sichere authentifizierung sso, password management, biometrie 21.06.2007 dr. horst walther, kcp...

Sichere AuthentifizierungSSO, Password Management, Biometrie

21.06.2007Dr. Horst Walther, [email protected]

Single Sign-On, Password Management, Biometrie Single Sign-On:

Anmeldung an mehreren Anwendungen mit einer Authentifizierung

Teilweise unterschieden in: Single Sign-On: Eine Authentifizierung für alle Anwendungen Reduced Sign-On: Umsetzung nur für einen Teil der

Anwendungen

Password Management: Management von Kennwörtern Synchronisation, Reset, Self-Service

Biometrie: Einsatz biometrischer Verfahren im Rahmen der

Authentifizierung

© Kuppinger Cole + Partner 2007Seite 2


Identity Management-Markt:Boom-Thema Single Sign-On

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Verze

ichnis

diens

te

Meta

Dire

ctory-

Dienste

Iden

tity P

rovis

ioning

Virtua

l Dire

ctorie

s

Iden

tity F

eder

ation

Web

Acc

ess M

anag

emen

t

Single

Sign-O

n

Stark

e Auth

entifi

zieru

ng PKI

Main

fram

e Acc

ess M

anag

emen

t

Auditin

g

Rollen

man

agem

ent

Delegie

rte A

dmini

strat

ion

Keine Investitionen

Optimierungen im laufenden Betrieb

Wesentliche Erweiterungen

Produktwechsel

Einführung


Identity Management Markt:Single Sign-On-Ansätze

0,0%

5,0%

10,0%

15,0%

20,0%

25,0%

30,0%

Server-basierendeLösungen

Client-basierendeLösungen

Kerberos X.509 Web SingleSign-On

Federation

Strategische Lösung

Einsatz in Teilbereichen

Einsatz geplant


Die IT im Wandel:Business-Treiber für SSO

• Kosten senken durch Automatisierung

• Kostenkontrolle durch Transparenz

• Interne Kontrollen optimieren

• Revisionssicherheit optimieren

• Abgrenzung („chinese walls“)

• Prozesse flexibilisieren• Optimierte Öffnung zum Kunden

• Anwenderproduktivität erhöhen

• Administrationsprozesse verbessern

IT-Strategie

SSO!SSO!

SSO?

SSO?SSO?


ComplianceSecurity

Business Need

Reaktiv,Strafen vermeiden

Wert

Wert

Re

ife

Kosten

verbessern

proaktiv

Wettbewerbsvorteileerzielen

Business-Support

Cost ContainmentOperational Efficiency

Von der IT zum Business:Werte schaffen

SSO!


Identity Management-Markt:Die Treiber

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Kostentransparenz

Kosteneinsparungen

Mehr K

omfort für

Benutzer

Höhere S

icherheit

Com

pliance

Einfachere

System

administration

Gesicherte

System

administration

Um

setzung neuerB

usiness-A

nforderungen

Unwichtig

Weniger wichtig

Sehr wichtig

Single Sign-On:Die konkreten Treiber Benutzer müssen sich zu viele Kombination von

Benutzernamen und Kennwörter (Credentials) merken Sicherheitsrisiken durch unsichere Aufbewahrung von

Kennwörtern Akzeptanzprobleme für neue Anwendungen („schon

wieder eine neue Anmeldung“) Helpdesk-Kosten

Einführung von starker Authentifizierung Einheitliche, starke Mechanismen Absicherung von sensitiven Anwendungen Kosten der starken Authentifizierung



Identity Management Markt:Starke Authentifizierung

0,0%

5,0%

10,0%

15,0%

20,0%

25,0%

30,0%

35,0%

KomplexeKennwörter

Einmal-Kennwörter Smartcards mitdigitalen Zertifikaten

BiometrischeVerfahren

Strategische Lösung

Einsatz in Teilbereichen

Einsatz geplant


Nutzenfaktoren:SSO bringt Mehrwert

Quantitativ

1 Administrative Kosten im Helpdesk

2 Integrationskosten von Anwendungen

Qualitativ

1 Mehr Komfort für Anwender

2 Höhere Akzeptanz für neue (und alte) Anwendungen

3 Taktisch schnelle Lösung

SSO ist mehr als eine taktische Lösung!- Taktisch: Auch mittelfristig wird es keine einheitliche Authentifizierung geben- Strategisch: Trend zur Vereinheitlichung der Authentifizierung in Anwendungen

Single Sign-On:Die Ansätze (I)

Serverbasierend Auch: Enterprise Single Sign-

On Speicherung von Credentials

in einem (mehr oder weniger) sicheren Speicher

Client-Komponente Zentrale Steuerung Hersteller z.B.:

ActivIdentity, CA, Evidian, Passlogix

OEMs: IBM, Novell, Oracle,… Citrix Imprivata

Clientbasierend Technisch ähnliche Ansatz,

aber: dezentrale Speicherung, z.B.

auf USB-Tokens, Smartcards, Festplatte

Viele Ansätze Browser-integriert Add-On zu Smartcards Eigenständige Lösung

Client-Lösung Problematisch, wenn ohne

zentrale Steuerung



E-SSO:Wie funktioniert das?

DirectoryBenutzer mitE-SSO-Client

Anwendungen

Speicherung vonCredentials

Authentifizierung

Single Sign-On:Die Ansätze (II)

Kerberos Standardisierter Ansatz Kerberos KDC:

Tickets für Authentifizierung und Zugriff auf Services

Unterstützung auf vielen Systemplattformen Aber: Komplexe

Interoperabilität Aufwändige Integration in

Anwendungen Kaum über

Unternehmensgrenzen hinweg nutzbar

X.509 Standardisierter Ansatz X.509v3-Zertifikate:

Bestätigen die Identität Setzt Vertrauen zum

Herausgeber voraus Außerhalb von Web-

Anwendungen selten unterstützt

Extern nutzbar Herausforderung

PKI/Smartcard Infrastructure


Single Sign-On:Die Ansätze (III)

Web-SSO Web Access Management,

Extranet Access Management

Zentrale Authentifizierung für Web-Anwendungen

Autorisierung der Zugriffe Weiterleitung mit speziellen

Headern etc. Primär für Web-

Anwendungen, sonst kaum genutzt

Federation Standardisierter Ansatz

SAML, Liberty Alliance WS-Federation

Austausch von Identitätsinformationen über Web Services

Flexibel nutzbar Relativ einfach in

Anwendungen integrierbar Schnelle Lösungen über

Web-SSO-Endpunkte


Identity Federation:Wie funktioniert das? Federation

basiert auf Vertrauen

Service Provider vertraut Identity Provider

Benutzer meldet sich einmal für mehrere Service Provider an

Flexibler Austausch von Informationen


Identity Provider

login

ServiceProvider

User Session

Verzeichnis

RessourceTrust


Die Ansätze für Single Sign-On:E-SSO als reife Lösung

Reifegrad

Integrationstiefein Anwendungen

niedrig

hochKerberos

X.509

Enterprise SSOLokales SSO

Federation

Web- SSO

SSO:Einstiegsprojekt für IAM?

Ja, weil… …man beim Client beginnen

und Informationen darüber sammeln kann, wer in welcher Identität welche Anwendungen nutzt

…man einen schnellen Mehrwert hat

…man (bei einzelnen Ansätzen) schnell starten kann

Nein, weil… …man für strategische

Ansätze bereits eine integrierte, vertrauenswürdige Identität benötigt (und für taktische auch ein zentrales Verzeichnis haben sollte)

…für viele Ansätze der Aufwand für die Anwendungsintegration hoch ist

…teils eine komplexe Infrastruktur benötigt wird


SSO:Die Voraussetzungen Zentrale, vertrauenswürdige Identität

Integration von verschiedenen führenden Systemen Herausforderung Datenqualität muss gelöst werden

Starke Authentifizierung (?) Muss gelöst werden Häufig (aber nicht zwingend) als nachgelagertes

Projekt


SSO:Taktik versus Strategie

SSO-Taktik Frontend-SSO

Benutzer haben ein SSO Schnell implementierbare

Lösungen Interne Anwendungen:

E-SSO oder lokales SSO mit zentralem Management unter Verwendung von Smartcards

Externe Anwendungen, Web-Anwendungen: Web-SSO

SSO-Strategie Backend-SSO

Anwendungen haben ein SSO

Eine definierte Strategie Identity Federation

Kerberos ist zu eingeschränkt

X.509 ist eine ergänzende Basistechnologie, aber nicht die Lösung


SSO-Strategie:Die Komponenten

Integrierte Identität:Meta Directories, Provisioning

Starke Authentifizierung:Zwei-Faktor-Authentifizierung

Anwendungssicherheits-infrastruktur:Zwingend Vorgaben für Entwicklung und Auswahl von Anwendungen

Federation:Basis für Single Sign-On


SSO als Risiko oder Chance?Identity Risk Management Authentifizierung:

Wie vertrauenswürdig ist der Identity Provider? SSO = Trust!

Getrenntes Auditing von Authentifizierung und Autorisierung

Golden Password? Autorisierung:

Bei den meisten Ansätzen weiterhin dezentral Wichtigste Ausnahme: Web-SSO

Setzt ein definiertes Zusammenspiel zwischen Identity Providern und Services/Anwendungen voraus


IT-Risiken verringern sich tendenziell durch SSO

Die Rolle des Password Managements Password Management:

Password Sync Unidirektional: Erkennung von Änderungen des

Windows-Kennworts – wird von den meisten Lösungen unterstützt

Bidirektional: Erkennung von Synchronisation und Änderungen in verschiedenen Systemen – wenige spezialisierte Anbieter

Password Reset User Self Service: Benutzer können eigene Kennwörter

zurücksetzen Administrative Resets: Zurücksetzen durch

Administratoren


Einsatz von Password Management Grundlegende Password Management-Funktionen

werden heute typischerweise als Teil von Provisioning-Lösungen angeboten

Synchronisation stößt zwangsläufig durch unterschiedliche Kennwortregeln an Grenzen Enterprise-/Lokales SSO kann das adressieren – mehrere

Kennwörter für Systeme, eines für den Benutzer Für die starke Authentifizierung sollten andere

Mechanismen verwendet werden 2-Faktor-Authentifizierung, z.B. mit Smartcard Biometrische Verfahren


Die Rolle der Biometrie Mechanismus für die starke Authentifizierung

Mehr als 40% der Unternehmen rechnen nicht vor 2009 mit einem flächendeckenden Einsatz

93,3% der Unternehmen sehen Fingerabdrücke als das geeignetste

Biometrie wird zunehmend interessanter für die starke Authentifizierung, ist aber nicht der einzige Ansatz

Wenn Biometrie, dann Fingerabdrücke Wird zunehmend vom Benutzer akzeptiert Relativ ausgereift, relativ günstig Akzeptable Sicherheit


Sichere Authentifizierung:SSO + starke Authentifizierung

SSO in Verbindung mit Ansätzen für die starke Authentifizierung (2-Faktor, Biometrie) ist der geeignete Weg für mehr Sicherheit

Taktisch durch Enterprise-SSO oder lokales SSO mit Smartcards

Strategisch durch Federation


sichere authentifizierung sso, password management, biometrie 21.06.2007 dr. horst walther, kcp...

Documents

anwendungen folie

anstze folie

informationen kuppinger

starke authentifizierung

endpunkte kuppinger

treiber folie

die anstze fr single

sichere authentifizierung