Resultat från projektet 2-faktorautentisering (Joakim Nyberg)

Download Report

Transcript Resultat från projektet 2-faktorautentisering (Joakim Nyberg)

2-faktor autentisering
Ladok-Inkubatordagar 23 - 24/10 KTH
Joakim Nyberg
ITS – Umeå universitet
Projektet
2-faktor autentiserings projektet är ett fortsatt arbetet
från Swamids tidigare arbete inom 2-faktor.
Genom att kartlägga vilka metoder och produkter som
idag används och vilka som skulle kunna vara intressanta
för svenska lärosäten.
Projekt mål
•
Genomför en kartläggning ang. vad som används rörande
2-faktor autentisering på svenska lärosäten.
•
Gör en teknisk genomlysning av möjliga verktyg kopplat
till 2-faktor autentisering.
•
Genomför en POC av intressanta metoder.
•
Ta fram dokumenterade rekommendationer för 2-faktor
autentisering.
Slutrapporten
•
Ska vara klar mellan Nov/Dec
•
Information kring kartläggningen
•
Information om utvärderade produkter
•
Rekommendationer vid olika behov av 2-faktorsautentisering
•
Utvärderingsresultatet av TOKEN, SMARTCARD, MM
Projektplan
Aktiviteter 2013
Feb
Mars
•
Informations in läsning
Kartläggning ang. 2-faktor
autentisering vid svenska
lärosätten
Dokumentation kartläggning
Behovsanalys på lärosäten
Sammanställning behovsanalys
Skapa en referensgrupp
Skapa teknisk kontaktlista
(råd/stöd)
Ladok-SUNET inkubator dag,
Genomlysning av marknaden
nationellt och internationellt
Genomlysning av tekniska verktyg
Proof of Concept
Rekommendationer
Workshop
Apr
Tidplan
Maj
Jun
Aug
Sept
Okt
Nov
Dec
Var står projektet idag!
Kartläggning
•
Enkät utskick till IT-chef på svenska lärosäten
•
11 lärosäten svarade
•
7 av dessa använder 2-faktor i mer eller mindre
utsträckning idag
•
Syftet är att skydda kritiska system
•
Men tanken finns att använda tekniken för inloggning i
större skala
Produkter/tjänster vi har/tittar på
•
MIDEYE Lösning som används av Umeå kommun, Blekinge Högskola och
Linköpings universitet.
•
AUTHLITE Produkt med integration mot Active Directory. Har använts inom
Umeå universitet för inloggning på servermiljöer sedan en tid.
•
CLAVID autentisering och identitetshantering portalen «Authentication as a
Service» (AAAS) för SAML, aktiverat OpenID und OAuth Internettjänster.
•
MICROSOFT AZURE. Microsoft lösning för tvåfaktorsautentisering
•
POINTSHARP (under utredning)
•
SAFENET Authentication Service. En molnbaserad lösning som också kan
köras on premises om så önskas.
•
NATIONELLT IMPLEMENTERAD LÖSNING av tvåfaktorsautensisering och SAML2
•
TOKEN, SMARTCARD, MM.
•
PILOT?
Mideye (är under utredning)
•
Lösningen består i en lokal server som integreras mot en
LDAP-katalog för att synkronisera över användare
utifrån exempelvis grupptillhörighet.
•
Vid inloggning genereras en kod på den lokala servern
(Mideye server) som kontaktar en tjänst hos Mideye
(Mideye switch). Den i sin tur använder sig av lämpligt
mobilt nätverk och skickar ett sms till numret som stod
angivet på användaren som försökte logga in
AuthLite
•
AuthLite´s login med 2-factor autentisering
•
Integreras Microsoft Active Directory
Clavid
•
KTH hjälper projektet genom att Enrico Pelletta utreder
olika produkter och Clavid är en av dom.
•
Clavid lösning är främst en autentiserare för
webbapplikationer . Accepterar ett antal autentisering
lösning ( användarnamn / lösenord , yubikey , Google Authenticator , Certifikat , osv ... osv ... )
•
Stöder bla. protokoll : OpenID , OAuth , SAML ...
•
Litet företag men med goda referenser . Schweiziska
företaget och regeringen ( elektroniskt ID , schweizisk Post , Rolex , osv ... )
Microsoft Azure (är under utredning)
•
Windows Azure multifaktorautentisering kan läggas till ADFS autentisering
processen för att lägga till en andra faktor autentisering för ökad säkerhet.
•
Active Directory Federation Services (ADFS) är en komponent i Microsoft ®
Windows Server ™ som ger webb Single Sign-On (SSO)-teknik via
federation med vanliga autentiseringsmetoder såsom SAML och Kerberos.
•
Man kan använda Multi-Factor Authentication-servern till att ge ytterligare
autentisering för lokala program som VPN för fjärråtkomst och
webbprogram samt molnapplikationer.
PointSharp (är under utredning)
SafeNet
•
Authentication Service är en molnlösning där man
hanterar all administration av användare via ett
webgränssnitt och man kan drifta lösningen lokalt på
lärosätet.
Användare idag!
•
Yorkshire and Humber Education
•
Oxford University
•
University of Durham
•
Amerikanska regeringen
•
Obama
•
mm.
Det finns möjligheter för flera olika
typers tvåfaktorsautentisering
•
Gridsure – Ett sifferrutmönster visas på skärmen. Fyll i
de siffror som matchar ditt mönster.
•
Token – Slå in en fyrsiffrig kod och få tillbaka en kod
som du matar in. Som en bankdosa
•
USB-kodnyckel
•
SMS – Få ett sms med inloggningskod.
•
Koddosa
•
Smartcard
Gridsure
Inloggning med genererad kod
En återkommande fråga vi får!
Vad kostar det?
Ett exempel. SafeNet
• Prismodellen
• 500
anv € 24 per anv&år (153) 76,500kr/år
• 1000
anv €21,6 per anv&år (138) 138,000kr/år
• Exempel.
• UmU
• ITS
”Nästan allt” ingår i samma pris
På UmU
4 359 anställda = 600,000kr/år
200 anställda = 31,000kr/år
Nationellt implementerad lösning av
2-faktorsautensisering och SAML2
•
SURFnet i Nederländerna beslutade sig i slutet av 2012 för att
införa en central 2-faktorstjänst som komplement till högskolornas IdP:er.
•
Som extra faktor skulle man kunna välja på tiqr, SMS-OTP och Yubikey.
•
Att Nederländerna kör "hub and spoke" och en gemensam portal
underlättar ett införande av en sådan central tjänst.
•
Det krävs en organisation med ett antal RA (Registration Authorities)
på högskolorna för att koppla den andra faktorn till personens
högskolekonto.
Problemområden som vi stött på
•
Kan man ha flera tvåfaktorslösningar eller måste alla
användare ha samma? Det kan bli problem för de som redan
använder ex.vis Yubikey. Vi tror inte man vill hålla reda på
flera manicker.
•
Idag har vi inte en bra struktur för att implementera en
liknande lösning
•
Tilliten till den centrala IdP:n. Hur garanterar man att den
inte förvanskar informationen mellan högskolans IdP och
tjänsteleverantören.
•
Skall användarna ha två olika IdP att välja på när dom loggar
in, en för 2-faktor och den egna när bara lösenord räcker. Det
kan ge upphov till förvirring.
•
Det finns olika lösningar som kan lösa detta men inte idag.
En berättelse av egna erfarenheter
ITS implementering av 2-faktor (Authlite) för driften 2010
Ca 15personer
Yubikey
Ca 50 system
Livet är underbart
MEN!
Det börjar hända något!
Ibland hittar den inte inloggningsservern
Efter en uppgradering kan man plötsligt logga in utan
Yubikey
Windows server 2012 kommer - support
ITS kommer att ersätta Authlite
Vad vill jag säga?
Om man ska välja en färdig produkt från en leverantör
•
Se till att det är en leverantör som är en
”Microsoftpartner på hög nivå”
•
Undersök vilken kundbas dom har
•
Och viktigast! det ska på ett enkelt sätt gå att kliva av
tåget
eller
2-faktor pilot
Intresserad att sätta upp en egen 2-faktor tjänst för
inloggning.
Microsoft har implementerat möjligheten
Vi kan även få med Linux
Finns intresset?
Anmäl intresset till mig
TOKEN, SMARTCARD, MM.
Smidig
Designad för att passa nästan helt inne i en USB-port
YubiKey Nano
(Apple Camera Connection Kit for iPad )
Tiqr Authentication
Webbplatsen visar en så kallad QR-kod (en 2D streckkod),
Användaren scannar in koden och sedan använder man sig
av autentisering appen som autentiserar användaren,
baserat på användarens identitet som lagras på telefonen.
Fullfunktionskortläsare för Smartakort
WORKSHOP 13 november
Preliminär agenda
2-faktor autentisering
• Information om projektet 2-faktor projektet
• Demonstration av två intressanta produkter
• 2-faktor som tjänst nationellt
• Olika tekniska val möjligheter när det gäller token, mm.
• Diskussioner (bla. Om piloten)
Grupphantering
• Kartläggning
• Användningsfall kring grupphantering
•
•
•
Produktjämförelser
Lösningsscenarier och rekommendationer
Diskussioner
•
Plats KTH
http://www.swami.se/aktiviteter/workshop2faktorogrupph13112013.228/
•Frågor?