To-faktor-autentisering og FeideFylkeskommunalt IT-forum, Arendal2011-06-17Snorre Løvåssnorre.lovas@iktsenteret.no@snorrel...
http://www.rb.no/lokale_nyheter/article5615982.ece
Hva ønsker dere å oppnå?à Sikrere identifisering av brukeren?à Ekstra sjekk ved viktige operasjoner?à Ekstra sjekk om b...
To-faktor autentiseringà To-faktor/to-nivå/to-stegs autentiseringà Tilgjengelige faktorer:    •  Noe personen vet - for ...
Autentisering på Nivå 3à Definert i   Rammeverk for autentisering og uavviselighet i elektronisk   kommunikasjon med og i...
Autentisering på Nivå 3 (forts)à Krav til autentiseringsfaktor(er)    •  To-faktor, hvorav en er dynamiskà Krav til utle...
Autentisering på Nivå 3 (forts)à Krav til uavviselighet    •  Det skal foreligge rutiner og logger, som gjør at det er ri...
To-faktor autentisering eller Nivå 3 påtjenesterà  Hva er det dere ønsker?    •  To-faktor autentisering?    •  Nivå 3 et...
Noen konsekvenser ved innføring av to-faktor / Nivå 3 i Feideà Datakvalitet    •  Strengere krav til kontinuerlig datakva...
Single Sign-onà Single Sign-on er en separat problemstilling fra   autentiseringsfaktorer og sikkerhetsnivå. Men relatert...
Feide og eID/Id-porten i dagà Feide                                  à ID-porten     •  Målgruppe: Personer i           ...
Feide og eID/Id-porten i dagà Feide                                à ID-porten     •  Sikkerhetsnivå: ”Nivå 2-ish”.     ...
Noen mulige to-faktorløsninger med Feide ogId-portenà Viser noen tekniske muligheter     •  Dette er ikke en uttømmende l...
Null-alternativet, tjenestene må sørge for to-faktor selv                          ...     Feide-ID e.l.                  ...
Feide tilbyr to-faktor autentisering                                  Engangskode                          ...     Feide-I...
Id-porten for to-faktor og Feide en-faktor sominnlogging i tjeneste                                                       ...
Id-porten som to-faktor-løsning forinnlogging i Feide                                             F.nr   Fødselsnummer    ...
Id-porten for to-faktor innlogging, attributterfra Feide                                                   •  En innloggin...
Id-porten for to-faktor innlogging, attributterfra skoleeierne                                                          • ...
Logging, historie og deteksjonà Er konsekvensene størst ved at noen kommer inn og ser   informasjon?à Eller er det at in...
Logging, historie og deteksjon     Detaljer: Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no     Ola Nordmann(olanor) 3...
Min anbefalingà Kjør en risikoanalyse på tjenestene og finn ut hva det er   dere ønskerà For to-faktor autentisering fin...
Mer informasjonà Feide i skolen http://uninettabc.no/feide/à Feide http://feide.no/à Difi – Elektronisk ID http://www.d...
KOMMER! (skamløs promotering)FITS-kurs - Rammeverk for IKT-drift i skolen                   http://iktsenteret.no/bedre-ik...
Upcoming SlideShare
Loading in …5
×

To-faktor-autentisering og Feide

3,030 views

Published on

Presentasjon for fylkeskommunenes IT-forum: To-faktor-autentisering, sikkerhetsnivå 3 og Feide.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,030
On SlideShare
0
From Embeds
0
Number of Embeds
666
Actions
Shares
0
Downloads
8
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

To-faktor-autentisering og Feide

  1. 1. To-faktor-autentisering og FeideFylkeskommunalt IT-forum, Arendal2011-06-17Snorre Løvåssnorre.lovas@iktsenteret.no@snorrelohttp://www.slideshare.com/snorrelo
  2. 2. http://www.rb.no/lokale_nyheter/article5615982.ece
  3. 3. Hva ønsker dere å oppnå?à Sikrere identifisering av brukeren?à Ekstra sjekk ved viktige operasjoner?à Ekstra sjekk om brukeren fremdeles er den som logget inn?à Signering?à Logging, historie og deteksjon?3
  4. 4. To-faktor autentiseringà To-faktor/to-nivå/to-stegs autentiseringà Tilgjengelige faktorer: •  Noe personen vet - for eksempel et passord •  Noe personen har - for eksempel en passordkalkulator/kodekort •  Noe personen er - for eksempel et fingeravtrykkà Eksempler på noe en har:4
  5. 5. Autentisering på Nivå 3à Definert i Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektorà Risikonivå 1 – 4 => Sikkerhetsnivå 1-4à Setter forskjellige krav: •  Krav til autentiseringsfaktor(er) •  Krav til utlevering til bruker •  Krav til sikring av autentiseringsfaktorer ved lagring •  Krav til uavviselighet •  Krav til offentlig godkjenning5
  6. 6. Autentisering på Nivå 3 (forts)à Krav til autentiseringsfaktor(er) •  To-faktor, hvorav en er dynamiskà Krav til utlevering til bruker •  Post til folkeregistrert adresse. Utsendelsesprosedyren skal ha integrert tilleggssikring som sørger for at sannsynligheten for at feil person tar løsningen i bruk minimaliseresà Krav til sikring av autentiseringsfaktorer ved lagring •  Dynamiske kan være kopierbare. Statiske kan ikke være kopierbare6
  7. 7. Autentisering på Nivå 3 (forts)à Krav til uavviselighet •  Det skal foreligge rutiner og logger, som gjør at det er rimelig sikkert at kommunikasjonsparten står bak en handling eller et informasjonselementà Krav til offentlig godkjenning •  Ingen kravà Alle løsninger på et høyere nivå vil kunne benyttes på et lavere sikkerhetsnivå7
  8. 8. To-faktor autentisering eller Nivå 3 påtjenesterà  Hva er det dere ønsker? •  To-faktor autentisering? •  Nivå 3 etter rammeverket?à  Hvor grovkornet skal en være? •  Ekstra beskyttelse for hele tjenesten eller funksjoner i tjenesten? •  For alle brukere, spesielle brukergrupper?à  Hvem bestemmer hva som skal beskyttes ekstra? •  Feide (KD, UNINETT, IKT-senteret)? •  Hver tjenesteleverandøren? •  Hver kundene/skoleeierne? •  ”Fellesskapet” (Feide, tjenesteleverandøren, kundene av tjenesten)?8
  9. 9. Noen konsekvenser ved innføring av to-faktor / Nivå 3 i Feideà Datakvalitet •  Strengere krav til kontinuerlig datakvalitet på knytning mellom person og autentiseringsfaktorer, utlevering og tilbaketrekkingà Tekniske endringer i •  Feides innloggingstjeneste •  Hver tjeneste som skal benytte to-faktorà Kostnader •  Sannsynligvis transaksjonskostnad pr autentisering (uansett hvem som ender med å ta kostnaden) •  En-faktor: 2,3 øre pr innlogging i snitt for fylkeskommunene våren 2011 •  To-faktor med SMS: Regn med ca 30 øre pr innlogging9
  10. 10. Single Sign-onà Single Sign-on er en separat problemstilling fra autentiseringsfaktorer og sikkerhetsnivå. Men relatert… Single sign-on mellom tjenester på et risikonivå medfører ikke automatisk at en person må autentisere seg på et høyre sikkerhetsnivå.à Skal den sikrere identifiseringen av brukeren ved to-faktor også gi single sign-on på dette sikkerhetsnivået?à Hvem bestemmer om single sign-on skal være tillatt eller ikke?10
  11. 11. Feide og eID/Id-porten i dagà Feide à ID-porten •  Målgruppe: Personer i •  Målgruppe: Lovlige utdanningssektoren innbyggere i Norge (over 13) •  Tjenester: Alle som gir en •  Tjenester: Offentlige tjenester merverdi for sektoren rettet mot innbyggere •  Desentralisert lagring, sentral •  Sentralisert lagring, sentral innlogging innlogging •  Lokalt lagres en del •  Sentralt lagres litt om alle informasjon om personer i innbyggere sektoren •  Identifikator: Feide-id •  Identifikator: Fødselsnummer11
  12. 12. Feide og eID/Id-porten i dagà Feide à ID-porten •  Sikkerhetsnivå: ”Nivå 2-ish”. •  Sikkerhetsnivå: Nivå 3 og Ikke innpassa i rammeverket Nivå 4 •  Autentisering: en-faktor, kan •  Autentisering: to-faktor økes •  Brukskostnad: Fastpris etter •  Brukskostnad: Gratis 2011/ type og størrelse Ukjent/Volumbasert12
  13. 13. Noen mulige to-faktorløsninger med Feide ogId-portenà Viser noen tekniske muligheter •  Dette er ikke en uttømmende listeà Ser helt bort i fra •  Målgrupper •  Tillatte tjenester •  Avtaleverk osvà Ikke diskutert med Difi/FAD13
  14. 14. Null-alternativet, tjenestene må sørge for to-faktor selv ... Feide-ID e.l. •  Hver tjeneste må +mobilnummer Engangskode +attributter implementere to-faktor •  Kan ende ut med mange forskjellige løsninger •  Ingen endringer i Feide og hos skoleeierne "Karakter og fravær"-tjeneste14
  15. 15. Feide tilbyr to-faktor autentisering Engangskode ... Feide-ID e.l. •  Feide må legge til støtte for +attributter to-faktor •  En felles måte for metode for alle Feide-tjenester(?) •  Ingen tekniske endringer hos skoleeierne "Karakter og fravær"-tjeneste15
  16. 16. Id-porten for to-faktor og Feide en-faktor sominnlogging i tjeneste ... Fødselsnummer Feide-ID el.l. +attributter•  Bruker må forholde seg til to innloggingsløsninger•  Hver tjeneste må tilpasse seg to innloggingstjenester "Karakter og fravær"-tjeneste•  Hver tjeneste må inneholde fødselsnummer•  Ingen endringer i ID-porten, Feide og hos skoleeierne16
  17. 17. Id-porten som to-faktor-løsning forinnlogging i Feide F.nr Fødselsnummer ... Feide-ID el.l. +attributter ? Hvor kommer du fra? Hvilken Feide-bruker har dette fødselsnummeret? •  En innloggingstjeneste for "Karakter og fravær"-tjeneste tjenestene •  Feide må kunne lese all info i alle Feide-LDAPene hele tiden17
  18. 18. Id-porten for to-faktor innlogging, attributterfra Feide •  En innloggingstjeneste for tjenestene •  Tjenestene må hente ekstra informasjon fra Feide •  Feide må kunne lese all info i alle Feide-LDAPene hele tiden F.nr "Karakter og fravær"-tjeneste F.nr ? Hvor kommer du fra? Hvilken Feide-bruker har dette fødselsnummeret? Attributter ...18
  19. 19. Id-porten for to-faktor innlogging, attributterfra skoleeierne •  En innloggingstjeneste for tjenestene •  Hver tjenestene må hente ekstra informasjon fra akke skoleeierne •  Alle skoleeier må tilby attributter til tjenester og SSO mot Id-porten F.nr F.nr "Karakter og fravær"-tjeneste ? Hvor kommer du fra? Attributter for innlogget bruker SSO mellom tjenester og attrbuttlager19
  20. 20. Logging, historie og deteksjonà Er konsekvensene størst ved at noen kommer inn og ser informasjon?à Eller er det at informasjon blir endret/slettet og at dette ikke blir oppdaget? Siste innlogginger: Torsdag 16. juni kl 08:42 fra admpool-104.ntfk.no Fravær: 2 satt, 3 endret Karakterer: 3 satt Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no Fravær: 2 endret Karakterer: 2 endret Tirsdag 14. juni kl 10:58 fra admpool-145.ntfk.no Fravær: 4 satt Karakterer: 14 satt Søndag 12. juni kl 08:35 fra dhcp-135.124.3.123.ntebb.no Fravær: ingen endringer Karakterer: 3 satt Mer...20
  21. 21. Logging, historie og deteksjon Detaljer: Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no Ola Nordmann(olanor) 3 timer fravær 15. januar endret til 0 timer Ola Nordmann(olanor) 4 timer fravær 7. februar endet til 0 timer Ola Nordmann(olanor) Fysikk 2 (REA3005) Standpunktkarakter vår 2011 endret fra 4 til 5 Truls Blære(trubla) Fysikk 2 (REA3005) Standpunktkarakter vår 2011 endret fra 4 til 321
  22. 22. Min anbefalingà Kjør en risikoanalyse på tjenestene og finn ut hva det er dere ønskerà For to-faktor autentisering finn ut om det er to-faktor eller Nivå 3 dere ønskerà Er det et behov for bedre logging, historie og deteksjon av endringer? I tillegg til eller i stedet for to-faktor?à Diskuter gjerne med oss og Feide om mulige løsninger og de tilhørende konsekvensene for helheten og for hver av dere22
  23. 23. Mer informasjonà Feide i skolen http://uninettabc.no/feide/à Feide http://feide.no/à Difi – Elektronisk ID http://www.difi.no/elektronisk-idà Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor http://bit.ly/mF4qyO23
  24. 24. KOMMER! (skamløs promotering)FITS-kurs - Rammeverk for IKT-drift i skolen http://iktsenteret.no/bedre-ikt-drift-med-fits

×