to-faktor-autentisering og feide
DESCRIPTION
Presentasjon for fylkeskommunenes IT-forum: To-faktor-autentisering, sikkerhetsnivå 3 og Feide.TRANSCRIPT
To-faktor-autentisering og Feide Fylkeskommunalt IT-forum, Arendal 2011-06-17 Snorre Løvås [email protected] @snorrelo http://www.slideshare.com/snorrelo
http://www.rb.no/lokale_nyheter/article5615982.ece
Hva ønsker dere å oppnå? à Sikrere identifisering av brukeren? à Ekstra sjekk ved viktige operasjoner? à Ekstra sjekk om brukeren fremdeles er den som logget
inn? à Signering?
à Logging, historie og deteksjon?
3
To-faktor autentisering à To-faktor/to-nivå/to-stegs autentisering à Tilgjengelige faktorer:
• Noe personen vet - for eksempel et passord • Noe personen har - for eksempel en passordkalkulator/kodekort • Noe personen er - for eksempel et fingeravtrykk
à Eksempler på noe en har:
4
Autentisering på Nivå 3 à Definert i
Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor
à Risikonivå 1 – 4 => Sikkerhetsnivå 1-4 à Setter forskjellige krav:
• Krav til autentiseringsfaktor(er) • Krav til utlevering til bruker • Krav til sikring av autentiseringsfaktorer ved lagring • Krav til uavviselighet • Krav til offentlig godkjenning
5
Autentisering på Nivå 3 (forts) à Krav til autentiseringsfaktor(er)
• To-faktor, hvorav en er dynamisk
à Krav til utlevering til bruker • Post til folkeregistrert adresse. Utsendelsesprosedyren skal ha
integrert tilleggssikring som sørger for at sannsynligheten for at feil person tar løsningen i bruk minimaliseres
à Krav til sikring av autentiseringsfaktorer ved lagring • Dynamiske kan være kopierbare. Statiske kan ikke være
kopierbare
6
Autentisering på Nivå 3 (forts) à Krav til uavviselighet
• Det skal foreligge rutiner og logger, som gjør at det er rimelig sikkert at kommunikasjonsparten står bak en handling eller et informasjonselement
à Krav til offentlig godkjenning • Ingen krav
à Alle løsninger på et høyere nivå vil kunne benyttes på et lavere sikkerhetsnivå
7
To-faktor autentisering eller Nivå 3 på tjenester à Hva er det dere ønsker?
• To-faktor autentisering? • Nivå 3 etter rammeverket?
à Hvor grovkornet skal en være? • Ekstra beskyttelse for hele tjenesten eller funksjoner i tjenesten? • For alle brukere, spesielle brukergrupper?
à Hvem bestemmer hva som skal beskyttes ekstra? • Feide (KD, UNINETT, IKT-senteret)? • Hver tjenesteleverandøren? • Hver kundene/skoleeierne? • ”Fellesskapet” (Feide, tjenesteleverandøren, kundene av tjenesten)?
8
Noen konsekvenser ved innføring av to-faktor / Nivå 3 i Feide à Datakvalitet
• Strengere krav til kontinuerlig datakvalitet på knytning mellom person og autentiseringsfaktorer, utlevering og tilbaketrekking
à Tekniske endringer i • Feides innloggingstjeneste • Hver tjeneste som skal benytte to-faktor
à Kostnader
• Sannsynligvis transaksjonskostnad pr autentisering (uansett hvem som ender med å ta kostnaden)
• En-faktor: 2,3 øre pr innlogging i snitt for fylkeskommunene våren 2011
• To-faktor med SMS: Regn med ca 30 øre pr innlogging
9
Single Sign-on à Single Sign-on er en separat problemstilling fra
autentiseringsfaktorer og sikkerhetsnivå. Men relatert…
à Skal den sikrere identifiseringen av brukeren ved to-faktor også gi single sign-on på dette sikkerhetsnivået?
à Hvem bestemmer om single sign-on skal være tillatt eller ikke?
10
Single sign-on mellom tjenester på et risikonivå medfører ikke automatisk at en person må autentisere seg på et høyre sikkerhetsnivå.
Feide og eID/Id-porten i dag à Feide
• Målgruppe: Personer i utdanningssektoren
• Tjenester: Alle som gir en merverdi for sektoren
• Desentralisert lagring, sentral innlogging
• Lokalt lagres en del informasjon om personer i sektoren
• Identifikator: Feide-id
à ID-porten • Målgruppe: Lovlige
innbyggere i Norge (over 13) • Tjenester: Offentlige tjenester
rettet mot innbyggere
• Sentralisert lagring, sentral innlogging
• Sentralt lagres litt om alle innbyggere
• Identifikator: Fødselsnummer
11
Feide og eID/Id-porten i dag à Feide
• Sikkerhetsnivå: ”Nivå 2-ish”. Ikke innpassa i rammeverket
• Autentisering: en-faktor, kan økes
• Brukskostnad: Fastpris etter type og størrelse
à ID-porten • Sikkerhetsnivå: Nivå 3 og
Nivå 4
• Autentisering: to-faktor
• Brukskostnad: Gratis 2011/ Ukjent/Volumbasert
12
Noen mulige to-faktorløsninger med Feide og Id-porten à Viser noen tekniske muligheter
• Dette er ikke en uttømmende liste
à Ser helt bort i fra • Målgrupper • Tillatte tjenester • Avtaleverk osv
à Ikke diskutert med Difi/FAD
13
Null-alternativet, tjenestene må sørge for to-faktor selv
...
"Karakter og fravær"-tjeneste
Feide-ID e.l.+mobilnummer+attributter
Engangskode
14
• Hver tjeneste må implementere to-faktor
• Kan ende ut med mange forskjellige løsninger
• Ingen endringer i Feide og hos skoleeierne
Feide tilbyr to-faktor autentisering
...
"Karakter og fravær"-tjeneste
Feide-ID e.l.+attributter
Engangskode
15
• Feide må legge til støtte for to-faktor
• En felles måte for metode for alle Feide-tjenester(?)
• Ingen tekniske endringer hos skoleeierne
Fødselsnummer
...
"Karakter og fravær"-tjeneste
Feide-ID el.l.+attributter
Id-porten for to-faktor og Feide en-faktor som innlogging i tjeneste
16
• Bruker må forholde seg til to innloggingsløsninger
• Hver tjeneste må tilpasse seg to innloggingstjenester
• Hver tjeneste må inneholde fødselsnummer
• Ingen endringer i ID-porten, Feide og hos skoleeierne
Fødselsnummer
Feide-ID el.l.+attributter
...
"Karakter og fravær"-tjeneste
? Hvor kommer du fra?Hvilken Feide-bruker har dettefødselsnummeret?
F.nr
Id-porten som to-faktor-løsning for innlogging i Feide
17
• En innloggingstjeneste for tjenestene
• Feide må kunne lese all info i alle Feide-LDAPene hele tiden
Attributter
...
"Karakter og fravær"-tjeneste
?Hvor kommer du fra?Hvilken Feide-bruker hardette fødselsnummeret?
F.nr
F.nr
Id-porten for to-faktor innlogging, attributter fra Feide
18
• En innloggingstjeneste for tjenestene
• Tjenestene må hente ekstra informasjon fra Feide
• Feide må kunne lese all info i alle Feide-LDAPene hele tiden
Id-porten for to-faktor innlogging, attributter fra skoleeierne
Attributter for innlogget bruker
"Karakter og fravær"-tjeneste
?Hvor kommer du fra?
F.nr
F.nr
SSO mellom tjenester og attrbuttlager
19
• En innloggingstjeneste for tjenestene
• Hver tjenestene må hente ekstra informasjon fra akke skoleeierne
• Alle skoleeier må tilby attributter til tjenester og SSO mot Id-porten
Logging, historie og deteksjon à Er konsekvensene størst ved at noen kommer inn og ser
informasjon? à Eller er det at informasjon blir endret/slettet og at dette
ikke blir oppdaget?
20
Siste innlogginger:
Søndag 12. juni kl 08:35 fra dhcp-135.124.3.123.ntebb.no
Tirsdag 14. juni kl 10:58 fra admpool-145.ntfk.no
Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no
Torsdag 16. juni kl 08:42 fra admpool-104.ntfk.noFravær: 2 satt, 3 endret Karakterer: 3 satt
Fravær: 2 endret Karakterer: 2 endret
Fravær: 4 satt Karakterer: 14 satt
Fravær: ingen endringer Karakterer: 3 satt Mer...
Logging, historie og deteksjon
21
Tirsdag 14. juni kl 13:03 fra elevpool-234.ntfk.no
Ola Nordmann(olanor) 3 timer fravær 15. januar endret til 0 timerOla Nordmann(olanor) 4 timer fravær 7. februar endet til 0 timer
Ola Nordmann(olanor) Fysikk 2 (REA3005) Standpunktkarakter vår 2011 endret fra 4 til 5
Truls Blære(trubla) Fysikk 2 (REA3005) Standpunktkarakter vår 2011 endret fra 4 til 3
Detaljer:
Min anbefaling à Kjør en risikoanalyse på tjenestene og finn ut hva det er
dere ønsker à For to-faktor autentisering finn ut om det er to-faktor eller
Nivå 3 dere ønsker à Er det et behov for bedre logging, historie og deteksjon av
endringer? I tillegg til eller i stedet for to-faktor?
à Diskuter gjerne med oss og Feide om mulige løsninger og de tilhørende konsekvensene for helheten og for hver av dere
22
Mer informasjon à Feide i skolen http://uninettabc.no/feide/
à Feide http://feide.no/
à Difi – Elektronisk ID http://www.difi.no/elektronisk-id
à Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor http://bit.ly/mF4qyO
23
KOMMER! (skamløs promotering) FITS-kurs - Rammeverk for IKT-drift i skolen
http://iktsenteret.no/bedre-ikt-drift-med-fits