Hur AMS ersatte lösenord med smarta kort eller Den vilda jakten på lös enorden



Relevanta dokument
Informationssäkerhetschefens dilemma en betraktelse kring identitetshantering. Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Självbetjäning för arbetsgivare. Användarhandledning Kom igång med Arbetsgivartjänsten Behörighetsadministration

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Lathund för BankID säkerhetsprogram

Termer och begrepp. Identifieringstjänst SITHS

SITHS Nationell identifieringstjänst. Vad? Varför? Hur? Framöver?

Information från Löne- och Pensionsservice

Innehållsförteckning. Logga in med etjänstekort i Infektionsregistret 3. Installation av kortläsare till e-tjänstekort 3

Introduktion... 1 Administrera... 1 Användare... 1 Bjud in användare... 3 Sök... 5

Hur når man tre miljoner användare på ett enkelt och säkert sätt?

Manual inloggning Svevac

Mobila metoder för inloggning VÅRD OCH OMSORG SVENSK E-IDENTITET

Termer och begrepp. Identifieringstjänst SITHS

SITHS i ett mobilt arbetssätt Region Östergötland. Region Östergötland 1

Ditt nya smarta etjänstekort!

Krav på säker autentisering över öppna nät

Västra Götalands RA-organisation

Svensk e-legitimation nu är det dags!

Delegerad administration i Rapporteringsportalen

Instruktioner för inloggning med e-tjänstekort till 3C/Comporto samt installation av kortläsare till e- tjänstekort

Stark autentisering i kvalitetsregister

Hämta SITHS-certifikat till Telia e-leg och logga in till Telia SITHS Admin med SITHS-certifikat

Collector sparkonto Inloggning

Information om RDT (den rikstäckande databasen för trafikföreskrifter) och instruktion för användningen

Testa ditt SITHS-kort

SITHS Thomas Näsberg Inera

ANGÅENDE REMISSEN OM INFÖRANDE AV GEMENSAM LÖSNING FÖR INLOGGNING TILL STADENS E-TJÄNSTER

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Stark autentisering i kvalitetsregister

Se övergripande tidplan för arbetet med SITHS Kontinuitetssäkring och SITHS e-id på denna sida:

3 Hur förbereder jag mig inför krav på kortinlogg?

Upphandlingssystem och IT-säkerhet. Britta Johansson Sentensia

Tjänster för elektronisk identifiering och signering

Vad är en e-legitimation och hur kan den användas? Presentation vid Arena den 28 september 2007, Irene Andersson,

SAMSET dagsläget sommaren 2003

Leanlink Ao LKDATA. Teknik spåret. Föreläsare: Michael Lööw, Linköpings Kommun

SeniorNet Huddinge Öppet Hus

Manual för ParaDifo Vårdgivare/Utförare inom Individ och Familjeomsorg

Anmälan till Swedbanks kontoregister via e-legitimation

Att legitimera sig elektroniskt i tjänsten

Karlstads kommun e-plattform

Direktkoppling till Girolink Internet. Filöverföring av betalningar och betalningsinformation via Girolink Internet. Version 1.0

Efos PKI-struktur. Den nya PKI-strukturen. Användningsområden för certifikat

EFOS-dagen, Lanseringsplan. 26 September 2018

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Mobilt Efos och ny metod för stark autentisering

TjänsteID+ Teknisk översiktsdokument etjänstekort, Privata vårdgivare

Infrastruktur med möjligheter E-identitet för offentlig sektor (Efos)

En e legitimation för alla Offentliga rummet Roland Höglund E delegationen

Stark autentisering i kvalitetsregister Inloggningsinformation för användning av e-tjänstekort (SITHS)

EyeNet Sweden stark autentisering i kvalitetsregister

EXTERN ÅTKOMST TILL SOCIALA SYSTEM FÖR UTFÖRARE INOM ÄLDREOMSORGEN OCH OMSORGEN OM FUNKTIONSHINDRADE

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.3

En enklare förvaltning - till nytta för medborgare och företag

Stockholm Skolwebb. Information kring säkerhet och e-legitimation för Stockholm Skolwebb. skolwebb.stockholm.se

Kontaktchip - annat innehåll och nya kortprofiler för integration

eid Support Version

Mobilt Efos och ny metod för stark autentisering

Sid 1 (7) Statens inköpscentral Dnr Kort för identifiering och behörighetskontrol KRAVKATALOG

Data Sheet - Secure Remote Access

Årsberättelse SOLNA Korta gatan

Manual - Inloggning. Svevac

En unik plattform för förskola och fritids, utvecklad i Sverige

Betänkandet Ett säkert statligt ID-kort - med e-legitimation (SOU 2019:14) - remissvar

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Mobilt Efos och ny metod för stark autentisering

Gemensamma funktioner för landsbygdsstöden. Version MANUAL. Inloggning i LB-stöden (PROLAG) för LAG. Manual för inloggning Sidan 1 av 10

Stark autentisering i kvalitetsregister Användning av e-tjänstekort (SITHS) Version 1.2

Vad händer med översynen av Svensk e-elegitimation?

Detta är en sammanfattande information och checklista över vad införandet av E- identitet för offentlig sektor, Efos, innebär.

Checklista. För åtkomst till Svevac

Manual för fjärrinloggning

E-identitet för offentlig sektor (Efos) Kerstin Arvedson, Inera

Paketerad med erfarenhet. Tillgänglig för alla.

Gränssnitt och identiteter. - strategiska frågor inom Ladok3

KOMMA IGÅNG MED AREFF MYLOGIN

Manual - Inloggning. Svevac

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Introduktion till eidas. Dnr: /

receiver En produkt från ida infront - a part of Addnode

Svensk e-legitimation. Internetdagarna Eva Ekenberg

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Extern åtkomst till Sociala system

Administrativ manual RiksSvikt 3.7.0

Version MANUAL. Inloggning och rapporter i LB-stöden (PROLAG) för LAG. MAN010 LB inloggning och rapporter LAG Sidan 1 av 11

Riktlinjer för informationssäkerhet

Efos UtgivarForum

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Självregistrering och behörighetstilldelning inför inrapportering

Ny funktionalitet för Finansinspektionens offentliggörande av prospekt

Informationsmöte kring E- legitimationsnämndens arbete mot morgondagens digitala behov

Årsberättelse för. E-legitimationsnämnden

Manual för ParaDifo Vårdgivare/Utförare inom Individ och Familjeomsorg

Rutiner för beställning och avbeställning avseende konton och viss utrustning för extern personal

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

Riktlinjer för informationssäkerhet

Min Vårdplan via nätet

Transkript:

Hur AMS ersatte lösenord med smarta kort eller Den vilda jakten på lös enorden

Om AMS /AMV Arbetsmarknadsstyrelsen är huvudmyndighet i Arbetsmarknadsverket som förutom AMS består av 21 stycken länsarbetsnämnder Totalt ca. 10500 anställda 350 kontor från Karesuando i norr till Ystad i söder AMS IT-enhet är ansvarig för all IT-verksamhet inkl. utveckling och drift 315 anställda plus 65 konsulter 15000 klientdatorer (Windows) 5000 servrar (Solaris, Linux, Windows) Från årsskiftet en myndighet - Arbetsförmedlingen

Om mig Ansvarig för IT-enhetens Säkerhetsstab Säkerhetsstaben är ansvarig för IT-säkerheten på IT-enhet och deltar också i övergripande IT-säkerhetsarbete inom AMV Arbetat med smarta kort sedan 1985 och PKI sedan 1991 Deltagit i flera standardiseringsarbete runt säkerhet och smarta kort, både nationellt och internationellt Just nu bl.a. medlem i ett EU-projekt som syftar till att skapa en gemensam syn på och teknisk lösning för elektronisk identifiering av EU-medborgare

Våra lös enord En normal AMV-användare har 5-10 lösenord som skall memoreras och bytas med jämna mellanrum Administrativ personal har ännu fler och personalen på ITenheten har massor Vi byter (bytte!) minst ett hundratal bortglömda lösenord varje dag med mer eller mindre säkra rutiner Många användare uppfattar inte lösenorden som speciellt känsliga och delar gärna med sig av dem Våra lösenorden är med andra ord jobbiga, dyra och mycket osäkra

Tjäns tekorts projektet 2003 tog vår dåvarande generaldirektör beslut om införande av Tjänstekort Korten skulle användas för inloggning och visuell identifiering Efter en del initiala tester tog det hela fart våren 2005 Sommaren 2007 hade 11000 kort delats ut och används nu dagligen för inloggning Huvudsakliga drivkrafter har varit (i nämnd ordning) 1. GD-beslutet 2. Säkerhet 3. Enkelhet för användarna 4. Kostnadsbesparingar

Nuläg e Alla våra (interna) användare har ett Tjänstekort Det är obligatoriskt att använda kort vid inloggning i vår Windowsproduktionsdomän Ett par hundra användare som använder fem trasslande applikationer är fn. undantagna Alla undantag skall vara rensade senast vid årsskiftet Ett tjugotal webbbaserade applikationer får sin identifiering via tjänstekortet och en SSO-lösning Det mesta fungerar rent tekniskt och det är få supportärenden

Kortutgivnings processen SIS-kortsprocessen (SBC 151) är grunden för vår utgivningsprocess och all korthantering sker enligt denna Vi har 72 Tjänstekortshandläggare utspridda i landet och som oftast är knutna till personalavdelningen De flesta beställningar sker helt elektroniskt direkt till Setec Kort levereras till handläggaren senast en vecka efter beställning Korten levereras med enbart förgenererade RSA-nycklar och en grundläggande PKCS-15 struktur Kortens PUK-koder levereras till oss centralt och användarna får inga PIN- eller PUK-koder

Kortutgivnings processen, forts. Tillsammans med kortet knyts och delas ett engångskodkuvert ut till användaren av en Tjänstekortshandläggare På godtycklig klientdator loggar användaren in som Gäst och går in på http://eleg.ams.se Användaren anger sitt personnummer, engångskod (från kuvertet) och väljer själv PIN-koder till kortet Kortet laddas med certifikat och är sedan klart att använda Låsta kort följer samma strikta process, dvs. användaren måste besöka en Tjänstekortshandläggare och få ett engångskodkuvert Kan även skickas ut med rekommenderat brev Lånekort kan utfärdas tillfälligt och med lägre krav på identifiering

Mycket s jälvadminis tration

Näs ta s teg Vi håller på att testa en lösning för applikationer som inte klarar vår webb-sso Varje klientdator har en agent som hanterar användarens id/lösen Agenten krypterar id/lösen med användarens Tjänstekort Id/lösen skickas ut centralt och hanteras aldrig av användaren själv Lösenorden är långa och slumpmässiga och behöver inte bytas All konto- och behörighetshantering centraliseras i en gemensam IdM-lösning Lösenord skjuts ut till applikationer och användarna Kerberosbiljetter baserade på identifiering med Tjänstekortet Kan användas för inloggning av administratörer i Solaris och Linux Federerade identiteter Samarbete med andra svenska myndigheter och inom EU

E rfarenheter från vårt Tjäns tekorts projekt Genom att kräva kortinloggning i Windows har vi skapat en naturlig daglig användning av Tjänstekortet SIS-stämpeln gör att användarna håller i sina kort Anpassade administrativa rutiner har väsentligt förenklat införandet och acceptansen Vi har nu lagt ribban för nya applikationer, dvs. de måste fortsättningsvis anpassa sig till Tjänstekorten GD-beslutet var vårt carte blanche Vi skulle slagit på kortkravet i takt med att användarna fick kort Allt har tagit längre tid än planerat men det har nödvändigtvis inte varit en nackdel Till synes enkla tekniska koncept kan ändå upplevas svåra för en vanlig användare Man kan aldrig informera för mycket!!!

AMS och identiteter på nätet AMS är en stor producent av elektroniska tjänster Vi har Sveriges elfte mest besökta webbplats Fram till i våras har endast användarnamn och lösenord använt för identifiering Numera även e-legitimationer (BankID, etc.) samt ID-matris För att kunna vidareutveckla våra e-tjänster är vi i stort behov av elektronisk identifiering som Är enkel för våra användare Fungerar i många miljöer Är spridd bland våra användargrupper Har en förutsägbar kostnad Vi inte behöver administrera själva

E-leg itimationer i S verig e Staten har sedan mitten av 90-talet upphandlat e- legitimationer för användning i myndighetstjänster Fokus har flyttats från en ren teknisk upphandling av PKIcertifikat till mer inriktat på e-legitimering som tjänst Nuvarande ramavtal går ut sista juni nästa år och planeras att ersättas av en ny upphandling med identiska krav Det finns dock flera frågor som är aktuella Skall svenska staten själva vara utgivare av elektroniska legitimationer för svenska (!) medborgare? Skall ramavtalskonstruktionen ersättas av ackreditering? Hur kan man utnyttja en gryende identifieringsmarknad? Måste vi ha banksäkerhet i våra myndighetstjänster?

Gemensam elektroniskt ID inom EU Inom ramen för IDABC (http://ec.europa.eu/idabc) driver EU-kommisionen ett projekt som syftar till att underlätta cross-border identifiering Tanken är att en EU-medborgare skall kunna utnyttja en myndighetstjänst i godtyckligt land med godtyckligt identifieringsinstrument Arbetet är just påbörjat och en inventering och problemidentifiering pågår, t.ex. Skall medlemstaterna ge ut de olika identifieringsinstrumenten? Kan man skaffa ett identifieringsinstrument i godtyckligt EU-land? Hur hanterar och kvantifierar man olika säkerhetsnivåer? Hur går det hela till rent tekniskt? Hur gör man om en identifiering ställer tekniska krav på användaren?

Fråg or hakan.z.persson [at] ams.amv.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss