sichere authentifizierung sso, password management, biometrie 21.06.2007 dr. horst walther, kcp...
TRANSCRIPT
Sichere AuthentifizierungSSO, Password Management, Biometrie
21.06.2007Dr. Horst Walther, [email protected]
Single Sign-On, Password Management, Biometrie Single Sign-On:
Anmeldung an mehreren Anwendungen mit einer Authentifizierung
Teilweise unterschieden in: Single Sign-On: Eine Authentifizierung für alle Anwendungen Reduced Sign-On: Umsetzung nur für einen Teil der
Anwendungen
Password Management: Management von Kennwörtern Synchronisation, Reset, Self-Service
Biometrie: Einsatz biometrischer Verfahren im Rahmen der
Authentifizierung
© Kuppinger Cole + Partner 2007Seite 2
© Kuppinger Cole + Partner 2007Seite 3
Identity Management-Markt:Boom-Thema Single Sign-On
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Verze
ichnis
diens
te
Meta
Dire
ctory-
Dienste
Iden
tity P
rovis
ioning
Virtua
l Dire
ctorie
s
Iden
tity F
eder
ation
Web
Acc
ess M
anag
emen
t
Single
Sign-O
n
Stark
e Auth
entifi
zieru
ng PKI
Main
fram
e Acc
ess M
anag
emen
t
Auditin
g
Rollen
man
agem
ent
Delegie
rte A
dmini
strat
ion
Keine Investitionen
Optimierungen im laufenden Betrieb
Wesentliche Erweiterungen
Produktwechsel
Einführung
© Kuppinger Cole + Partner 2007Seite 4
Identity Management Markt:Single Sign-On-Ansätze
0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
Server-basierendeLösungen
Client-basierendeLösungen
Kerberos X.509 Web SingleSign-On
Federation
Strategische Lösung
Einsatz in Teilbereichen
Einsatz geplant
© Kuppinger Cole + Partner 2007Seite 5
Die IT im Wandel:Business-Treiber für SSO
• Kosten senken durch Automatisierung
• Kostenkontrolle durch Transparenz
• Interne Kontrollen optimieren
• Revisionssicherheit optimieren
• Abgrenzung („chinese walls“)
• Prozesse flexibilisieren• Optimierte Öffnung zum Kunden
• Anwenderproduktivität erhöhen
• Administrationsprozesse verbessern
IT-Strategie
SSO!SSO!
SSO?
SSO?SSO?
© Kuppinger Cole + Partner 2007Seite 6
ComplianceSecurity
Business Need
Reaktiv,Strafen vermeiden
Wert
Wert
Re
ife
Kosten
verbessern
proaktiv
Wettbewerbsvorteileerzielen
Business-Support
Cost ContainmentOperational Efficiency
Von der IT zum Business:Werte schaffen
SSO!
© Kuppinger Cole + Partner 2007Seite 7
Identity Management-Markt:Die Treiber
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Kostentransparenz
Kosteneinsparungen
Mehr K
omfort für
Benutzer
Höhere S
icherheit
Com
pliance
Einfachere
System
administration
Gesicherte
System
administration
Um
setzung neuerB
usiness-A
nforderungen
Unwichtig
Weniger wichtig
Sehr wichtig
Single Sign-On:Die konkreten Treiber Benutzer müssen sich zu viele Kombination von
Benutzernamen und Kennwörter (Credentials) merken Sicherheitsrisiken durch unsichere Aufbewahrung von
Kennwörtern Akzeptanzprobleme für neue Anwendungen („schon
wieder eine neue Anmeldung“) Helpdesk-Kosten
Einführung von starker Authentifizierung Einheitliche, starke Mechanismen Absicherung von sensitiven Anwendungen Kosten der starken Authentifizierung
© Kuppinger Cole + Partner 2007Seite 8
© Kuppinger Cole + Partner 2007Seite 9
Identity Management Markt:Starke Authentifizierung
0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
35,0%
KomplexeKennwörter
Einmal-Kennwörter Smartcards mitdigitalen Zertifikaten
BiometrischeVerfahren
Strategische Lösung
Einsatz in Teilbereichen
Einsatz geplant
© Kuppinger Cole + Partner 2007Seite 10
Nutzenfaktoren:SSO bringt Mehrwert
Quantitativ
1 Administrative Kosten im Helpdesk
2 Integrationskosten von Anwendungen
Qualitativ
1 Mehr Komfort für Anwender
2 Höhere Akzeptanz für neue (und alte) Anwendungen
3 Taktisch schnelle Lösung
SSO ist mehr als eine taktische Lösung!- Taktisch: Auch mittelfristig wird es keine einheitliche Authentifizierung geben- Strategisch: Trend zur Vereinheitlichung der Authentifizierung in Anwendungen
Single Sign-On:Die Ansätze (I)
Serverbasierend Auch: Enterprise Single Sign-
On Speicherung von Credentials
in einem (mehr oder weniger) sicheren Speicher
Client-Komponente Zentrale Steuerung Hersteller z.B.:
ActivIdentity, CA, Evidian, Passlogix
OEMs: IBM, Novell, Oracle,… Citrix Imprivata
Clientbasierend Technisch ähnliche Ansatz,
aber: dezentrale Speicherung, z.B.
auf USB-Tokens, Smartcards, Festplatte
Viele Ansätze Browser-integriert Add-On zu Smartcards Eigenständige Lösung
Client-Lösung Problematisch, wenn ohne
zentrale Steuerung
© Kuppinger Cole + Partner 2007Seite 11
© Kuppinger Cole + Partner 2007Seite 12
E-SSO:Wie funktioniert das?
DirectoryBenutzer mitE-SSO-Client
Anwendungen
Speicherung vonCredentials
Authentifizierung
Single Sign-On:Die Ansätze (II)
Kerberos Standardisierter Ansatz Kerberos KDC:
Tickets für Authentifizierung und Zugriff auf Services
Unterstützung auf vielen Systemplattformen Aber: Komplexe
Interoperabilität Aufwändige Integration in
Anwendungen Kaum über
Unternehmensgrenzen hinweg nutzbar
X.509 Standardisierter Ansatz X.509v3-Zertifikate:
Bestätigen die Identität Setzt Vertrauen zum
Herausgeber voraus Außerhalb von Web-
Anwendungen selten unterstützt
Extern nutzbar Herausforderung
PKI/Smartcard Infrastructure
© Kuppinger Cole + Partner 2007Seite 13
Single Sign-On:Die Ansätze (III)
Web-SSO Web Access Management,
Extranet Access Management
Zentrale Authentifizierung für Web-Anwendungen
Autorisierung der Zugriffe Weiterleitung mit speziellen
Headern etc. Primär für Web-
Anwendungen, sonst kaum genutzt
Federation Standardisierter Ansatz
SAML, Liberty Alliance WS-Federation
Austausch von Identitätsinformationen über Web Services
Flexibel nutzbar Relativ einfach in
Anwendungen integrierbar Schnelle Lösungen über
Web-SSO-Endpunkte
© Kuppinger Cole + Partner 2007Seite 14
Identity Federation:Wie funktioniert das? Federation
basiert auf Vertrauen
Service Provider vertraut Identity Provider
Benutzer meldet sich einmal für mehrere Service Provider an
Flexibler Austausch von Informationen
© Kuppinger Cole + Partner 2007Seite 15
Identity Provider
login
ServiceProvider
User Session
Verzeichnis
RessourceTrust
© Kuppinger Cole + Partner 2007Seite 16
Die Ansätze für Single Sign-On:E-SSO als reife Lösung
Reifegrad
Integrationstiefein Anwendungen
niedrig
hochKerberos
X.509
Enterprise SSOLokales SSO
Federation
Web- SSO
SSO:Einstiegsprojekt für IAM?
Ja, weil… …man beim Client beginnen
und Informationen darüber sammeln kann, wer in welcher Identität welche Anwendungen nutzt
…man einen schnellen Mehrwert hat
…man (bei einzelnen Ansätzen) schnell starten kann
Nein, weil… …man für strategische
Ansätze bereits eine integrierte, vertrauenswürdige Identität benötigt (und für taktische auch ein zentrales Verzeichnis haben sollte)
…für viele Ansätze der Aufwand für die Anwendungsintegration hoch ist
…teils eine komplexe Infrastruktur benötigt wird
© Kuppinger Cole + Partner 2007Seite 17
SSO:Die Voraussetzungen Zentrale, vertrauenswürdige Identität
Integration von verschiedenen führenden Systemen Herausforderung Datenqualität muss gelöst werden
Starke Authentifizierung (?) Muss gelöst werden Häufig (aber nicht zwingend) als nachgelagertes
Projekt
© Kuppinger Cole + Partner 2007Seite 18
SSO:Taktik versus Strategie
SSO-Taktik Frontend-SSO
Benutzer haben ein SSO Schnell implementierbare
Lösungen Interne Anwendungen:
E-SSO oder lokales SSO mit zentralem Management unter Verwendung von Smartcards
Externe Anwendungen, Web-Anwendungen: Web-SSO
SSO-Strategie Backend-SSO
Anwendungen haben ein SSO
Eine definierte Strategie Identity Federation
Kerberos ist zu eingeschränkt
X.509 ist eine ergänzende Basistechnologie, aber nicht die Lösung
© Kuppinger Cole + Partner 2007Seite 19
SSO-Strategie:Die Komponenten
Integrierte Identität:Meta Directories, Provisioning
Starke Authentifizierung:Zwei-Faktor-Authentifizierung
Anwendungssicherheits-infrastruktur:Zwingend Vorgaben für Entwicklung und Auswahl von Anwendungen
Federation:Basis für Single Sign-On
© Kuppinger Cole + Partner 2007Seite 20
SSO als Risiko oder Chance?Identity Risk Management Authentifizierung:
Wie vertrauenswürdig ist der Identity Provider? SSO = Trust!
Getrenntes Auditing von Authentifizierung und Autorisierung
Golden Password? Autorisierung:
Bei den meisten Ansätzen weiterhin dezentral Wichtigste Ausnahme: Web-SSO
Setzt ein definiertes Zusammenspiel zwischen Identity Providern und Services/Anwendungen voraus
© Kuppinger Cole + Partner 2007Seite 21
IT-Risiken verringern sich tendenziell durch SSO
Die Rolle des Password Managements Password Management:
Password Sync Unidirektional: Erkennung von Änderungen des
Windows-Kennworts – wird von den meisten Lösungen unterstützt
Bidirektional: Erkennung von Synchronisation und Änderungen in verschiedenen Systemen – wenige spezialisierte Anbieter
Password Reset User Self Service: Benutzer können eigene Kennwörter
zurücksetzen Administrative Resets: Zurücksetzen durch
Administratoren
© Kuppinger Cole + Partner 2007Seite 22
Einsatz von Password Management Grundlegende Password Management-Funktionen
werden heute typischerweise als Teil von Provisioning-Lösungen angeboten
Synchronisation stößt zwangsläufig durch unterschiedliche Kennwortregeln an Grenzen Enterprise-/Lokales SSO kann das adressieren – mehrere
Kennwörter für Systeme, eines für den Benutzer Für die starke Authentifizierung sollten andere
Mechanismen verwendet werden 2-Faktor-Authentifizierung, z.B. mit Smartcard Biometrische Verfahren
© Kuppinger Cole + Partner 2007Seite 23
Die Rolle der Biometrie Mechanismus für die starke Authentifizierung
Mehr als 40% der Unternehmen rechnen nicht vor 2009 mit einem flächendeckenden Einsatz
93,3% der Unternehmen sehen Fingerabdrücke als das geeignetste
Biometrie wird zunehmend interessanter für die starke Authentifizierung, ist aber nicht der einzige Ansatz
Wenn Biometrie, dann Fingerabdrücke Wird zunehmend vom Benutzer akzeptiert Relativ ausgereift, relativ günstig Akzeptable Sicherheit
© Kuppinger Cole + Partner 2007Seite 24
Sichere Authentifizierung:SSO + starke Authentifizierung
SSO in Verbindung mit Ansätzen für die starke Authentifizierung (2-Faktor, Biometrie) ist der geeignete Weg für mehr Sicherheit
Taktisch durch Enterprise-SSO oder lokales SSO mit Smartcards
Strategisch durch Federation
© Kuppinger Cole + Partner 2007Seite 25