer i innbyggere sektoren •  Identifikator: Feide-id •  Identifikator: Fødselsnummer 11
  • 12. Feide og eID/Id-porten i dag à Feide à ID-porten •  Sikkerhetsnivå: ”Nivå 2-ish”. •  Sikkerhetsnivå: Nivå 3 og Ikke innpassa i rammeverket Nivå 4 •  Autentisering: en-faktor, kan •  Autentisering: to-faktor økes •  Brukskostnad: Fastpris etter •  Brukskostnad: Gratis 2011/ type og størrelse Ukjent/Volumbasert 12
  • 13. Noen mulige to-faktorløsninger med Feide og Id-porten à Viser noen tekniske muligheter •  Dette er ikke en uttømmende liste à Ser helt bort i fra •  Målgrupper •  Tillatte tjenester •  Avtaleverk osv à Ikke diskutert med Difi/FAD 13
  • 14. Null-alternativet, tjenestene må sørge for to- faktor selv ... Feide-ID e.l. •  Hver tjeneste må +mobilnummer Engangskode +attributter implementere to-faktor •  Kan ende ut med mange forskjellige løsninger •  Ingen endringer i Feide og hos skoleeierne "Karakter og fravær"-tjeneste 14
  • 15. Feide tilbyr to-faktor autentisering Engangskode ... Feide-ID e.l. •  Feide må legge til støtte for +attributter to-faktor •  En felles måte for metode for alle Feide-tjenester(?) •  Ingen tekniske endringer hos skoleeierne "Karakter og fravær"-tjeneste 15
  • 16. Id-porten for to-faktor og Feide en-faktor som innlogging i tjeneste ... Fødselsnummer Feide-ID el.l. +attributter •  Bruker må forholde seg til to innloggingsløsninger •  Hver tjeneste må tilpasse seg to innloggingstjenester "Karakter og fravær"-tjeneste •  Hver tjeneste må inneholde fødselsnummer •  Ingen endringer i ID-porten, Feide og hos skoleeierne 16
  • 17. Id-porten som to-faktor-løsning for innlogging i Feide F.nr Fødselsnummer ... Feide-ID el.l. +attributter ? Hvor kommer du fra? Hvilken Feide-bruker har dette fødselsnummeret? •  En innloggingstjeneste for "Karakter og fravær"-tjeneste tjenestene •  Feide må kunne lese all info i alle Feide-LDAPene hele tiden 17
  • 18. Id-porten for to-faktor innlogging, attributter fra Feide •  En innloggingstjeneste for tjenestene •  Tjenestene må hente ekstra informasjon fra Feide •  Feide må kunne lese all info i alle Feide-LDAPene hele tiden F.nr "Karakter og fravær"-tjeneste F.nr ? Hvor kommer du fra? Hvilken Feide-bruker har dette fødselsnummeret? Attributter ... 18
  • 19. Id-porten for to-faktor innlogging, attributter fra skoleeierne •  En innloggingstjeneste for tjenestene •  Hver tjenestene må hente ekstra informasjon fra akke skoleeierne •  Alle skoleeier må tilby attributter til tjenester og SSO mot Id-porten F.nr F.nr "Karakter og fravær"-tjeneste ? Hvor kommer du fra? Attributter for innlogget bruker SSO mellom tjenester og attrbuttlager 19
  • 20. Logging, historie og deteksjon à Er konsekvensene størst ved at noen kommer inn og ser informasjon? à Eller er det at informasjon blir endret/slettet og at dette ikke blir oppdaget? Siste innlogginger: Torsdag 16. juni kl 08:42 fra admpool-104.ntfk.no Fravær: 2 satt, 3 endret Karakterer: 3 satt Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no Fravær: 2 endret Karakterer: 2 endret Tirsdag 14. juni kl 10:58 fra admpool-145.ntfk.no Fravær: 4 satt Karakterer: 14 satt Søndag 12. juni kl 08:35 fra dhcp-135.124.3.123.ntebb.no Fravær: ingen endringer Karakterer: 3 satt Mer... 20
  • 21. Logging, historie og deteksjon Detaljer: Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no Ola Nordmann(olanor) 3 timer fravær 15. januar endret til 0 timer Ola Nordmann(olanor) 4 timer fravær 7. februar endet til 0 timer Ola Nordmann(olanor) Fysikk 2 (REA3005) Standpunktkarakter vår 2011 endret fra 4 til 5 Truls Blære(trubla) Fysikk 2 (REA3005) Standpunktkarakter vår 2011 endret fra 4 til 3 21
  • 22. Min anbefaling à Kjør en risikoanalyse på tjenestene og finn ut hva det er dere ønsker à For to-faktor autentisering finn ut om det er to-faktor eller Nivå 3 dere ønsker à Er det et behov for bedre logging, historie og deteksjon av endringer? I tillegg til eller i stedet for to-faktor? à Diskuter gjerne med oss og Feide om mulige løsninger og de tilhørende konsekvensene for helheten og for hver av dere 22
  • 23. Mer informasjon à Feide i skolen http://uninettabc.no/feide/ à Feide http://feide.no/ à Difi – Elektronisk ID http://www.difi.no/elektronisk-id à Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor http://bit.ly/mF4qyO 23
  • 24. KOMMER! (skamløs promotering) FITS-kurs - Rammeverk for IKT-drift i skolen http://iktsenteret.no/bedre-ikt-drift-med-fits