Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP

Ähnliche Präsentationen


Präsentation zum Thema: "Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP"—  Präsentation transkript:

1 Sichere Authentifizierung SSO, Password Management, Biometrie Dr. Horst Walther, KCP

2 Single Sign-On, Password Management, Biometrie Single Sign-On: Anmeldung an mehreren Anwendungen mit einer Authentifizierung Teilweise unterschieden in: Single Sign-On: Eine Authentifizierung für alle Anwendungen Reduced Sign-On: Umsetzung nur für einen Teil der Anwendungen Password Management: Management von Kennwörtern Synchronisation, Reset, Self-Service Biometrie: Einsatz biometrischer Verfahren im Rahmen der Authentifizierung © Kuppinger Cole + Partner 2007Seite 2

3 © Kuppinger Cole + Partner 2007Seite 3 Identity Management-Markt: Boom-Thema Single Sign-On

4 © Kuppinger Cole + Partner 2007Seite 4 Identity Management Markt: Single Sign-On-Ansätze

5 © Kuppinger Cole + Partner 2007Seite 5 Die IT im Wandel: Business-Treiber für SSO Kosten senken durch Automatisierung Kostenkontrolle durch Transparenz Interne Kontrollen optimieren Revisionssicherheit optimieren Abgrenzung (chinese walls) Prozesse flexibilisieren Optimierte Öffnung zum Kunden Anwenderproduktivität erhöhen Administrationsprozesse verbessern IT-Strategie SSO! SSO?

6 © Kuppinger Cole + Partner 2007Seite 6 Compliance Security Business Need Reaktiv, Strafen vermeiden Wert Reife Kosten verbessern proaktiv Wettbewerbsvorteile erzielen Business-Support Cost Containment Operational Efficiency Von der IT zum Business: Werte schaffen SSO!

7 © Kuppinger Cole + Partner 2007Seite 7 Identity Management-Markt: Die Treiber

8 Single Sign-On: Die konkreten Treiber Benutzer müssen sich zu viele Kombination von Benutzernamen und Kennwörter (Credentials) merken Sicherheitsrisiken durch unsichere Aufbewahrung von Kennwörtern Akzeptanzprobleme für neue Anwendungen (schon wieder eine neue Anmeldung) Helpdesk-Kosten Einführung von starker Authentifizierung Einheitliche, starke Mechanismen Absicherung von sensitiven Anwendungen Kosten der starken Authentifizierung © Kuppinger Cole + Partner 2007Seite 8

9 © Kuppinger Cole + Partner 2007Seite 9 Identity Management Markt: Starke Authentifizierung

10 © Kuppinger Cole + Partner 2007Seite 10 Nutzenfaktoren: SSO bringt Mehrwert Quantitativ 1 Administrative Kosten im Helpdesk 2 Integrationskosten von Anwendungen Qualitativ 1 Mehr Komfort für Anwender 2 Höhere Akzeptanz für neue (und alte) Anwendungen 3 Taktisch schnelle Lösung SSO ist mehr als eine taktische Lösung! - Taktisch: Auch mittelfristig wird es keine einheitliche Authentifizierung geben - Strategisch: Trend zur Vereinheitlichung der Authentifizierung in Anwendungen

11 Single Sign-On: Die Ansätze (I) Serverbasierend Auch: Enterprise Single Sign-On Speicherung von Credentials in einem (mehr oder weniger) sicheren Speicher Client-Komponente Zentrale Steuerung Hersteller z.B.: ActivIdentity, CA, Evidian, Passlogix OEMs: IBM, Novell, Oracle,… Citrix Imprivata Clientbasierend Technisch ähnliche Ansatz, aber: dezentrale Speicherung, z.B. auf USB-Tokens, Smartcards, Festplatte Viele Ansätze Browser-integriert Add-On zu Smartcards Eigenständige Lösung Client-Lösung Problematisch, wenn ohne zentrale Steuerung © Kuppinger Cole + Partner 2007Seite 11

12 © Kuppinger Cole + Partner 2007Seite 12 E-SSO: Wie funktioniert das? Directory Benutzer mit E-SSO-Client Anwendungen Speicherung von Credentials Authentifizierung

13 Single Sign-On: Die Ansätze (II) Kerberos Standardisierter Ansatz Kerberos KDC: Tickets für Authentifizierung und Zugriff auf Services Unterstützung auf vielen Systemplattformen Aber: Komplexe Interoperabilität Aufwändige Integration in Anwendungen Kaum über Unternehmensgrenzen hinweg nutzbar X.509 Standardisierter Ansatz X.509v3-Zertifikate: Bestätigen die Identität Setzt Vertrauen zum Herausgeber voraus Außerhalb von Web- Anwendungen selten unterstützt Extern nutzbar Herausforderung PKI/Smartcard Infrastructure © Kuppinger Cole + Partner 2007Seite 13

14 Single Sign-On: Die Ansätze (III) Web-SSO Web Access Management, Extranet Access Management Zentrale Authentifizierung für Web-Anwendungen Autorisierung der Zugriffe Weiterleitung mit speziellen Headern etc. Primär für Web- Anwendungen, sonst kaum genutzt Federation Standardisierter Ansatz SAML, Liberty Alliance WS-Federation Austausch von Identitätsinformationen über Web Services Flexibel nutzbar Relativ einfach in Anwendungen integrierbar Schnelle Lösungen über Web-SSO-Endpunkte © Kuppinger Cole + Partner 2007Seite 14

15 Identity Federation: Wie funktioniert das? Federation basiert auf Vertrauen Service Provider vertraut Identity Provider Benutzer meldet sich einmal für mehrere Service Provider an Flexibler Austausch von Informationen © Kuppinger Cole + Partner 2007Seite 15 Identity Provider login Service Provider User Session Verzeichnis RessourceTrust

16 © Kuppinger Cole + Partner 2007Seite 16 Die Ansätze für Single Sign-On: E-SSO als reife Lösung Reifegrad Integrationstiefe in Anwendungen niedrig hoch Kerberos X.509 Enterprise SSOLokales SSO Federation Web- SSO

17 SSO: Einstiegsprojekt für IAM? Ja, weil… …man beim Client beginnen und Informationen darüber sammeln kann, wer in welcher Identität welche Anwendungen nutzt …man einen schnellen Mehrwert hat …man (bei einzelnen Ansätzen) schnell starten kann Nein, weil… …man für strategische Ansätze bereits eine integrierte, vertrauenswürdige Identität benötigt (und für taktische auch ein zentrales Verzeichnis haben sollte) …für viele Ansätze der Aufwand für die Anwendungsintegration hoch ist …teils eine komplexe Infrastruktur benötigt wird © Kuppinger Cole + Partner 2007Seite 17

18 SSO: Die Voraussetzungen Zentrale, vertrauenswürdige Identität Integration von verschiedenen führenden Systemen Herausforderung Datenqualität muss gelöst werden Starke Authentifizierung (?) Muss gelöst werden Häufig (aber nicht zwingend) als nachgelagertes Projekt © Kuppinger Cole + Partner 2007Seite 18

19 SSO: Taktik versus Strategie SSO-Taktik Frontend-SSO Benutzer haben ein SSO Schnell implementierbare Lösungen Interne Anwendungen: E-SSO oder lokales SSO mit zentralem Management unter Verwendung von Smartcards Externe Anwendungen, Web-Anwendungen: Web-SSO SSO-Strategie Backend-SSO Anwendungen haben ein SSO Eine definierte Strategie Identity Federation Kerberos ist zu eingeschränkt X.509 ist eine ergänzende Basistechnologie, aber nicht die Lösung © Kuppinger Cole + Partner 2007Seite 19

20 SSO-Strategie: Die Komponenten Single Sign On Integrierte Identität Starke Authentifizi erung Anwendungs sicherheits infrastruktur Identity Federation Integrierte Identität: Meta Directories, Provisioning Starke Authentifizierung: Zwei-Faktor-Authentifizierung Anwendungssicherheits- infrastruktur: Zwingend Vorgaben für Entwicklung und Auswahl von Anwendungen Federation: Basis für Single Sign-On © Kuppinger Cole + Partner 2007Seite 20

21 SSO als Risiko oder Chance? Identity Risk Management Authentifizierung: Wie vertrauenswürdig ist der Identity Provider? SSO = Trust! Getrenntes Auditing von Authentifizierung und Autorisierung Golden Password? Autorisierung: Bei den meisten Ansätzen weiterhin dezentral Wichtigste Ausnahme: Web-SSO Setzt ein definiertes Zusammenspiel zwischen Identity Providern und Services/Anwendungen voraus © Kuppinger Cole + Partner 2007Seite 21 IT-Risiken verringern sich tendenziell durch SSO

22 Die Rolle des Password Managements Password Management: Password Sync Unidirektional: Erkennung von Änderungen des Windows-Kennworts – wird von den meisten Lösungen unterstützt Bidirektional: Erkennung von Synchronisation und Änderungen in verschiedenen Systemen – wenige spezialisierte Anbieter Password Reset User Self Service: Benutzer können eigene Kennwörter zurücksetzen Administrative Resets: Zurücksetzen durch Administratoren © Kuppinger Cole + Partner 2007Seite 22

23 Einsatz von Password Management Grundlegende Password Management-Funktionen werden heute typischerweise als Teil von Provisioning- Lösungen angeboten Synchronisation stößt zwangsläufig durch unterschiedliche Kennwortregeln an Grenzen Enterprise-/Lokales SSO kann das adressieren – mehrere Kennwörter für Systeme, eines für den Benutzer Für die starke Authentifizierung sollten andere Mechanismen verwendet werden 2-Faktor-Authentifizierung, z.B. mit Smartcard Biometrische Verfahren © Kuppinger Cole + Partner 2007Seite 23

24 Die Rolle der Biometrie Mechanismus für die starke Authentifizierung Mehr als 40% der Unternehmen rechnen nicht vor 2009 mit einem flächendeckenden Einsatz 93,3% der Unternehmen sehen Fingerabdrücke als das geeignetste Biometrie wird zunehmend interessanter für die starke Authentifizierung, ist aber nicht der einzige Ansatz Wenn Biometrie, dann Fingerabdrücke Wird zunehmend vom Benutzer akzeptiert Relativ ausgereift, relativ günstig Akzeptable Sicherheit © Kuppinger Cole + Partner 2007Seite 24

25 Sichere Authentifizierung: SSO + starke Authentifizierung SSO in Verbindung mit Ansätzen für die starke Authentifizierung (2- Faktor, Biometrie) ist der geeignete Weg für mehr Sicherheit Taktisch durch Enterprise-SSO oder lokales SSO mit Smartcards Strategisch durch Federation © Kuppinger Cole + Partner 2007Seite 25


Herunterladen ppt "Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP"

Ähnliche Präsentationen


Google-Anzeigen