käyttäjän vahva tunnistaminen
TRANSCRIPT
Trendejä ja haasteita
• Digitalisaatio• Mobiliteetti• Suurempi huomio tietoturvalle
• Ransomware
• Avoimmuus ja läpinäkyvyys tiedon suhteen• Pilvipalvelut kuten Office 365 ja Salesforce• Kansallinen ohjeistus:
• Katakri
• Vahti
• Terveydenhuolton määräykset
Trendejä ja haasteita
• Lait ja määrykset (ml. EU)• Itsepalvelu ja hajautettu hallinta• IT:n toimittaminen palveluna
liiketoiminnalle• Useat palveluntarjoajat• Yhteistoimintaryhmät• Sähköiset palvelut• Internet of Things (IoT)
• "Identity of Everything"
StudentsIdentities
SaaS
Ransomware
Storage
Virtual
History
Network
Mobility
Location
Vendors
LawsOperating System
Citizens
. . .
CollaborationClusters
Heritage
Organization
SocialIdentities ?
?
?
. . .
Kyberrikollisuus
Source: Verizon DIBR 2015 - Variety of hacking actions within WebApp Attacks pattern
Kuinka investoimme IT:ssä siihen nähden?
Kyberrikollisuus: helpoin ratkaisu
• Ota käyttöön vahva tunnistus• Loppukäyttäjät
• Pääkäyttäjät
• Palvelu- ja sovellustunnukset
• Hyödyt• Kohtuullinen työmäärä
• Estää jaettujen tilien käytön
• Vaikeuttaa tilien väärinkäyttöäSource: Verizon DIBR 2015 - Critical Security Controls mapped to incident event chains
Advanced AuthenticationYksi keskitetty monen tekijän tunnistautumisratkaisu kaikkiinkäyttötarpeisiin
Vältä erilaisten monen tekijän tunnistautumisratkaisujen käyttöäorganisaatiossa. Ota käyttöön yksi keskitetty palvelu, jota eri palvelutkäyttävät ja johon voit liittää eri tunnistautumistavat. Näin vähennätylläpitotyötä, helpotat käyttöä ja alennat riskejä.
AvaintoiminnallisuusYksi tunnistautumisratkaisu kaikkeen käyttöön• Mobiili, työasema, selain, pilvipalvelut• Tuki kaillle tunnistusmenetelmille• Keskitetty sääntöjen hallinta• Tuki useille toimipisteille• Tuki erillisille käyttäjäorganisaatioille yhdessä toteutuksessa
Micro FocusAdvancedAuthenticationv5.5
Multi Factor Authentication
Tunnistustekijät
Jotainmitä tiedät
Esimerkkejä:SalasanaPin-koodi
Jotainmitä
sinulla on
Esimerkkejä:Puhelin
Toimikortti
Jotainmitäolet
Esimerkkejä:Sormenjälki
Ääni
Name
Password
Code
Login name
************
******
736021
Time-based One-time Password
(TOTP App)
Name
Password
Login name
************
Out-of-Band Authentication(OOBA App)
Approve
YES
NO
Name
Password
Code
Login name
************
******
Hardware Tokens
xx
159 759
Name
Password
Insert SecurityKey
Login name
************
FIDO U2F Key
app app
Name
Password
SMS
Login name
************
******
365128
SMS One-time Password(OTP)
Telco
IP IP
Name
Password
Tap card
Login name
************
Card Authentication(Proximity / Smartcard)
Name
Password
Code
Login name
************
******
Pin pad reader Fingerprint
Name
Password
Place Finger
Login name
************
Mikä on paras tunnistautumismenetelmä?
Planning
Performance
Travel
sTr@@t78Which method?
1234
Where is it? 937119
Userid /Password
Biometric
Hardware token
SMS or PIN
SingleMethod
Valitse
Planning
Performance
Travel
SMS or PIN
SMS or PIN
Userid /Password
SMS or PIN
HaasteKäytettävä palvelu
IT-infrastructure AccessUser devices, network access,
access to serversBuilding
IT-infrastructure AccessUser devices, network access,
access to serversBuilding
Enterprise Application AccessERP, CRM
FinanceRemote
Kiosks and workstations
Enterprise Application AccessERP, CRM
FinanceRemote
Kiosks and workstations
Cloud/Web accessOn-prem web applications
SaaS applicationsFederated access (to or from)
Cloud/Web accessOn-prem web applications
SaaS applicationsFederated access (to or from)
OtherExecution of Transactions
Signing of transactionsBusiness data (storage)
OtherExecution of Transactions
Signing of transactionsBusiness data (storage)
more…..more…..
TunnistautumismenetelmätSmart CardsContact and Contactless Cards, PKI cardsSmart CardsContact and Contactless Cards, PKI cards
BiometricsFingerprint, Iris, Vein, VoiceBiometricsFingerprint, Iris, Vein, Voice
SmartphoneOne-Time-Password (OTP), Out-of-Band,LiveEnsure
SmartphoneOne-Time-Password (OTP), Out-of-Band,LiveEnsure
RadiusCryptocard, Phonefactor, SMS-Passcode,etc.
RadiusCryptocard, Phonefactor, SMS-Passcode,etc.
Knowledge basedSecret (phrase) questions, Passwords, PINKnowledge basedSecret (phrase) questions, Passwords, PIN
TokensSoftware tokens, hardware tokensTokensSoftware tokens, hardware tokens
OtherSocial Login, federated authentication, Thumb drive, Flash drive+PIN
OtherSocial Login, federated authentication, Thumb drive, Flash drive+PIN
Ratkaisu - Advanced Authentication FrameworkKäytettävä palvelu
IT-infrastructure AccessUser devices, network access,
access to serversBuilding
IT-infrastructure AccessUser devices, network access,
access to serversBuilding
Enterprise Application AccessERP, CRM
FinanceRemote
Kiosks and workstations
Enterprise Application AccessERP, CRM
FinanceRemote
Kiosks and workstations
Cloud/Web accessOn-prem web applications
SaaS applicationsFederated access (to or from)
Cloud/Web accessOn-prem web applications
SaaS applicationsFederated access (to or from)
OtherExecution of Transactions
Signing of transactionsBusiness data (storage)
OtherExecution of Transactions
Signing of transactionsBusiness data (storage)
Tunnistautumismenetelmät
more…..more…..
Smart CardsContact and Contactless Cards, PKI cardsSmart CardsContact and Contactless Cards, PKI cards
BiometricsFingerprint, Iris, Vein, VoiceBiometricsFingerprint, Iris, Vein, Voice
SmartphoneOne-Time-Password (OTP), Out-of-Band,LiveEnsure
SmartphoneOne-Time-Password (OTP), Out-of-Band,LiveEnsure
RadiusCryptocard, Phonefactor, SMS-Passcode,etc.
RadiusCryptocard, Phonefactor, SMS-Passcode,etc.
Knowledge basedSecret (phrase) questions, Passwords, PINKnowledge basedSecret (phrase) questions, Passwords, PIN
TokensSoftware tokens, hardware tokensTokensSoftware tokens, hardware tokens
OtherSocial Login, federated authentication, Thumb drive, Flash drive+PIN
OtherSocial Login, federated authentication, Thumb drive, Flash drive+PIN
Tunnistus Hallinta
DelegointiTunnistautumisen
välimuistijne.
AAF
Hakemisto
Windows
Advanced Authentication Framework
Advanced Authentication
CredentialProvider
AuthenticationPlugin-in
Pluggable Auth.Module
RADIUS/ HSM APIs
ADFS Plug-inMobile APIs
/RADIUSWeb Services API APIs APIs APIs
APIs
OS X Linux SecurityAccess
ManagementEnterprise
SSO
ADFS Mobile Platforms Browser Password Reset Terminal EmulatorPrivileged UserManagement
X
green
Advanced Authentication -palvelin
Smartphone Geo-Fencing FIDO U2F Soft Token ADFS Oauth
Out-Of-Band push to iOS, Android orWindows Phones
Smartphone BasedGPS Location validation
“Fast Identity Online”for
Chrome / API
ApplicationOATH Based TOTP / HOTP
ADFSPlug-in Integration
Open AuthorizationToken
Google Auth Microsoft Live RADIUS Client Hard Token REST RADIUS
External GoogleAuthenticator
OTP
External Microsoft LiveOATHOTP
Interface with existing RADIUS Solutions
Device OATH Based TOTP / HOTP
Light WeightProgramming Interface
Internal RADIUS Server
Voice OTP SMS OTP Email OTP Voice Call FIPS 140-2 Multi-Tenant
Voice-call delivered
OTP
Short MessageService delivered
OTP
EmailDelivered
OTP
Voice Call with Prompt for User
PIN validation
“FIPS Inside”Via OpenSSL FIPS Module
Support Multi Divisionsor Clients
Swisscom Emergency PW PIN Code Challenge Impersonation Cashing
External SwisscomSmartPhone PKIAuthentication
HelpdeskAssisted
Password
User enrolled PIN Code
as a Factor
User enrolledChallenge / Response
Linked AccountAuthenticator
Second FactorSkipping
HTTP Proxy Kerberos
Secure AA BehindNetwork
SSO with KerberosTicket Systems
HSPD-12PKCS11 OAuth2
RADIUS
Google Auth.PKCS7 Kerberos
Remote Access Edition Methods Remote Access Edition Features
BYOD Windows CP Bluetooth FIDO U2F
Non-DomainWorkstation Support
Credential ProviderWin 7, 8 and 10
Device-in-Range loginand lock for Windows
Use “Fast IdentityOnline” for Anything
AD Login Filter Mac OS X Smartcard Fingerprint
MS Active DirectoryDomain Login Filter
OS X AuthenticationPlug-In
PKI / PKCS7w/Certificate Validation
Windows BiometricFramework
Off-Line Linux PAM Smartcard Fingerprint
Workstation Login(Win, Mac, Linux)
RPM and DEB modules PKI / PKCS11w/Certificate Validation
NEXT BiometricsDirect API Integration
NFC Fingerprint
13.56Mhz Cards,Tokens, fobs,
Smartphones, etc.
Lumidigm / HID DirectAPI Integration
RFID Fingerprint
125kHz Proximity Cards,Tokens, fobs, etc.
Digital Persona DriverBased Integration
Enterprise Edition Features (additional) Enterprise Edition Methods (additional)
Remote Access Edition
Enterprise Edition
Standards and Integrations
MicrosoftLive OATH
NFC ISO/IEC Mac OS X
Advanced AuthenticationHelppokäyttöisyys
SMS Sovelluksenrekisteröinti
Touch IDtai PIN
TOTP Kyllä/ei Lopputulos
Avaintoiminnallisuus
• Monen tekijän tunnistautuminen• 20+ tunnistautumismenetelmää
• Eri käyttäjätietovarastot• AD, ADLDS, eDir, LDAP
• Hajautetut ympäristöt• Moniorganisaatiomahdollisuus• Eri alustat
• Windows, Linux ja Mac OS
• RADIUS-palvelu• Sekä palvelin että asiakas
• ADFS 3, OAuth 2.0 ja SAML 2.0• Syslog-tuki• FIPS 140-2 mukainen salaus• Helpdesk-tuki• Raportointiportaali• Toimitus ohjelmisto-appliancena