Pascal Thoniel Digital Identity and Authentication Founder & CEO NTX Research

Download Report

Transcript Pascal Thoniel Digital Identity and Authentication Founder & CEO NTX Research 

Pascal Thoniel
Founder & CEO NTX Research
Official Forum Panellist of SEC 3 session
Digital Identity and Authentication
« Security that triggers trust »
1 / 14
© NTX Research, 2009
CyberSecurity – SEC 3 – Tuesday Oct 6th 2009
Cybersecurity
Cybersécurité
• Managing digital
identity: the good, the
bad, the ugly
• Gérer l'identité
numérique : le bon, le
mauvais, le pire
Digital identities are central to modern life, in performing banking
transactions, making purchases, obtaining medical treatment, not to mention
building and maintaining your personal or corporate reputation.
Identity theft has become a serious threat, both on the Internet and in data
recovered from stolen or second hand discs and computers. Protecting
corporate, customer, employee and personal digital identity is of critical
importance.
« Security that triggers trust »
2 / 14
© NTX Research, 2009
Index of questions
1. How to properly protect
critical data?
2. What tools are now available
to protect digital identity and
3. How best to implement them
in your country or company?
4. How to implement and
improve identity
management processes?
1. Comment protéger
efficacement les données
critiques?
2. Quels sont les outils
disponibles pour protéger
l’identité numérique
3. Comment les implémenter au
mieux dans votre entreprise
ou votre pays?
4. Comment mettre en oeuvre
et améliorer les processus de
gestion d’identité?
« Security that triggers trust »
3 / 14
© NTX Research, 2009
How to properly protect critical data? 1 of 2
Comment protéger efficacement les données critiques? 1 sur 2
 a) The more you know the better you can protect. The first thing to do in all
organizations (companies or administrations) is to classify Digital Identity
data (id + credentials + attributes).
 b) Regarding identity management, the second thing to do is to know the
owner of these data:
•
who is the legitimate owner
•
who are the authorized keepers
•
who can certify these data (an address, a social security number, a data of birth...).
 a) On ne protège bien que ce que l'on connait bien. La première chose à
faire dans toute organisation (entreprise ou administration) c'est donc la
classification des données de l'identé numérique (identités + crédentiels +
attributs).
 b) En matière de gestion des identités, la deuxième chose à faire c'est de
savoir à qui appartiennent ces données :
•
qui en est le propriétaire légitime
•
qui en sont les détenteurs autorisés
•
qui peut certifier ces données (une adresse, un numéro de sécurité sociale, une date de
naissance...).
« Security that triggers trust »
4 / 14
© NTX Research, 2009
How to properly protect critical data? 2 of 2
Comment protéger efficacement les données critiques? 2 sur 2
 c) The third part is about the controlled distribution of such a data.
 In short, there are three musts:
•
control access to these data
•
control data distribution (which is much more difficult)
•
prevent creation of false data about yourself
 The biggest danger in terms of digital identity remains impersonation. That
is someone that can pretend it is you on the Internet. Consequences can be
devastating ….
 c) Le troisième volet concerne la diffusion contrôlée de ces données.
 En bref, il existe trois impératifs :
•
contrôler l'accès à ces données
•
contrôler leur diffusion (ce qui est beaucoup plus dur)
•
éviter la création de fausses données vous concernant
 Le plus grand danger en matière d'identité numérique reste l'usurpation
d'identité. C'est-à-dire quelqu'un qui est en mesure de se faire passer pour
vous sur Internet. Les conséquences peuvent être dramatiques...
« Security that triggers trust »
5 / 14
© NTX Research, 2009
What tools are now available to protect digital identity? 1 of 4
Quel sont les outils disponibles pour protéger l’identité
numérique? 1 sur 4
 One of the main piece of digital identity protection is Authentication.
•
Definition: bring or verify the proof of an individual’s identity.
 Auhtentication is a security function. This security function is performed by
security devices (hardware and software) involving an authentication
method
 Solutions are available for a limited group of individuals: more or less safe,
more or less expensive. Usually, one can find solutions: less expensive but
less secure or more secure but expensive.
 Une des briques essentielle de la protection de l'identité numérique est
l'Authentification.
•
Définition : apporter ou vérifier la preuve de l'identité d'un individu.
 L'authentification est une fonction de sécurité. Cette fonction de sécurité
est assurée par un dispositif de sécurité (matériel et logiciel) mettant en
oeuvre une méthode d'authentification.
 Les solutions existent pour un petit nombre d'individus : +ou- sûres, +ouchères. En général, on trouve des solutions : - chères mais - sûres ou bien
+ sûres mais + chères.
« Security that triggers trust »
6 / 14
© NTX Research, 2009
What tools are now available to protect digital identity? 2 of 4
Quel sont les outils disponibles pour protéger l’identité
numérique? 2 sur 4
 The problem is the following:
•
Which solution to offer to the scale of the Internet ?
 That is a solution More Secure AND Less Expensive
 A safer solution, that is a strong authentication, usually implies 2-factor
authentication
 For example: what I OWN (an authentication device) and what I KNOW
(password, secret code). But there is also what I AM (biometrics) and what I
CAN do (handwriting, signature)
 Le problème est le suivant :
•
Quelles solutions proposer à l'échelle de l'Internet ?
 C'est-à-dire + sûres ET - chères.
 Une solution + sûre, c'est-à-dire une authentification, implique en général 2
facteurs.
 Par exemple : ce que je POSSEDE (un authentifieur physique) et ce que je
SAIS (mot de passe, code secret). Mais il y a aussi ce que je SUIS
(biométrie) et ce que je SAIS FAIRE (signature manuscrite)
« Security that triggers trust »
7 / 14
© NTX Research, 2009
What tools are now available to protect digital identity? 3 of 4
Quel sont les outils disponibles pour protéger l’identité
numérique? 3 sur 4
 But it is impossible to impose everyone the same physical
authentication device:
•
•
In a large company, organisation or administration: various population types
imply various behaviours and habits
Such a phenomenon is even more present on Internet for the
citizen/user/consumer: very diverse groups (age, culture, social level…)
 Mais il est impossible d'imposer à tous le même authentifieur ou
support physique d'authentification :
•
•
dans une grande entreprise, une grande organisation ou une administration :
des populations différentes impliquent des comportements, des habitudes
différentes
ce phénomène est encore accentué sur Internet pour le
citoyen/consommateur : des groupes très diversifiés (âge, culture, CSP...)
« Security that triggers trust »
8 / 14
© NTX Research, 2009
What tools are now available to protect digital identity? 4 of 4
Quel sont les outils disponibles pour protéger l’identité
numérique? 4 sur 4
 Cheaper solution usually implies:
•
a 100% software method
•
implementable on all types of physical devices
•
a) low cost devices:

•
USB data key, CD-card …
b) expensive devices but already paid by citizen/consumer:

Mobile phones and smartphones
 An example of 100% hardware solution thus implementable on all authentication
devices but remains seafe: code books with virtual secret code
 Une solution moins chère implique en général :
•
une méthode 100 % logicielle
•
embarquable sur tout type de supports physiques :
•
a) des supports pas chers :

•
cédécartes, clés USB...
b) des supports chers mais déjà payé par le citoyen/consommateur :

téléphones mobiles et smartphones
 Un exemple de solution 100 % logicielle donc embarquable sur tout authentifieur
mais qui reste sûre : les tables de codage avec code secret virtuel.
« Security that triggers trust »
9 / 14
© NTX Research, 2009
How best to implement them in your country or
company? 1 of 2
Comment les implémenter au mieux dans votre
entreprise ou votre pays? 1 sur 2
 At a countrywide scale, there are two ways:
• Identity federation (Liberty Alliance)
• Identity selector (Infocard)
 A l'échelle d'un pays, il existe 2 approches :
• la fédération d'identité de type Liberty Alliance
• le sélecteur d'identité de type Infocard
« Security that triggers trust »
10 / 14
© NTX Research, 2009
How best to implement them in your country or
company? 2 of 2
Comment les implémenter au mieux dans votre
entreprise ou votre pays? 2 sur 2
 Quick description:
•
Identity federation: initial user consent to data structuring, storage and secured
exchanges with central entities (server side)
•
Identity selector: user centric – direct management (storage and consent at time of use) by
user (client side) .
 Experiment a mix of both: that is the FC² project objective performed in
France within the System@tic and TES clusters framework.
 Description rapide :
•
La fédération d'identité : structuration des données, de leur stockage et de leurs
échanges sécurisés au niveau des acteurs centraux (côté serveur) avec consentement
initial de l'utilisateur.
•
Le sélecteur d'identité : centré sur l'utilisateur - gestion directe (stockage et
consentement à l'utilisation) par l'utilisateur (côté client).
 Expérimenter un mixte des deux : c'est l'objectif du projet FC² mené en
France dans le cadre des pôles de compétitivité System@tic et TES.
« Security that triggers trust »
11 / 14
© NTX Research, 2009
How to implement and improve identity management
processes? 1 of 2
Comment mettre en oeuvre et améliorer les processus
de gestion d’identité? 1 sur 2
 The Single Sign On technique (SSO)
•
SSO Definition: Inter-domain propagation of a successfull authentication via secured
token sent from one server to another
 Pseudo-SSO, meanwhile, intends to make transparent to the user, the
numerous authentication processes that are taking place (for example
several « challenge-response »). User input is only requested once to enter
its password or secret code, but multiple authentication are triggered on
client site. The « code books with virtual secret code » can perform pseudoSSO
 La technique du Single Sign On (SSO).
•
Définition du SSO : propagation inter-domaines d'une authentification réussie via des
jetons envoyés de serveur à serveur.
 Le pseudo-SSO, quant à lui, vise à rendre transparent pour l'utilisateur la
multiplicité des processus d'authentification qui vont s'exécuter (par
exemple plusieurs "défi-réponse"). L'utilisateur n'est sollicité qu'une seule
fois pour saisir son mot de passe ou son code secret, mais de multiples
processus d'authentification sont déclenchés côté client. La solution des
"tables de codage avec code secret virtuel" permet du pseudo-SSO.
« Security that triggers trust »
12 / 14
© NTX Research, 2009
How to implement and improve identity management
processes? 2 of 2
Comment mettre en oeuvre et améliorer les processus
de gestion d’identité? 2 sur 2
 Generally speaking, how to improve identity management processes:
•
Inform and make aware people on stake and safe usage of their identity (and the threats
they are exposed to, the worst would be not to pay attention to its digitial identity)
•
Promote carefull and controlled use of personnal social networks (Facebook) and
professionnal ones (LinkedIn, Viadeo)
•
Make available to users easy to use and understand security tools (identity selector,
strong authentication systems)
•
For Web based solution providers: Mix both identity federation and identity selector (keep
best of both worlds)
 Plus globalement, comment améliorer les processus de gestion des
identités :
•
informer et sensibiliser les personnes sur l'enjeu et l'usage sûr de leur identité (à
contrario les dangers qu'ils courent, la pire erreur est de ne pas s'occuper de son identité
numérique)
•
promouvoir l'usage raisonné et maîtrisé des réseaux sociaux personnels (Facebook) et
professionnels (LinkedIn, Viadeo)
•
fournir aux utilisateurs des outils de sécurité compréhensibles et à usage facile (sélecteur
d'identité, système d'authentification forte)
•
pour les fournisseurs de solutions Web : mixer l'approche fédération d'identité et
sélecteur d'identité (garder le meilleur des 2 mondes)
« Security that triggers trust »
13 / 14
© NTX Research, 2009
Your contacts
Pascal Thoniel, CEO & CTO
[email protected]
Francis Melemedjian, Sales
[email protected]
NTX Research SA
111 avenue Victor Hugo
75116 Paris, France
+33 1 47 66 39 85
www.ntx-research.com
« Security that triggers trust »
14 / 14
© NTX Research, 2009