Multifaktorinloggning via SWAMID

Relevanta dokument
Webinar Profil för multifaktorinloggning via SWAMID

Multifaktorinloggning via SWAMID

Fallstudie runt införande av SWAMIDs multifaktorinloggning vid ett lärosäte

eduid från IOLR till verktygslåda

SWAMID Webinar Vad skiljer SWAMID AL1 och SWAMID AL2?

eduid Hans Nordlöf

Workshop med focus på AL-processer

SWAMID AL2. Vad är SWAMID AL2 och vad innebär detta för mitt lärosäte?

INTEGRATIONER, INLOGGNING, SÄKERHETSASPEKTER RUNT LADOK

Introduktion till SWAMID

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Konfigurering av Multifaktorsautentisering (MFA)

Dokument: Attest-signatur. Författare. Sida 1 av 16 Ola Ljungkrona PO Datum

Västerviks kommuns E-portal

Inloggning till Winst och installation av Java för användare med Mac

2-faktor autentisering

Dyna Pass. Wireless Secure Access

SeniorNet Huddinge Öppet Hus

Two-Factor Authentication. A. Vad är Two-Factor Authentication (Tvåfaktors-autentisering)? B. Hur man ställer in Two-Factor Authentication?

Entitetskategorier. Att göra attributrelease enklare och samtidigt mer integritetsskyddande.

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

Hur många standarder har du använt idag?

Installationsinstruktion med rekommenderade inställningar Extern Uppkoppling med OTP och SITHS-kort mot Landstinget Västmanland

Instruktion för Handelsbankens kortläsare

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

Allmän information ITS Fjärrskrivbord

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Krypteringstjänster. LADOK + SUNET Inkubator dagarna GU, Göteborg, 6-7 oktober Joakim Nyberg ITS Umeå universitet

Projektplatser & Samarbetsplatser: inloggning

Elevlegitimation ett konkret initiativ.

Manual - Inloggning. Webbadress: Webbadress demoversion: (användarnamn: demo / lösenord: demo)

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Manual inloggning Svevac

Lägg till Stipendiat

Collector sparkonto Inloggning

Internetsäkerhet. banktjänster. September 2007

Manual - Inloggning. Svevac

Ditt nya smarta etjänstekort!

2-faktor autentisering

Identity and Access Management på LU

Lägga till Universitetsanknuten

Portalinloggning SITHS HCC och Lösenordsbyte manual

Peter Falck IT-sektionen

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Infrastruktur med möjligheter

PhenixID + Zappa. Livscykelhantering, Autentisering och Single Sign-On

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Guide. Svensk e-identitet AB Vaksalagatan 6 Tel: Org. nr: Uppsala

Filleveranser till VINN och KRITA

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Version 1.6 Utfärdare Anton Lundin

Koppla kortläsaren till datorn. En automatisk installation av kortläsaren sker och det kommer ett meddelande om att ny maskinvara har hittats.

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

INLOGGNING FASTIGHETSPORTALEN UTAN SMART PHONE (EXTERNA ANVÄNDARE)

Marknadsföringsmaterial

Delegerad administration i Rapporteringsportalen

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

ProReNata Journal. Snabbstart

BEGREPPSFÖRVIRRING? Sophia Hansson Ridman, Tor Fridell

SNABBGUIDE för studenter windows. Utskriftshantering, Kopiering och Scanning

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

PhenixID & Inera referensarkitektur. Product Manager

ADFS som IdP i SWAMID

Guide till hur du loggar in i 1177 Vårdguidens e-tjänster

Att söka försörjningsstöd. Nu kan du söka försörjningsstöd direkt från datorn eller mobiltelefonen och följa ditt ärende från ansökan till beslut

Hja lp till Mina sidor

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

Manual för ansökan till Stiftelsen Kjellbergska Flickskolans Donationer

En lösenordsfri värld utopi eller verklighet

Säker roll- och behörighetsidentifikation. Ulf Palmgren, SKL Webbseminarium

Koppla kortläsaren till datorn. En automatisk installation av kortläsaren sker och det kommer ett meddelande om att ny maskinvara har hittats.

Utkast/Version (8) Användarhandledning - inrapportering maskin-till-maskin

Checklista. För åtkomst till Svevac

Hur AMS ersatte lösenord med smarta kort eller Den vilda jakten på lös enorden

Telia Centrex IP Administratörswebb Handbok

SITHS-VPN Fjärranslutning

Snabbguide. Version

Gränssnitt och identiteter. - strategiska frågor inom Ladok3

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

NyA, Ladok och identitetsfederationer - så hänger det ihop! Kristina Leve, VHS

Information för användare av e-tjänstekort och HSA-ID

Guide. SITHS reservkort (12)

Manual för ansökan till Stiftelsen Kjellbergska Flickskolans Donationer

Hur når man tre miljoner användare på ett enkelt och säkert sätt?

Utkast/Version (7) Användarhandledning - inrapportering i Indataportalen

På gång i Sunet. Maria Häll, CEO/Föreståndare, Sunet Sunetdagarna KTH, Stockholm

Innehållsförteckning Förutsättningar... 2 Installation av Google Authenticator på iphone... 3 Installation av Google Authenticator på Android...

E-legitimationsnämndens legitimeringstjänster för test

SWAMID. Nyttjandestatistik av SWAMID. Vad är SWAMID? Så, hur mycket används SWAMID idag? Vi vet inte.. en första demonstration!

Information om förskolans och skolans IT-stöd till dig som vårdnadshavare

Skolfederation.se. KommITS

Kom igång med Windows Phone

ITS Selfservice portal. Logga in utanför kontoret. Kontaktinformation:

TELIA CENTREX IP ADMINISTRATÖRSWEBB HANDBOK

BILAGA 1 Definitioner

Snabbguide Hemtelefon i mobilen

Alfa e-recept: Ny anva ndare

Transkript:

Multifaktorinloggning via SWAMID SWAMID Operations Pål Axelsson, Sunet Eskil Swahn, Lunds universitet

Varför multifaktorinloggning via SWAMID? Lösenordsinloggning är alltmer utsatt för flera olika hot, t.ex. lösenordsfiske och lösenordstestning Datainspektionen har ställt krav på att endast avsedda mottagare ska kunna ta del av känsliga personuppgifter i det för lärosätena gemensamma systemet Nais Datainspektionen exemplifierar uppfyllande med e-legitimation Många anställda på lärosätena vill inte använda en privat e-legitimation i tjänsten

Vilka olika behov av inloggningsskydd finns? Lösenord (eller annan enskild faktor) Egenregistrerad multifaktor för att ta bort lösenordshoten Identifiering enbart genom befintlig lösenordsinloggning Personverifierad multifaktor för att säkerställa att det är rätt person som loggar in Organisationen/identitetsutgivaren kopplar multifaktorn till användaren Identifiering via samma metoder som kontoutdelning för SWAMID AL2 eller Identifiering via särskild identitetskontroll för att säkerställa rätt individ

Vad är Nais? Nationellt administrations- och informations-system för samordnare Ett nationellt konsortiebaserat system för handläggning av särskilt pedagogiskt stöd på universitet och högskolor Studenterna kan enkelt via systemet ansöka om stöd utifrån sin studiesituation Innehåller känsliga personuppgifter som är nödvändiga för att handlägga studenters ansökan om särskilt stöd Nais kommer att för handläggare kräva personverifierad multifaktor med särskild identitetskontroll (troligtvis från 1 december 2018)

Egenregistrerad multifaktor Stärker inloggningen så att du vet att ingen annan använder ditt användarkonto Löses idag oftast genom att lösenordet kompletteras med en särskild autentiseringsapp i mobilen, s.k. Authenticator Finns idag i de större privata tjänsterna Tvåstegsverifiering hos Google, tvåstegsverifiering i Office 365 och tvåfaktorsautentisering i Facebook eduid har stöd för detta genom standarden U2F Proof of Concept vid Sunetdagarna i höstas, i drift sedan i fredags

Personverifierad multifaktor Stärker inloggningen så att den tjänst du loggar in i vet att det är du som loggar in SWAMID definierar i en särskild profil vilka krav som finns för personverifierade multifaktorer (ännu ej klar) Organisationen och användaren måste vara godkänd för SWAMID AL2 Multifaktorn måste uppfylla vissa tekniska och säkerhetsmässiga krav Att personverifierad multifaktor har använts signaleras via den internationella federativa standarden REFEDS MFA Att särskild identitetskontroll har genomförts signaleras via attributet edupersonassurance (dvs som SWAMID AL1 resp SWAMID AL2)

Krav och rekommendationer för personverifierade multifaktorer i SWAMID?

Vad innebär multifaktorinloggning? För att logga in använder man inte bara lösenord utan en kombination av minst två av faktortyperna Något man vet Exempel: Lösenord eller pinkod Något man har Exempel: Google Authenticator, Yubikey och Smartcard Något man är (endast i kombination med något man har) Exempel: Fingeravtryck och ansiktsigenkänning Något man gör (väldigt svår att använda på ett säkert sätt samt endast i kombination med något man har) Exempel: Hur man skriver på tangentbordet och tittar på skärmen

Krav på personverifierade multifaktorer i SWAMID Multifaktorn måste uppfylla minst samma nivå av inloggningssäkerhet som kraven i aktuell tillitsprofil men samtidigt tillföra ökat skydd Multifaktorn måste bindas till en fysisk enhet Multifaktorn får inte vara kopierings- eller kloningsbar Multifaktorn måste skyddas mot gissningsattacker Klientbaserade krypteringsnycklar måste lagras säkert i den enhet som hanterar multifaktorn Serverbaserade krypteringsnycklar, om de används, måste lagras säkert i verifieringsservern

Multifaktor men på olika sätt Fullständig multifaktor Multifaktorn består av något man har där användaren måste låsa upp användningen med en pinkod eller via fingeravtryck för att använda multifaktorn Kombinerad multifaktor (lösenord + andra faktor) Användaren loggar in med användaridentitet och lösenord och kompletterar sedan med en fristående andra faktor av typen något man har

Exempel på fullständiga multifaktorer Smartcard (eller Personal Identity Verification (PIV) card) Det klassiska PKI-baserade inloggningskortet med kortläsare Kräver kortläsare med koppling till datorn och särskild kontroll av att det är ett kort och inte på datorn lagrade certifikat som används Multifaktor OTP Inloggningsservern skickar en kontrollkod till användaren som denne matar in på OTP-dosan tillsammans med sin personliga pinkod för att få en svarskod som användaren sedan skriver in på inloggningsservern

Exempel på den andra faktorn Universal 2nd Factor (FIDO U2F) En liten hårdvarubaserad nyckel med hög säkerhetsnivå som aktiveras med enkel tryckning på nyckeln Webbläsarstödet är f.n. begränsat till Chrome, Opera och Firefox (manuell aktivering) men Edge kommer att få stöd under året Tidsbaserad enfaktor OTP (TOTP) Användaren installerar och konfigurerar en Authenticatorapp som visar en engångskod som ändras ofta (normalt var trettionde sekund) Enkel för användarna att använda och förstå men Authenticator och inloggningsservern delar på en gemensam hemlighet

Dåliga exempel på andra faktorn OTP via SMS SMS kan idag dyka upp på fler enheter än den avsedda, t.ex. på mobiltelefonen och datorn samtidigt SIM-kortet kan flyttas över till annan mobiltelefon Automatiserad uppringning Telefonsamtal kan kopplas över till en eller flera telefoner Får absolut inte användas för personverifierad multifaktor

Hur kräver och kontrollerar en webbtjänst personverifierad multifaktorinloggning i SWAMID?

Hur begär en tjänst personverifierad multifaktorinloggning? Tjänsten begär i sin inloggningsförfrågan att personverifierad multifaktorinloggning ska används I Shibboleth SP sätter man authncontextclassref= https://refeds.org/profile/mfa i SAML2 SessionInitiator att ny inloggning ska genomföras, dvs. inte lita på SSO I Shibboleth SP sätter man ForceAuthn= true i SAML2 SessionInitiator Alternativt direkt via URL i en webbserver som använder Shibboleth SP: https://sp.example.org/shibboleth.sso/login?forceauthn=true&authncontextclassref= https%3a%2f%2frefeds.org%2fprofile%2fmfa&target=https%3a%2f%2fsp.example.org%2fservicepage

Hur kontrollerar en tjänst att personverifierad multifaktorinloggning har genomförts? 1(2) Tjänsten kontrollerar efter lyckad inloggning att multifaktor har använts för inloggningen Med Shibboleth SP och Apache kontrollera Shib-AuthnContext-Class== https://refeds.org/profile/mfa att identitetsutfärdaren uppfyller kraven för SWAMID AL2 Med Shibboleth SP konfigurera att metadata för assurance certification hämtas upp som ett attribut Kontrollera sedan att detta attribut innehåller http://www.swamid.se/policy/assurance/al2 samt vid behov kraven för särskild identitetskontroll för MFA Kontrollera sedan att detta attribut innehåller värdet för att lärosätet hanterar identitetsverifierad MFA

Hur kontrollerar en tjänst att personverifierad multifaktorinloggning har genomförts? 2(2) Tjänsten kontrollerar efter lyckad inloggning att inloggningen är ny (max 60 sekunder plus definierad max klockdrift) att användaren uppfyller kraven för SWAMID AL2 Kontrollera sedan att attributet edupersonassurance innehåller värdet http://www.swamid.se/policy/assurance/al2 samt att vid behov kraven för särskild identitetskontroll för MFA Kontrollera sedan att attributet edupersonassurance innehåller värdet för att användaren använder identitetsverifierad MFA Notera att SWAMIDs identifierare för identitetsverifierad MFA ännu ej är definierad

Vad är nästa steg?

Vad är på gång nu? SWAMID Operations håller på att skriva en formell profil för personverifierad multifaktorinloggning i SWAMID Denna profil bygger på det som presenterats idag och kommer att skickas ut för diskussion innan slutet av april SWAMID Operations har intentionen att ta fram en exempelinstallation baserad på TOTP och Shibboleth IdP eduid kommer att fram en lösning för personverifierad multifaktor med hjälp av FIDO U2F (se nästa presentation)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss