Webinar Profil för multifaktorinloggning via SWAMID

Relevanta dokument
Multifaktorinloggning via SWAMID

Multifaktorinloggning via SWAMID

eduid från IOLR till verktygslåda

Fallstudie runt införande av SWAMIDs multifaktorinloggning vid ett lärosäte

SWAMID AL2. Vad är SWAMID AL2 och vad innebär detta för mitt lärosäte?

SWAMID Webinar Vad skiljer SWAMID AL1 och SWAMID AL2?

Konfigurering av Multifaktorsautentisering (MFA)

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Workshop med focus på AL-processer

eduid Hans Nordlöf

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Kom igång med Windows Phone

PhenixID & Inera referensarkitektur. Product Manager

Two-Factor Authentication. A. Vad är Two-Factor Authentication (Tvåfaktors-autentisering)? B. Hur man ställer in Two-Factor Authentication?

Introduktion till SWAMID

INLOGGNING FASTIGHETSPORTALEN UTAN SMART PHONE (EXTERNA ANVÄNDARE)

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Inloggning till Winst och installation av Java för användare med Mac

2-faktor autentisering

Allmän information ITS Fjärrskrivbord

BEGREPPSFÖRVIRRING? Sophia Hansson Ridman, Tor Fridell

Innehållsförteckning Förutsättningar... 2 Installation av Google Authenticator på iphone... 3 Installation av Google Authenticator på Android...

PhenixID + Zappa. Livscykelhantering, Autentisering och Single Sign-On

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Västerviks kommuns E-portal

Paketerad med erfarenhet. Tillgänglig för alla.

Modernt arbete kräver moderna verktyg

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

Hur många standarder har du använt idag?

REFEDS SIRTFI Webinar

SeniorNet Huddinge Öppet Hus

Version 1.6 Utfärdare Anton Lundin

Skapa e-postkonto för Gmail

ADFS som IdP i SWAMID

SWAMID. Nyttjandestatistik av SWAMID. Vad är SWAMID? Så, hur mycket används SWAMID idag? Vi vet inte.. en första demonstration!

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Identitet, kontroll & spårbarhet

Delegerad administration i Rapporteringsportalen

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Koppla din Gavlenetmail till mobilen/surfplattan

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Elevlegitimation ett konkret initiativ.

Rutin för Användarkonto, Procapita omsorg

Extern åtkomst Manual för leverantör

2-faktor autentisering

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum

ITS Selfservice portal. Logga in utanför kontoret. Kontaktinformation:

Filleveranser till VINN och KRITA

Projektplatser & Samarbetsplatser: inloggning

Instruktion till vårdnadshavare såhär kommer du igång med Päikky

Molntjänster och integritet vad gäller enligt PuL?

Använda Google Apps på din Android-telefon

Allmän information ITS Fjärrskrivbord

Huddinge kommun - första godkända utfärdare med kvalitetsmärket Svensk e- legitimation.

SÅ HÄR GÖR VI I NACKA

Det finns tre olika sätt för Dagboksinnehavaren att logga in i Dagboken

Åtkomst till Landstingets nät via Internet

Dyna Pass. Wireless Secure Access

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

Användarhandledning. edwise Webbläsarinställningar

Utkast/Version (7) Användarhandledning - inrapportering i Indataportalen

till dig som är vikarie i Ulricehamns kommun

LEOcoin 3 & MEW (MyEtherWallet)

Handledning i informationssäkerhet Version 2.0

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

X-Sign Sändningsläge Användarhandbok

Peter Falck IT-sektionen

INLOGGNING 1 (6) Det finns två sätt att logga in i Privera: Med engångslösenord till mobiltelefon Med engångslösenord till e-post

Entitetskategorier. Att göra attributrelease enklare och samtidigt mer integritetsskyddande.

Dexter. En app för närvaro/frånvaro

Användarhandledning. edwise Webbläsarinställningar

Infrastruktur med möjligheter

Riktlinjer för informationssäkerhet

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Portalinloggning SITHS HCC och Lösenordsbyte manual

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Gränssnitt och identiteter. - strategiska frågor inom Ladok3

Kerberos baserad Single Sign On, tillämpningsexempel

DENACODE NUDDIS FÖRÄLDRAHANDBOK Älvsbyns Kommun mars Digitalt närvarosystem i förskolan

BILAGA 1 Definitioner

Bilaga 1 - Handledning i informationssäkerhet

Information för användare av e-tjänstekort och HSA-ID

Publicera på sodrastation.org

Lösenordsregelverk för Karolinska Institutet

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Manual. It s learning. Målgruppen: privata utförare inom Vård och Omsorg


E-legitimationsdagen

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Varför är jag här? Presentera projektet. SUNETS moln kontra andra moln behandlas inte. Prata lite om Windows 10 och molnet.

Hur jag arbetar med min dator del 2

Skolplattformens pedagogiska verktyg och startsida en guide

Identity and Access Management på LU

Registrering för rapporteringstjänsten Energiapeili

Transkript:

Webinar 2018-05-24 Profil för multifaktorinloggning via SWAMID SWAMID Operations Pål Axelsson, Sunet Eskil Swahn, Lunds universitet

Varför multifaktorinloggning via SWAMID? Lösenordsinloggning är alltmer utsatt för flera olika hot, t.ex. lösenordsfiske och lösenordstestning Datainspektionen har ställt krav på att endast avsedda mottagare ska kunna ta del av känsliga personuppgifter i det för lärosätena gemensamma systemet Nais Datainspektionen exemplifierar uppfyllande med e-legitimation Många anställda på lärosätena vill inte använda en privat e-legitimation i tjänsten

Vilka olika behov av inloggningsskydd finns? Lösenord (eller annan enskild faktor) Egenregistrerad multifaktor för att ta bort lösenordshoten Identifiering enbart genom befintlig lösenordsinloggning Personverifierad multifaktor för att säkerställa att det är rätt person som loggar in Organisationen/identitetsutgivaren kopplar multifaktorn till användaren Identifiering via samma metoder som kontoutdelning för SWAMID AL2 eller Identifiering via särskild identitetskontroll för att säkerställa rätt individ

Vad innebär multifaktorinloggning? För att logga in använder man inte bara lösenord utan en kombination av något man har plus ytterligare en faktortyp Något man har Exempel: Authenticator app i mobilen, Yubikey och Smartcard Något man vet Exempel: Lösenord eller pinkod Något man är Exempel: Fingeravtryck och ansiktsigenkänning Något man gör (väldigt svår att använda på ett säkert sätt) Exempel: Hur man skriver på tangentbordet, hur man tittar på skärmen och var man finns någonstans

Multifaktor men på olika sätt Kombinerad multifaktor (lösenord + andra faktor) Användaren loggar in med användaridentitet och lösenord och kompletterar sedan med en fristående andra faktor av typen något man har Fullständig multifaktor Multifaktorn består av något man har där användaren måste låsa upp användningen med en pinkod eller via fingeravtryck för att använda multifaktorn

Egenregistrerad multifaktor Stärker inloggningen så att du som användare vet att ingen annan använder ditt användarkonto Löses idag oftast genom att lösenordet kompletteras med en särskild autentiseringsapp i mobilen, s.k. Authenticator, eller SMS Finns idag i de större privata tjänsterna Tvåstegsverifiering hos Google, tvåstegsverifiering i Office 365, tvåfaktorsautentisering i Facebook, inloggningsverifiering på Twitter och säkerhetsnyckel i PayPal eduid har stöd genom standarden FIDO U2F (hårdvarunyckel) Fungerar f.n. endast med Chrome och Opera samt till viss del i Firefox

Personverifierad multifaktor Stärker inloggningen så att den tjänst du loggar in i vet att det är du som loggar in Särskild profil i SWAMID om vilka krav som finns för personverifierad multifaktor Organisationen och användaren måste vara godkänd för SWAMID AL2 Två nivåer, SWAMID AL2 resp SWAMID AL2 med explicit identitetskontroll Multifaktorn måste uppfylla vissa tekniska och säkerhetsmässiga krav Att personverifierad multifaktor har använts signaleras via den internationella federativa standarden REFEDS MFA

Förslag till profil för personverifierad multifaktorinloggning I SWAMID

Vad innebär den nya profilen? Både användare och organisation måste vara godkända för tillitsprofilen SWAMID AL2 Inloggning måste ske med hjälp av mer än en faktortyp Något man vet + något man har, alternativt Något man är + något man har Hantering av multifaktor (andra faktor eller full multifaktor) måste ske så att organisationen är säker på rätt person har fått multifaktorn Det räcker inte med att användaren endast loggar in med lösenord för att registrera en multifaktor (egenregistrerad multifaktor)

Profilens begränsningar Hanterar endast personverifierad multifaktorinloggning All inloggning måste inte ske med multifaktor utan den tjänster som kräver personverifierad multifaktorinloggning kräver det vid inloggning Alla användare inom organisationen behöver inte använda personverifierad multifaktorinloggning utan endast de som använder tjänster som kräver det Innehåller inga krav runt Single-Sign On (SSO) men en tjänst kan alltid kräva ny inloggning vid åtkomst till tjänsten

Säkerhetsmässiga krav på personverifierade multifaktorer i SWAMID 1(2) Profilen använder definitionerna i NIST 800-63B för att definiera vilka multifaktorer som är godkända inkl. andra säkerhetskrav Lösenord + andra faktor Single-Factor OTP Device, exempel Google Authenticator och Microsoft Authenticator med OTP Single-Factor Cryptographic Software, exempel FIDO2 (WebAuthn + CTAP) Single-Factor Cryptographic Device, exempel U2F och FIDO2 (WebAuthn + CTAP) Full multifaktor Multi-Factor OTP Device Multi-Factor Cryptographic Software Multi-Factor Cryptographic Device, exempel traditionellt inloggningskort med pinkod (smart card)

Säkerhetsmässiga krav på personverifierade multifaktorer i SWAMID 2(2) Multifaktorn måste uppfylla minst samma nivå av inloggningssäkerhet som kraven i aktuell tillitsprofil Multifaktorn måste bindas till en fysisk enhet Multifaktorn får inte vara kopierings- eller kloningsbar Multifaktorn måste skyddas mot gissningsattacker Klientbaserade krypteringsnycklar måste hanteras säkert i den enhet som hanterar multifaktorn Serverbaserade krypteringsnycklar, om de används, måste hanteras säkert i verifieringsservern

Dela ut multifaktor till rätt person Den andra faktorn eller den fulla multifaktorn måste kopplas till rätt person med mer än bara lösenordsinloggning Profilen innehåller två nivåer SWAMID AL2-MFA Samma metoder som för SWAMID AL2 SWAMID AL2-MFA-HI Kräver att identitetskontroll görs En person kan ha fler än en andra faktor eller full multifaktor kopplad till sig men alla bör vara verifierade på samma nivå

Byta, lägga till eller ta bort multifaktor Användare måste kunna byta ut sin multifaktor Självservice genom att använda multifaktor Genom att först ta bort nuvarande multifaktor och därefter få en ny enligt definierade rutiner för utdelande av multifaktor Användarens multifaktor måste gå att ta bort ifrån användaren antingen beroende på den inte längre ska användas eller om det inträffat en säkerhetsincident med multifaktorn inblandad

Inloggning med multifaktor med stöd av profilen SP kräver inloggning med multifaktor genom att signalera i REFEDS MFA i authncontextclassref IdP signalerar att inloggning skett med multifaktor genom att ange REFEDS MFA i authncontextclass Om multifaktorinloggningen uppfyller kraven för SWAMID AL2-MFA- HI signaleras detta genom tillägg av värde i edupersonassurance SP kontrollerar sedan att alla krav den har för inloggningen uppfylls av användaren och dess IdP

Exempel på användning av profilen

Exempel 1 på användning av denna profil Systemet Nais hanterar känsliga personuppgifter för studenter med särskilda behov Nais kräver att organisationen är godkänd för SWAMID AL2 Nais kräver att användaren är godkänd för SWAMID AL2 Nais kräver att organisationen är godkänd för SWAMID AL2-MFA-HI Nais kräver att användaren är godkänd för SWAMID AL2-MFA-HI Nais kräver att inloggning skett med multifaktor Nais kräver att ny inloggning har genomförts i samband med inloggning i Nais, dvs åsidosätta SSO (återautentisering)

Exempel 2 på användning av denna profil Forskningslagring kräver att det är rätt person som loggar in Systemet kräver att organisationen är godkänd för SWAMID AL2-MFA Systemet kräver att användaren är godkänd för SWAMID AL2-MFA Systemet kräver att inloggning skett med multifaktor Systemet kräver inte att ny inloggning har genomförts i samband med inloggning i systemet

Frågor och diskussion

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss