IT-Bereitstellung, aber sicher bitte! SMS PASSCODE Adaptive Benutzerauthentifizierung Alexander Kehl Senior Sales Manager DACH SMS Passcode A/S SMS Passcode Mobile Authentifizierung 08.10.2015 1
Fakten zur Bedrohungslage» Mehr als 1,3 Millionen Angriffe wurden täglich von Hackern im Jahre 2014 durchgeführt» Schwache oder gestohlene Kennwörter bilden die Basis für 76% aller Angriffe, Steigerungsrate ca. 60% pro Jahr.» Im Jahr 2014 wurden in 55% aller Fälle der Angriffe über Remote- und Cloud-Anwendungen durchgeführt.» Angriffe werden gezielt nach Unternehmensgröße ausgewählt. 31% der Angriffe erfolgten auf Unternehmen mit weniger als 250 Angestellten.» Hacker Business ist lukrativ (entspricht dem 3fachen des weltweiten Drogenhandels) Quelle: Verizon Data Breach Investigations Report 2013 2
What is SMS PASSCODE all about? Creating the best possible solution for ensuring that the person logging in to an IT-system is who he claims to be. 3
SMS PASSCODE - Profil» Dänischer Hersteller mit Hauptsitz in Kopenhagen» Privat geführtes Unternehmen aus Europa» Gehört laut Gartner zu den 18 bedeutendsten Herstellern von 2 FA-Lösungen weltweit» Weltweite Kunden - und Partnerbasis» Vertrieb ausschließlich Indirekt über Distribution und Systemhäuser (2Tier) 4
Adaptive Multi-Factor Authentication
Evolution 1 st Generation (Sicherheit) 2 nd Generation (Kosten) 3 rd Generation (Anwender/Kontext/Security ) (Before our Time) (Technology Leader) (Pioneer 3rd Generation) 80-90 s 00 s Now Hardware Tokens / Matrix cards Mobile based solutions Adaptive User Authentication + Introduction of two-factor auth. High cost on tokens Distribution & administration cost An extra thing to carry + Real-time multi-factor auth. + No hardware distribution Deployment of soft tokens / apps Regional SMS delivery challenges + Contextual intelligence layer + User Centric Authentication + Multiple OTP options (Failover) + Location aware dispatching 6
Zwei Faktor - vs. Adaptive Authentifizierung» Zwei Faktor Authentifizierung (2FA) besteht aus: 1. Etwas, das Sie wissen 2. Etwas, das Sie haben (Token, Karte, Finger, Handy etc.) Basis Sicherheit: Schützt vor den Bedrohungen der 90 er Jahre (Key Logger, erratene/ gecrackte/ gekaufte/ geliehene Passwörter etc.)» Multi-Adaptive Authentifizierung bringt zusätzliche Faktoren ins Spiel und erhöht die Sicherheit: 1. Etwas, das Sie wissen 2. Etwas, das Sie haben 3. Verbindung (Session ID) 4. Auftenthaltsort (GeoIP) 5. Rollen/Rechte (Gruppenmitglied, z.b. Consultant, R&D, GF etc.i) 6. Valides Gateway/Zugriffspunkt 7. Tageszeit (Einschränkung der Zugriffszeit) Mehr Schutz: Schutz gegen moderne Bedrohungen wie Advanced Malware, SessionHijacking, Phishing, Pharming, Manin-the-middle Attacken etc.) Neue Flexibilität: Zugang kann kontrolliert werden nach Ländern, IP- Ranges, Trusted Sites, Zeitfenster, Rollen, Gruppen etc. 7
Features - Functions
9
Ortserkennung und Benachrichtigung Learning Mode oder Trusted IP konfigurierbar: 1. Non-trusted location 2. Trusted location 3. Unknown network 4. Learning mode Konfigurierbares Messaging Lokation, von der die Token Anforderung initiiert wurde Inhaber der IP Adresse, von der aus der Token requested wurde
Intuitive Secure Login Process 1. Session ID generated 2. Username and password entered 3. OTP generated and linked to session ID, 4. OTP entered and validated to session ID Log-in system System access Session ID #j23lk197fh NON-TRUSTED LOCATION PASSCODE: exifzy Country: Germany Org: Deutsche Telekom AG FIRMA Username Password 11
Self-Service
Password Reset Module
Lock-out alerting and instructions
Password Reset Module 1. Neues Passwort oder wiederholt falsche Eingabe -> Sperrung des Accounts 2. Benutzer erhält Benachrichtigung & Passwort Reset URL 3. Abfrage des spezifischen Kennwortes (SelfService) 4. Eingabe des empfangenen 2FA Codes 11:45 am Your SMS PASSCODE account has been locked out. Please reset your password here: https://www.prs-yoursite.com 5. Neusetzen des Passwortes 15
Secure Device Provisioning
ActiveSync Device (ASD) 12:38 OWA Server IIS OWA Site SMS PASSCODE ActiveSync Monitoring (HTTP)Module (ASMM) SMS PASSCODE ActiveSync Self- Provisioning Web Site (ASWS) SMS PASSCODE ActiveSync Service (ASBS) SMS PASSCODE Authentication Proxy (AP) Exchange Server (EXCH) SMS PASSCODE Transmission infrastructure
Secure Device Provisioning (BYOD) 12:38 Your ActiveSync device has been quarantined until it is approved. You may approve the device by yourself by going to the SMS PASSCODE ActiveSync Self- Provisioning page and validate your identity by entering a one-time passcode that will be sent to you. The link to the ActiveSync Self-Provisioning page is: https://owa.mycompany.com/selfprovisioning Please note, that you must complete the device approval within the next 30 minutes. Hereafter, self-provisioning will not be allowed anymore, and you will either have to wait for your administrator to approve the device, or alternatively delete and recreate the account on your ActiveSync device to request a new self-provisioning attempt. (Here comes the standard Quarantine e-mail content ) 1. Modifizierung der Exchange Policy Device Access Rule 2. SMS PASSCODE ergänzt die Email mit einer URL die es dem Benutzer ermöglicht, das Device freizuschalten 3. Der Link führt zum Secure Device Provisioning Link User - und Device ID sind bereits in die URL integriert. 4. Anwender gibt den session-spezifischen Passcode ein.
Vorteile SMS - Passcode Kosten» Drastische Senkung der administrativen und operativen Aufwände durch Entfall der Tokenlogistik und Administration» Keine Token Renewals» Keine Kosten für verlorene oder beschädigte Token Sicherheit» Realtime generierte Passcodes (Zufallsgenerator FIPS 140-2) versus pre-issued Passcodes» Session-ID Bindung (Schutz vor Phishing, Man-in-the-Middle Attacken und Missbrauch)» Erhöhte Sicherheit durch Einbindung von Kontextdaten (GeoFencing/GeoIP) und Status Rückmeldung» Failover Mechanismen (hohe Verfügbarkeit der Token Zustellung)» Security Authentication- Monitoring (Splunk APP) Komfort» Smartphone immer dabei versus zusätzliche Hardware, keinerlei Installation von Software am Client notwendig (außer optional Secure-App for Mobile Passcode)» SelfService Portal (flexible Zustelloptionen für Hard und SoftToken, Telefon, Email, Call Dispatching)» Passwort Reset Modul (Tokengestützt)» Secure Device Provisioning - BYOD (Tokengestützt)» MemoPasscodes leicht lesbar für intuitiven Authentisierungsprozess 21
Warum SMS PASSCODE Was macht SMS PASSCODE speziell? Sehr benutzerfreundlich Remote/Cloud/On-Premise Sehr einfach zu installieren und skallieren Höchste Benutzerzufriedenheit Höchste Sicherheit dank Adaptiver-Multi- Faktor Authentifizierung Niedrige Kosten Adaptive User Authentication 22
SMS passcode - Stärker Authentifizierung 08.10.2015 23
SMS passcode - Stärker Authentifizierung 08.10.2015 24