Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de

Single Sign-On, Password Management, Biometrie Anmeldung an mehreren Anwendungen mit einer Authentifizierung Teilweise unterschieden in: Single Sign-On: Eine Authentifizierung für alle Anwendungen Reduced Sign-On: Umsetzung nur für einen Teil der Anwendungen Password Management: Management von Kennwörtern Synchronisation, Reset, Self-Service Biometrie: Einsatz biometrischer Verfahren im Rahmen der Authentifizierung © Kuppinger Cole + Partner 2007

Identity Management-Markt: Boom-Thema Single Sign-On IdM Marktstudie kcp Herbst 2006 Investitionen: Nur in Provisioning wird mehr investiert als in SSO 80 Teilnehmer © Kuppinger Cole + Partner 2007

Identity Management Markt: Single Sign-On-Ansätze Kerberos in Teilbereichen 100% (kommt mit Windows mit) Taktisch server- oder client-basiert Strategisch: Federation Nicht gleichberechtigt Kerberos: sehr technisch, hoher Integrationsaufwand: Kerberize Federation-Potential noch nicht begriffen © Kuppinger Cole + Partner 2007

Die IT im Wandel: Business-Treiber für SSO Prozesse flexibilisieren Optimierte Öffnung zum Kunden Interne Kontrollen optimieren Revisionssicherheit optimieren Abgrenzung („chinese walls“) Business Need Compliance SSO? SSO? IT-Strategie Kosten senken durch Automatisierung Kostenkontrolle durch Transparenz SSO! SSO! Anwenderproduktivität erhöhen Administrationsprozesse verbessern Business Need bei Mazda sehr hoch! Security: Compliance: unklar Cost Containment Operational Efficiency Security SSO? © Kuppinger Cole + Partner 2007

Von der IT zum Business: Werte schaffen Business Need Cost Containment Operational Efficiency proaktiv Wettbewerbsvorteile erzielen Business-Support Reife Compliance Security verbessern SSO! Kosten Reaktiv, Strafen vermeiden Wert © Kuppinger Cole + Partner 2007

Identity Management-Markt: Die Treiber Umfrage: Komfort wird unterschätzt SSO führt irgendwann zur starken Authentifizierung, aber besser umgekehrt © Kuppinger Cole + Partner 2007

Single Sign-On: Die konkreten Treiber Benutzer müssen sich zu viele Kombination von Benutzernamen und Kennwörter (Credentials) merken Sicherheitsrisiken durch unsichere Aufbewahrung von Kennwörtern Akzeptanzprobleme für neue Anwendungen („schon wieder eine neue Anmeldung“) Helpdesk-Kosten Einführung von starker Authentifizierung Einheitliche, starke Mechanismen Absicherung von sensitiven Anwendungen Kosten der starken Authentifizierung Justifying the costs. © Kuppinger Cole + Partner 2007

Identity Management Markt: Starke Authentifizierung © Kuppinger Cole + Partner 2007

Nutzenfaktoren: SSO bringt Mehrwert Quantitativ 1 Administrative Kosten im Helpdesk 2 Integrationskosten von Anwendungen Qualitativ 1 Mehr Komfort für Anwender 2 Höhere Akzeptanz für neue (und alte) Anwendungen 3 Taktisch schnelle Lösung SSO ist mehr als eine taktische Lösung! Taktisch: Auch mittelfristig wird es keine einheitliche Authentifizierung geben Strategisch: Trend zur Vereinheitlichung der Authentifizierung in Anwendungen © Kuppinger Cole + Partner 2007

Single Sign-On: Die Ansätze (I) Serverbasierend Clientbasierend Auch: Enterprise Single Sign-On Speicherung von Credentials in einem (mehr oder weniger) sicheren Speicher Client-Komponente Zentrale Steuerung Hersteller z.B.: ActivIdentity, CA, Evidian, Passlogix OEMs: IBM, Novell, Oracle,… Citrix Imprivata Technisch ähnliche Ansatz, aber: dezentrale Speicherung, z.B. auf USB-Tokens, Smartcards, Festplatte Viele Ansätze Browser-integriert Add-On zu Smartcards Eigenständige Lösung Client-Lösung Problematisch, wenn ohne zentrale Steuerung Serverbasierend hat auch eine Client Komponente Serverbasierend: zentrales Repository Clientbasiert kann unsicher sein, wenn nicht smartcard-basiert © Kuppinger Cole + Partner 2007

E-SSO: Wie funktioniert das? Speicherung von Credentials Directory Benutzer mit E-SSO-Client Authentifizierung Anwendungen © Kuppinger Cole + Partner 2007

Single Sign-On: Die Ansätze (II) Kerberos X.509 Standardisierter Ansatz Kerberos KDC: Tickets für Authentifizierung und Zugriff auf Services Unterstützung auf vielen Systemplattformen Aber: Komplexe Interoperabilität Aufwändige Integration in Anwendungen Kaum über Unternehmensgrenzen hinweg nutzbar Standardisierter Ansatz X.509v3-Zertifikate: Bestätigen die Identität Setzt Vertrauen zum Herausgeber voraus Außerhalb von Web-Anwendungen selten unterstützt Extern nutzbar Herausforderung PKI/Smartcard Infrastructure KDC= Key distribution center Unix & Windows : fast kompatibel Immer komplex x.509: Identity Infrastruktur ist zusätzlich erforderlich © Kuppinger Cole + Partner 2007

Single Sign-On: Die Ansätze (III) Web-SSO Federation Web Access Management, Extranet Access Management Zentrale Authentifizierung für Web-Anwendungen Autorisierung der Zugriffe Weiterleitung mit speziellen Headern etc. Primär für Web-Anwendungen, sonst kaum genutzt Standardisierter Ansatz SAML, Liberty Alliance WS-Federation Austausch von Identitätsinformationen über Web Services Flexibel nutzbar Relativ einfach in Anwendungen integrierbar Schnelle Lösungen über Web-SSO-Endpunkte Federatio nicht schwieriug © Kuppinger Cole + Partner 2007

Identity Federation: Wie funktioniert das? Federation basiert auf Vertrauen Service Provider vertraut Identity Provider Benutzer meldet sich einmal für mehrere Service Provider an Flexibler Austausch von Informationen Service Provider User Session Trust Ressource login Identity Provider Verzeichnis © Kuppinger Cole + Partner 2007

Die Ansätze für Single Sign-On: E-SSO als reife Lösung Integrationstiefe in Anwendungen Lokales SSO Enterprise SSO niedrig Web- SSO Federation X.509 Kerberos: geringe Marktreife aber technisch superreif Kerberos hoch Reifegrad © Kuppinger Cole + Partner 2007

SSO: Einstiegsprojekt für IAM? Ja, weil… Nein, weil… …man beim Client beginnen und Informationen darüber sammeln kann, wer in welcher Identität welche Anwendungen nutzt …man einen schnellen Mehrwert hat …man (bei einzelnen Ansätzen) schnell starten kann …man für strategische Ansätze bereits eine integrierte, vertrauenswürdige Identität benötigt (und für taktische auch ein zentrales Verzeichnis haben sollte) …für viele Ansätze der Aufwand für die Anwendungsintegration hoch ist …teils eine komplexe Infrastruktur benötigt wird Infrastruktur: Wenn Samrtcards © Kuppinger Cole + Partner 2007

SSO: Die Voraussetzungen Zentrale, vertrauenswürdige Identität Integration von verschiedenen führenden Systemen Herausforderung Datenqualität muss gelöst werden Starke Authentifizierung (?) Muss gelöst werden Häufig (aber nicht zwingend) als nachgelagertes Projekt © Kuppinger Cole + Partner 2007

SSO: Taktik versus Strategie SSO-Strategie Frontend-SSO Benutzer haben ein SSO Schnell implementierbare Lösungen Interne Anwendungen: E-SSO oder lokales SSO mit zentralem Management unter Verwendung von Smartcards Externe Anwendungen, Web-Anwendungen: Web-SSO Backend-SSO Anwendungen haben ein SSO Eine definierte Strategie Identity Federation Kerberos ist zu eingeschränkt X.509 ist eine ergänzende Basistechnologie, aber nicht die Lösung © Kuppinger Cole + Partner 2007

SSO-Strategie: Die Komponenten Single Sign On Integrierte Identität Starke Authentifizierung Anwendungs sicherheits infrastruktur Identity Federation Integrierte Identität: Meta Directories, Provisioning Starke Authentifizierung: Zwei-Faktor-Authentifizierung Anwendungssicherheits-infrastruktur: Zwingend Vorgaben für Entwicklung und Auswahl von Anwendungen Federation: Basis für Single Sign-On Anwendungssicherheits-infrastruktur: Architektur © Kuppinger Cole + Partner 2007

SSO als Risiko oder Chance? Identity Risk Management Authentifizierung: Wie vertrauenswürdig ist der Identity Provider? SSO = Trust! Getrenntes Auditing von Authentifizierung und Autorisierung Golden Password? Autorisierung: Bei den meisten Ansätzen weiterhin dezentral Wichtigste Ausnahme: Web-SSO Setzt ein definiertes Zusammenspiel zwischen Identity Providern und Services/Anwendungen voraus Partner als Id-Provider? Wie gut ist mein Partner intern organsiert? Auditing: IT-Risiken verringern sich tendenziell durch SSO © Kuppinger Cole + Partner 2007

Die Rolle des Password Managements Password Sync Unidirektional: Erkennung von Änderungen des Windows-Kennworts – wird von den meisten Lösungen unterstützt Bidirektional: Erkennung von Synchronisation und Änderungen in verschiedenen Systemen – wenige spezialisierte Anbieter Password Reset User Self Service: Benutzer können eigene Kennwörter zurücksetzen Administrative Resets: Zurücksetzen durch Administratoren © Kuppinger Cole + Partner 2007

Einsatz von Password Management Grundlegende Password Management-Funktionen werden heute typischerweise als Teil von Provisioning-Lösungen angeboten Synchronisation stößt zwangsläufig durch unterschiedliche Kennwortregeln an Grenzen Enterprise-/Lokales SSO kann das adressieren – mehrere Kennwörter für Systeme, eines für den Benutzer Für die starke Authentifizierung sollten andere Mechanismen verwendet werden 2-Faktor-Authentifizierung, z.B. mit Smartcard Biometrische Verfahren © Kuppinger Cole + Partner 2007

Die Rolle der Biometrie Mechanismus für die starke Authentifizierung Mehr als 40% der Unternehmen rechnen nicht vor 2009 mit einem flächendeckenden Einsatz 93,3% der Unternehmen sehen Fingerabdrücke als das geeignetste Biometrie wird zunehmend interessanter für die starke Authentifizierung, ist aber nicht der einzige Ansatz Wenn Biometrie, dann Fingerabdrücke Wird zunehmend vom Benutzer akzeptiert Relativ ausgereift, relativ günstig Akzeptable Sicherheit © Kuppinger Cole + Partner 2007

Sichere Authentifizierung: SSO + starke Authentifizierung SSO in Verbindung mit Ansätzen für die starke Authentifizierung (2-Faktor, Biometrie) ist der geeignete Weg für mehr Sicherheit Taktisch durch Enterprise-SSO oder lokales SSO mit Smartcards Strategisch durch Federation © Kuppinger Cole + Partner 2007