Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sichere Authentifizierung SSO, Password Management, Biometrie

Veröffentlicht von:Amelinda Reichman Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sichere Authentifizierung SSO, Password Management, Biometrie"—  Präsentation transkript:

1 Sichere Authentifizierung SSO, Password Management, Biometrie
Dr. Horst Walther, KCP

2 Single Sign-On, Password Management, Biometrie
Anmeldung an mehreren Anwendungen mit einer Authentifizierung Teilweise unterschieden in: Single Sign-On: Eine Authentifizierung für alle Anwendungen Reduced Sign-On: Umsetzung nur für einen Teil der Anwendungen Password Management: Management von Kennwörtern Synchronisation, Reset, Self-Service Biometrie: Einsatz biometrischer Verfahren im Rahmen der Authentifizierung © Kuppinger Cole + Partner 2007

3 Identity Management-Markt: Boom-Thema Single Sign-On
IdM Marktstudie kcp Herbst 2006 Investitionen: Nur in Provisioning wird mehr investiert als in SSO 80 Teilnehmer © Kuppinger Cole + Partner 2007

4 Identity Management Markt: Single Sign-On-Ansätze
Kerberos in Teilbereichen 100% (kommt mit Windows mit) Taktisch server- oder client-basiert Strategisch: Federation Nicht gleichberechtigt Kerberos: sehr technisch, hoher Integrationsaufwand: Kerberize Federation-Potential noch nicht begriffen © Kuppinger Cole + Partner 2007

5 Die IT im Wandel: Business-Treiber für SSO
Prozesse flexibilisieren Optimierte Öffnung zum Kunden Interne Kontrollen optimieren Revisionssicherheit optimieren Abgrenzung („chinese walls“) Business Need Compliance SSO? SSO? IT-Strategie Kosten senken durch Automatisierung Kostenkontrolle durch Transparenz SSO! SSO! Anwenderproduktivität erhöhen Administrationsprozesse verbessern Business Need bei Mazda sehr hoch! Security: Compliance: unklar Cost Containment Operational Efficiency Security SSO? © Kuppinger Cole + Partner 2007

6 Von der IT zum Business: Werte schaffen
Business Need Cost Containment Operational Efficiency proaktiv Wettbewerbsvorteile erzielen Business-Support Reife Compliance Security verbessern SSO! Kosten Reaktiv, Strafen vermeiden Wert © Kuppinger Cole + Partner 2007

7 Identity Management-Markt: Die Treiber
Umfrage: Komfort wird unterschätzt SSO führt irgendwann zur starken Authentifizierung, aber besser umgekehrt © Kuppinger Cole + Partner 2007

8 Single Sign-On: Die konkreten Treiber
Benutzer müssen sich zu viele Kombination von Benutzernamen und Kennwörter (Credentials) merken Sicherheitsrisiken durch unsichere Aufbewahrung von Kennwörtern Akzeptanzprobleme für neue Anwendungen („schon wieder eine neue Anmeldung“) Helpdesk-Kosten Einführung von starker Authentifizierung Einheitliche, starke Mechanismen Absicherung von sensitiven Anwendungen Kosten der starken Authentifizierung Justifying the costs. © Kuppinger Cole + Partner 2007

9 Identity Management Markt: Starke Authentifizierung
© Kuppinger Cole + Partner 2007

10 Nutzenfaktoren: SSO bringt Mehrwert
Quantitativ 1 Administrative Kosten im Helpdesk 2 Integrationskosten von Anwendungen Qualitativ 1 Mehr Komfort für Anwender 2 Höhere Akzeptanz für neue (und alte) Anwendungen 3 Taktisch schnelle Lösung SSO ist mehr als eine taktische Lösung! Taktisch: Auch mittelfristig wird es keine einheitliche Authentifizierung geben Strategisch: Trend zur Vereinheitlichung der Authentifizierung in Anwendungen © Kuppinger Cole + Partner 2007

11 Single Sign-On: Die Ansätze (I)
Serverbasierend Clientbasierend Auch: Enterprise Single Sign-On Speicherung von Credentials in einem (mehr oder weniger) sicheren Speicher Client-Komponente Zentrale Steuerung Hersteller z.B.: ActivIdentity, CA, Evidian, Passlogix OEMs: IBM, Novell, Oracle,… Citrix Imprivata Technisch ähnliche Ansatz, aber: dezentrale Speicherung, z.B. auf USB-Tokens, Smartcards, Festplatte Viele Ansätze Browser-integriert Add-On zu Smartcards Eigenständige Lösung Client-Lösung Problematisch, wenn ohne zentrale Steuerung Serverbasierend hat auch eine Client Komponente Serverbasierend: zentrales Repository Clientbasiert kann unsicher sein, wenn nicht smartcard-basiert © Kuppinger Cole + Partner 2007

12 E-SSO: Wie funktioniert das?
Speicherung von Credentials Directory Benutzer mit E-SSO-Client Authentifizierung Anwendungen © Kuppinger Cole + Partner 2007

13 Single Sign-On: Die Ansätze (II)
Kerberos X.509 Standardisierter Ansatz Kerberos KDC: Tickets für Authentifizierung und Zugriff auf Services Unterstützung auf vielen Systemplattformen Aber: Komplexe Interoperabilität Aufwändige Integration in Anwendungen Kaum über Unternehmensgrenzen hinweg nutzbar Standardisierter Ansatz X.509v3-Zertifikate: Bestätigen die Identität Setzt Vertrauen zum Herausgeber voraus Außerhalb von Web-Anwendungen selten unterstützt Extern nutzbar Herausforderung PKI/Smartcard Infrastructure KDC= Key distribution center Unix & Windows : fast kompatibel Immer komplex x.509: Identity Infrastruktur ist zusätzlich erforderlich © Kuppinger Cole + Partner 2007

14 Single Sign-On: Die Ansätze (III)
Web-SSO Federation Web Access Management, Extranet Access Management Zentrale Authentifizierung für Web-Anwendungen Autorisierung der Zugriffe Weiterleitung mit speziellen Headern etc. Primär für Web-Anwendungen, sonst kaum genutzt Standardisierter Ansatz SAML, Liberty Alliance WS-Federation Austausch von Identitätsinformationen über Web Services Flexibel nutzbar Relativ einfach in Anwendungen integrierbar Schnelle Lösungen über Web-SSO-Endpunkte Federatio nicht schwieriug © Kuppinger Cole + Partner 2007

15 Identity Federation: Wie funktioniert das?
Federation basiert auf Vertrauen Service Provider vertraut Identity Provider Benutzer meldet sich einmal für mehrere Service Provider an Flexibler Austausch von Informationen Service Provider User Session Trust Ressource login Identity Provider Verzeichnis © Kuppinger Cole + Partner 2007

16 Die Ansätze für Single Sign-On: E-SSO als reife Lösung
Integrationstiefe in Anwendungen Lokales SSO Enterprise SSO niedrig Web- SSO Federation X.509 Kerberos: geringe Marktreife aber technisch superreif Kerberos hoch Reifegrad © Kuppinger Cole + Partner 2007

17 SSO: Einstiegsprojekt für IAM?
Ja, weil… Nein, weil… …man beim Client beginnen und Informationen darüber sammeln kann, wer in welcher Identität welche Anwendungen nutzt …man einen schnellen Mehrwert hat …man (bei einzelnen Ansätzen) schnell starten kann …man für strategische Ansätze bereits eine integrierte, vertrauenswürdige Identität benötigt (und für taktische auch ein zentrales Verzeichnis haben sollte) …für viele Ansätze der Aufwand für die Anwendungsintegration hoch ist …teils eine komplexe Infrastruktur benötigt wird Infrastruktur: Wenn Samrtcards © Kuppinger Cole + Partner 2007

18 SSO: Die Voraussetzungen
Zentrale, vertrauenswürdige Identität Integration von verschiedenen führenden Systemen Herausforderung Datenqualität muss gelöst werden Starke Authentifizierung (?) Muss gelöst werden Häufig (aber nicht zwingend) als nachgelagertes Projekt © Kuppinger Cole + Partner 2007

19 SSO: Taktik versus Strategie
SSO-Strategie Frontend-SSO Benutzer haben ein SSO Schnell implementierbare Lösungen Interne Anwendungen: E-SSO oder lokales SSO mit zentralem Management unter Verwendung von Smartcards Externe Anwendungen, Web-Anwendungen: Web-SSO Backend-SSO Anwendungen haben ein SSO Eine definierte Strategie Identity Federation Kerberos ist zu eingeschränkt X.509 ist eine ergänzende Basistechnologie, aber nicht die Lösung © Kuppinger Cole + Partner 2007

20 SSO-Strategie: Die Komponenten
Single Sign On Integrierte Identität Starke Authentifizierung Anwendungs sicherheits infrastruktur Identity Federation Integrierte Identität: Meta Directories, Provisioning Starke Authentifizierung: Zwei-Faktor-Authentifizierung Anwendungssicherheits-infrastruktur: Zwingend Vorgaben für Entwicklung und Auswahl von Anwendungen Federation: Basis für Single Sign-On Anwendungssicherheits-infrastruktur: Architektur © Kuppinger Cole + Partner 2007

21 SSO als Risiko oder Chance? Identity Risk Management
Authentifizierung: Wie vertrauenswürdig ist der Identity Provider? SSO = Trust! Getrenntes Auditing von Authentifizierung und Autorisierung Golden Password? Autorisierung: Bei den meisten Ansätzen weiterhin dezentral Wichtigste Ausnahme: Web-SSO Setzt ein definiertes Zusammenspiel zwischen Identity Providern und Services/Anwendungen voraus Partner als Id-Provider? Wie gut ist mein Partner intern organsiert? Auditing: IT-Risiken verringern sich tendenziell durch SSO © Kuppinger Cole + Partner 2007

22 Die Rolle des Password Managements
Password Sync Unidirektional: Erkennung von Änderungen des Windows-Kennworts – wird von den meisten Lösungen unterstützt Bidirektional: Erkennung von Synchronisation und Änderungen in verschiedenen Systemen – wenige spezialisierte Anbieter Password Reset User Self Service: Benutzer können eigene Kennwörter zurücksetzen Administrative Resets: Zurücksetzen durch Administratoren © Kuppinger Cole + Partner 2007

23 Einsatz von Password Management
Grundlegende Password Management-Funktionen werden heute typischerweise als Teil von Provisioning-Lösungen angeboten Synchronisation stößt zwangsläufig durch unterschiedliche Kennwortregeln an Grenzen Enterprise-/Lokales SSO kann das adressieren – mehrere Kennwörter für Systeme, eines für den Benutzer Für die starke Authentifizierung sollten andere Mechanismen verwendet werden 2-Faktor-Authentifizierung, z.B. mit Smartcard Biometrische Verfahren © Kuppinger Cole + Partner 2007

24 Die Rolle der Biometrie
Mechanismus für die starke Authentifizierung Mehr als 40% der Unternehmen rechnen nicht vor 2009 mit einem flächendeckenden Einsatz 93,3% der Unternehmen sehen Fingerabdrücke als das geeignetste Biometrie wird zunehmend interessanter für die starke Authentifizierung, ist aber nicht der einzige Ansatz Wenn Biometrie, dann Fingerabdrücke Wird zunehmend vom Benutzer akzeptiert Relativ ausgereift, relativ günstig Akzeptable Sicherheit © Kuppinger Cole + Partner 2007

25 Sichere Authentifizierung: SSO + starke Authentifizierung
SSO in Verbindung mit Ansätzen für die starke Authentifizierung (2-Faktor, Biometrie) ist der geeignete Weg für mehr Sicherheit Taktisch durch Enterprise-SSO oder lokales SSO mit Smartcards Strategisch durch Federation © Kuppinger Cole + Partner 2007

Herunterladen ppt "Sichere Authentifizierung SSO, Password Management, Biometrie"

Ähnliche Präsentationen

Migration von Feldbussen zu PROFINET

Migration von Feldbussen zu PROFINET
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Server- und Dienstestruktur an der Uni Paderborn

Server- und Dienstestruktur an der Uni Paderborn
Thin Clients und SmartCards an der HU

Thin Clients und SmartCards an der HU
EControl –Identity Lifecycle Management kann so einfach sein Management Erstellung Nutzer-Selbstverwaltung Audit Wolfgang Berger Omni Technology Solutions.

EControl –Identity Lifecycle Management kann so einfach sein Management Erstellung Nutzer-Selbstverwaltung Audit Wolfgang Berger Omni Technology Solutions.
ERP- und Team-Erweiterungen für Microsoft Project.

ERP- und Team-Erweiterungen für Microsoft Project.
Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.

Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.
Microsoft Dynamics NAV-Themenfolien

Microsoft Dynamics NAV-Themenfolien
Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.

Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Ergebnisse NILES SIMMONS im Rahmen des ErGo- Projektes

Ergebnisse NILES SIMMONS im Rahmen des ErGo- Projektes
Die Elektronische Zeitschriftenbibliothek

Die Elektronische Zeitschriftenbibliothek
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Föderationen: Richtlinien, Zertifikate und Attribute

Föderationen: Richtlinien, Zertifikate und Attribute
Einführung in den Identity Provider

Einführung in den Identity Provider
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Pascal Busch, WWI00B – Vergleich CORBA vs. Web Services hinsichtlich der Applikationsintegration Web Services vs CORBA Web Services vs CORBA Ein Vergleich.

Pascal Busch, WWI00B – Vergleich CORBA vs. Web Services hinsichtlich der Applikationsintegration Web Services vs CORBA Web Services vs CORBA Ein Vergleich.

Ähnliche Präsentationen

Google-Anzeigen