2-faktor autentisering

Transkript

1 2-faktor autentisering Ladok-Inkubatordagar 23-24/10 KTH Joakim Nyberg ITS Umeå universitet

2 Projektet 2-faktor autentiserings projektet är ett fortsatt arbetet från Swamids tidigare arbete inom 2-faktor. Genom att kartlägga vilka metoder och produkter som idag används och vilka som skulle kunna vara intressanta för svenska lärosäten.

3 Projekt mål Genomför en kartläggning ang. vad som används rörande 2-faktor autentisering på svenska lärosäten. Gör en teknisk genomlysning av möjliga verktyg kopplat till 2-faktor autentisering. Genomför en POC av intressanta metoder. Ta fram dokumenterade rekommendationer för 2-faktor autentisering.

4 Slutrapporten Ska vara klar mellan Nov/Dec Information kring kartläggningen Information om utvärderade produkter Rekommendationer vid olika behov av 2-faktorsautentisering Utvärderingsresultatet av TOKEN, SMARTCARD, MM

5 Projektplan Aktiviteter 2013 Feb Mars Apr Maj Jun Aug Sept Okt Nov Dec Tidplan Informations in läsning Kartläggning ang. 2-faktor autentisering vid svenska lärosätten Dokumentation kartläggning Behovsanalys på lärosäten Sammanställning behovsanalys Skapa en referensgrupp Skapa teknisk kontaktlista (råd/stöd) Ladok-SUNET inkubator dag, Genomlysning av marknaden nationellt och internationellt Genomlysning av tekniska verktyg Proof of Concept Rekommendationer Workshop

6 Var står projektet idag!

7 Kartläggning Enkät utskick till IT-chef på svenska lärosäten 11 lärosäten svarade 7 av dessa använder 2-faktor i mer eller mindre utsträckning idag Syftet är att skydda kritiska system Men tanken finns att använda tekniken för inloggning i större skala

8 Produkter/tjänster vi har/tittar på MIDEYE Lösning som används av Umeå kommun, Blekinge Högskola och Linköpings universitet. AUTHLITE Produkt med integration mot Active Directory. Har använts inom Umeå universitet för inloggning på servermiljöer sedan en tid. CLAVID autentisering och identitetshantering portalen «Authentication as a Service» (AAAS) för SAML, aktiverat OpenID und OAuth Internettjänster. MICROSOFT AZURE. Microsoft lösning för tvåfaktorsautentisering POINTSHARP (under utredning) SAFENET Authentication Service. En molnbaserad lösning som också kan köras on premises om så önskas. NATIONELLT IMPLEMENTERAD LÖSNING av tvåfaktorsautensisering och SAML2 TOKEN, SMARTCARD, MM. PILOT?

9 Mideye (är under utredning) Lösningen består i en lokal server som integreras mot en LDAP-katalog för att synkronisera över användare utifrån exempelvis grupptillhörighet. Vid inloggning genereras en kod på den lokala servern (Mideye server) som kontaktar en tjänst hos Mideye (Mideye switch). Den i sin tur använder sig av lämpligt mobilt nätverk och skickar ett sms till numret som stod angivet på användaren som försökte logga in

10 AuthLite AuthLite s login med 2-factor autentisering Integreras Microsoft Active Directory

11

12 Clavid KTH hjälper projektet genom att Enrico Pelletta utreder olika produkter och Clavid är en av dom. Clavid lösning är främst en autentiserare för webbapplikationer. Accepterar ett antal autentisering lösning ( användarnamn / lösenord, yubikey, Google - Authenticator, Certifikat, osv... osv... ) Stöder bla. protokoll : OpenID, OAuth, SAML... Litet företag men med goda referenser. Schweiziska företaget och regeringen ( elektroniskt ID, schweizisk - Post, Rolex, osv... )

13 Microsoft Azure (är under utredning) Windows Azure multifaktorautentisering kan läggas till ADFS autentisering processen för att lägga till en andra faktor autentisering för ökad säkerhet. Active Directory Federation Services (ADFS) är en komponent i Microsoft Windows Server som ger webb Single Sign-On (SSO)-teknik via federation med vanliga autentiseringsmetoder såsom SAML och Kerberos. Man kan använda Multi-Factor Authentication-servern till att ge ytterligare autentisering för lokala program som VPN för fjärråtkomst och webbprogram samt molnapplikationer.

14

15 PointSharp (är under utredning)

16 SafeNet Authentication Service är en molnlösning där man hanterar all administration av användare via ett webgränssnitt och man kan drifta lösningen lokalt på lärosätet.

17 Användare idag! Yorkshire and Humber Education Oxford University University of Durham Amerikanska regeringen Obama mm.

18 Det finns möjligheter för flera olika typers tvåfaktorsautentisering Gridsure Ett sifferrutmönster visas på skärmen. Fyll i de siffror som matchar ditt mönster. Token Slå in en fyrsiffrig kod och få tillbaka en kod som du matar in. Som en bankdosa USB-kodnyckel SMS Få ett sms med inloggningskod. Koddosa Smartcard

19 Gridsure

20 Inloggning med genererad kod

21 En återkommande fråga vi får! Vad kostar det?

22 Ett exempel. SafeNet Prismodellen Nästan allt ingår i samma pris 500 anv 24 per anv&år (153) 76,500kr/år 1000 anv 21,6 per anv&år (138) 138,000kr/år Exempel. På UmU UmU anställda = 600,000kr/år ITS 200 anställda = 31,000kr/år

23 Nationellt implementerad lösning av 2-faktorsautensisering och SAML2 SURFnet i Nederländerna beslutade sig i slutet av 2012 för att införa en central 2-faktorstjänst som komplement till högskolornas IdP:er. Som extra faktor skulle man kunna välja på tiqr, SMS-OTP och Yubikey. Att Nederländerna kör "hub and spoke" och en gemensam portal underlättar ett införande av en sådan central tjänst. Det krävs en organisation med ett antal RA (Registration Authorities) på högskolorna för att koppla den andra faktorn till personens högskolekonto.

24 Problemområden som vi stött på Kan man ha flera tvåfaktorslösningar eller måste alla användare ha samma? Det kan bli problem för de som redan använder ex.vis Yubikey. Vi tror inte man vill hålla reda på flera manicker. Idag har vi inte en bra struktur för att implementera en liknande lösning Tilliten till den centrala IdP:n. Hur garanterar man att den inte förvanskar informationen mellan högskolans IdP och tjänsteleverantören. Skall användarna ha två olika IdP att välja på när dom loggar in, en för 2-faktor och den egna när bara lösenord räcker. Det kan ge upphov till förvirring. Det finns olika lösningar som kan lösa detta men inte idag.

25 En berättelse av egna erfarenheter ITS implementering av 2-faktor (Authlite) för driften 2010 Ca 15personer Yubikey Ca 50 system Livet är underbart MEN!

26 Det börjar hända något! Ibland hittar den inte inloggningsservern Efter en uppgradering kan man plötsligt logga in utan Yubikey Windows server 2012 kommer - support ITS kommer att ersätta Authlite

27 Vad vill jag säga? Om man ska välja en färdig produkt från en leverantör Se till att det är en leverantör som är en Microsoftpartner på hög nivå Undersök vilken kundbas dom har Och viktigast! det ska på ett enkelt sätt gå att kliva av tåget eller

28 2-faktor pilot Intresserad att sätta upp en egen 2-faktor tjänst för inloggning. Microsoft har implementerat möjligheten Vi kan även få med Linux Finns intresset? Anmäl intresset till mig

29 TOKEN, SMARTCARD, MM.

30 Smidig Designad för att passa nästan helt inne i en USB-port YubiKey Nano (Apple Camera Connection Kit for ipad )

31 Tiqr Authentication Webbplatsen visar en så kallad QR-kod (en 2D streckkod), Användaren scannar in koden och sedan använder man sig av autentisering appen som autentiserar användaren, baserat på användarens identitet som lagras på telefonen.

32 Fullfunktionskortläsare för Smartakort

33 WORKSHOP 13 november Preliminär agenda 2-faktor autentisering Information om projektet 2-faktor projektet Demonstration av två intressanta produkter 2-faktor som tjänst nationellt Olika tekniska val möjligheter när det gäller token, mm. Diskussioner (bla. Om piloten) Grupphantering Kartläggning Användningsfall kring grupphantering Produktjämförelser Lösningsscenarier och rekommendationer Diskussioner Plats KTH

34 Frågor?