Mobile Smart Card-Anwendungen und biometrische Fingerprint- Authentifikation

Ähnliche Dokumente
Warum und wie Daten verschlüsselt werden am Beispiel von Max P.

Für richtige ICT-Security

Warum und wie Daten verschlüsselt werden am Beispiel von Max P.

PKI wie weiter? PKI - wie weiter? Jens Albrecht, insinova ag SwissInfosec 2003

Public Key Infrastructure (PKI) bei Volkswagen Jörg Matthies Volkswagen AG Wolfsburg Brieffach 1804 IT Group Client Services

Sicherheit und Mobilität ein lösbares Dilemma

Chipkartensysteme II

Signatur-Initiative Rheinland-Pfalz

Für richtige ICT-Security

quickterm Systemvoraussetzungen Dokumentversion 1.0

Warum und wie Daten verschlüsselt werden am Beispiel von Max P.

Best Practices - WatchGuard AuthPoint - Active Directory / LDAP Integration

epass FIDO -NFC Benutzerhandbuch

PROfit 5.0. Hardware-/Software-Anforderungen. Ihre Ansprechpartner: BOC Information Technologies Consulting GmbH Naglerstraße Berlin

HOBLink Mobile und HOBCOM Universal Server

Aloaha Smart Card Connector. plug & play Zugriff auf Smartkarten von Windows Betriebssystemen und Anwendungen

Network Access Protection

elpromonitor Software - Systemvoraussetzungen

Barmenia Versicherungen

quickterm 5.4 Systemvoraussetzungen

Installationsanleitung und Zugang zum LUBW-Server

Produktbroschüre. xbrowse. für die Versionen xbrowse.pro und xbrowse.lite. TGC 2010 Alle Rechte vorbehalten

Neue Konzepte für. Markus Tak. Mobile Signatur und PKI

Was ist der A-Trust Client. Spezifikation & Dokumentation Bescheinigungverfahren A Trust tested TrustTest Schnittstellen. Termine, Kosten, Diskussion

SYMANTEC ENCRYPTION PLATFORM. Steffen Roth Senior Security Engineer

Anforderungen und Technische Möglichkeiten zu TheraPlus

Cnlab/CSI Herbsttagung Kryptographie in Smartphones

Cnlab/CSI Herbstveranstaltung Kryptographie in Smartphones

9. Inetbibtagung 2006 in Münster

USB-Tokens. Technik und Einsatzgebiete

XELOS 8 VM-Admin Guide

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter.

IT-Sicherheit BS 2008/09 IAIK 1

Public Key Infrastructure https-smtps-pop3s etc Ver 1.0

quickterm Systemvoraussetzungen Version: 1.1

Fernzugriff über Citrix Access Gateway (Campus Inselspital / Spitalnetz Bern AG) (Extern / Home Office)

I/O Management - oder - Die Schattenseiten des Plug n Play

Schulungsmodul: LRAO-Workshop Klasse B Zertifikate der Swiss Government PKI

Citrix WorkspaceApp / HTML5 Client

Benutzeranleitung HomeAgents Eingereicht von:

Die Cargo Plattform bietet einen sicheren und einfachen Datentransfer mit einem modernen Web- Interface.

HANDBUCH LSM GRUNDLAGEN LSM

Remote Zugriff auf Mediaprint Citrix Applikationen (B2B/Token/ Zertifikat)

Vereinfacht die Administration

Zugriff vom Privatcomputer auf «Mein Intranet VSZ» (Verwaltungsnetz)

Einführung in die IT Landschaft an der ZHAW

Mobility & Care Manager

pinremotex Handbuch Version 1.0

Perceptive Document Composition

Fernzugriff auf die HZI IT Umgebung via Citrix

Inhalt. 1. Admin Bereich Anmeldung Assessment Übersicht Zertifikat und Beraterfeedback-Dokument...

ACT! 11 Premium Inklusive Microsoft SQL-Server 2005 Standard

Installations- & Konfigurationsanleitung

Dieses Dokument beschreibt die Anwendung des Repa Copy Token.

Systemanforderungen und Kompatibilität MSI-Reifen Rel.8

Jedes Unternehmen hat sie - keiner mag sie!

Hier wählen Sie zunächst das Register Sicherheit und die Zone Lokales Intranet

Herzlich Herzlich willkommen

Verwenden des ievo-fingerabdrucklesers mit Net2

Citrix Portal Windows_Deutsch

Perceptive Document Composition

PM-LOGON. Siemens AG 2016 Alle Rechte vorbehalten WinCC Competence Center Mannheim

IT Solutions. AnyConnect unter Linux (Ubuntu 14.04) Gültige VPN Accounts:

Sicherheit wird messbar Lösungsansätze und Methoden. Case. 15. September 2009, Hotel St. Gotthard, Zürich

Bewährt. Sicher.

Modern Windows OS Deployment

CHERRY MC Manuelle Treiberinstallation und Anmeldung über Fingerabdruck unter Microsoft Windows 10. FingerTIP ID Mouse

CLX.Sentinel Kurzanleitung

Quickstart Authentifikation Günstiger und schneller geht es nicht! Sergej Straub DTS Systeme GmbH

Dokumentenkontrolle Matthias Wohlgemuth Telefon Erstellt am

A Anleitung. Fernwartung mit GoToAssist. Fernwartung mit GoToAssist. Erstellt am Terna GmbH Anleitung Seite 1 von 6

Agenda ASP Einrichten mit Pulse Secure

LDAP over SSL. Das neue LDAPS-Server Zertifikat muss die x.509 Zertifikat Erweiterung erfüllen.

Systemvoraussetzungen für sou.matrixx-produkte

Problem bei der Kommunikation zwischen Volume License Server (VLS) und dem NCP Aktivierungsserver über einen HTTPS-Proxy wurde behoben.

Übersicht Beantragungs- & Installationsprozess

Dokumentation Remotezugriff via SSL VPN

Technische Voraussetzungen

Handbuch Alpha11 Pager-Software

Systemvoraussetzungen

8 Labors / 731 Ärzte / Patienten sind dabei. Registrieren auch Sie sich!

ProAccess SPACE 3.0. Für weitere Informationen wenden Sie sich bitte an Ihren SALTO Partner oder:

Handbuch. ELDA Kundenpasswort

Anleitung für Zugriff auf SHV-Systeme mit RDS auf Terminal-Server

Benutzeranleitung HomeAgents Eingereicht von:

empfehlungen für Autodesk AutoCAD 2008 und AutoCAD basierte Produkte Systemanforderungen Thorsten Simon, Autodesk GmbH

Übersicht. Nebenprodukte der neuen Gesundheitstelematik-Plattform: die Druckluft-Kugelschreiber und Teflonpfannen der gematik.

quickterm Systemvoraussetzungen Version: 1.0

Neuigkeiten in Microsoft Windows Codename Longhorn Egon Pramstrahler - egon@pramstrahler.it

Perceptive Document Composition

Systemvoraussetzungen für Windows Server 2012 Windows Server 2012 R2 Windows Server 2016

1. Admin Bereich Assessment Übersicht Erstellen eines neuen Benutzers Assessment Bereich... 9

Systemanforderungen Verlage & Akzidenzdruck

Transkript:

Mobile Smart Card-Anwendungen und biometrische Fingerprint- Authentifikation Jens Albrecht CEO und Security Engineer insinova ag jens.albrecht@insinova.ch 2

Warum starke Authentifikation? Benutzername und Kennwort reichen nicht mehr aus, denn: Kennwörter können einfach gestohlen werden (Key Logger, Sniffer, Ausprobieren, Fake-Applikation ) Die Identifikation der Benutzer ist nicht eindeutig. Starke Authentifikation wird durch WISSEN und HABEN erreicht : Der Benutzer WEISS sein Passwort und HAT ein Token (z.b. Smart Card, Einmal-Passwort-Generator) Man müsste dem Benutzer auch das Token stehlen höchst unwahrscheinlich darum sehr hohe Sicherheit. 3 Was ist eine Smart Card? 00392 +5V GND CLK RST I/O CPU RAM ROM E 2 PROM Cryptoprocessor private 4

Was ist eine Smart Card? Hochsicheres Behältnis für den Private Key (X.509 Zertifikat). Mit dem Private Key wird signiert und entschlüsselt. Verschlüsselt wird mit dem Public Key. RSA 1024/2048 und 3DES 168 wird verwendet. Zugriff auf die Smart Card wird durch eine PIN geschützt. Typischerweise 3 Anmeldeversuch, danach ist die Smart Card gesperrt. Entsperrung nur über PUK möglich. 1. Softwareinstallation notwendig: Der CSP (Cryptographic Service Provider) muss auf dem Computer installiert werden. Dies ist der Treiber für den Smart Card Chip. 2. Softwareinstallation notwendig: Der Treiber für den Smart Card Leser muss auf dem Computer installiert werden. 5 Herausforderung Smart Card Technologie 1. Software Installationen notwendig 2. Benutzer sind mit Konfiguration überfordert 3. Benutzer haben manchmal keine Admin-Rechte 4. Unterschiedliche Plattformen (Win 2000 / XP / Vista / Linux) 5. Unterschiedliche Sprachen für Client-SW-Paket 6. Der Smart Card Leser ist unpraktisch für den Transport Die Mobilität ist eingeschränkt und hohe Sicherheit ist somit nicht überall (z.b. im Ferienhaus) gewährleistet. 6

Mobile Smart Card Technologie Die Lösung ist KOBIL midentity: CD-ROM, Flash-Speicher und Smart Card Leser in einem Gerät. Die zuvor genannten negativen Punkte entfallen. Praktische USB-Lösung mit div. Software on board. Zero Footprints auf dem Computer. Im CD-ROM Bereich ist z.b. der Firefox Browser mit PKCS#11 PlugIn gespeichert. Ermöglicht eindeutige Benutzer-Authentifikation mittels X.509 Zertifikaten und persönlicher PIN. 7 Mobile Smart Card Technologie Anwendungen: ebanking Client (z.b. Migros Bank) Keine Chance für Pishing-Attacken! TAN- und Streichlisten entfallen. SSL-VPN-Zugriff in die Firma von überall her Z.B. an Citrix Access Gateway, SonicWALL Aventail, F5 Hochsicherer USB-Datensafe (z.b. UBS AG) Alle Dateien sind im Flash verschlüsselt abgelegt. 8

SSL 128 bit https://login.bank.ch 9 SSL 128 bit https://vpn.firma.ch insinova powered by SonicWALL Aventail SSL-VPN Appliance 10

Hat 3 Versuche, danach ist die Smart Card gesperrt. 11 Warum Fingerprint Authentifikation? Wir testen seit Jahren Produkte dieser Technologie und sind nun zum Schluss gekommen, dass die Zeit für Bio-IT reif ist. Mit gutem Gewissen, können wir Ihnen die heute vorgestellte Lösung von DigitalPersona empfehlen. Die Lösungen, die wir bis anhin kannten, waren nicht einsetzbar. 12

Fingerprint Authentifikation Das bekannte Passwort-Dilemma ist: Gute Passworte sind schwerer zu merken und müssten regelmässig geändert werden z.b. $omm r08, H@u$001. Benutzer müssen sich eine Vielzahl von unterschiedlichen Passworten merken (Windows, Web- und Client-Server- Anwendungen). Viele Anrufe wegen vergessenen oder gesperrten Passworten beschäftigen den Support und beeinträchtigen die Produktivität der Mitarbeiter. Passworte werden aufgeschrieben und weitergegeben. Nur Passworte sind nach ISO 27001 zu vermeiden, sofern es sich um wichtige Zugänge handelt. DSG zu schützenswerten Informationen: Müssen dem Stand der Technik entsprechend geschützt werden. 13 Fingerprint Authentifikation Möglicher Ausweg aus dem Passwort-Dilemma: Die Benutzerauthentifikation wird mittels Fingerabdruck durchgeführt. Der Fingerabdruck ist der Schlüssel für die hinterlegten Anmeldeinformationen verschiedenster Applikationen. Die Benutzer werden mit keinen Passworten und Passwort- Wechseldialogen konfrontiert. Das Einfüllen der Anmeldeinformationen wird im Hintergrund erledigt. Dabei können kryptische Passworte verwendet werden. Der Support kann sich um wichtigere Probleme kümmern. Compliance-Anforderungen werden erfüllt. Wer hat wann was gemacht, kann beantwortet werden. 14

Fingerprint Authentifikation Ja, aber die Geschichte mit dem abgehackten und dem Fake-Finger. Modernste 3D-Scanner scannen den Finger. Die Rillentiefe wird gemessen und der Lebendtest wird anhand des optischen Brechungsindex menschlicher Haut durchgeführt. 15 Was gespeichert wird Nicht das Bild (ca. 1MB) des Fingerabdruckes, sondern die Finger-Merkmale werden in einem Template gespeichert. Der Vergleich von 2 gescannten Bildern würde nicht zum Erfolg führen, da keine Algorithmen angewandt werden können. Aus dem Template kann das Bild des Fingerabdrucks NICHT erstellt werden. Dies sind die Muster Loop, Whorl und Arch: 16

Was gespeichert wird Und nun werden die Minutien ermittelt (= kleine Details): 17 Was gespeichert wird Schlussendlich wird die Minutia-Extraktion gespeichert: 18

Mass der Sicherheit: FAR und FRR Der Scan eines Fingerabdruckes ist nie eindeutig d.h. jeder Scan weist kleine Abweichungen auf. Das FBI besitzt 200 Mio. Fingerabdrücke und dabei ist keiner gleich. Das Mass der erlaubten Abweichungen wird mit der False Acceptance Rate und der False Rejection Rate festgelegt. FAR: Wahrscheinlichkeit, dass ein falscher Finger als richtig erkannt wird. Ca. 1/100 000 FRR: Wahrscheinlichkeit, dass ein richtiger Finger als falsch erkannt wird. Ca. 1/10 000 19 Vollständige Integration in das AD Installation auf Domain Controllern Keine zusätzlichen Server notwendig Keine Synchronisation mit Ausfallrisiko Keine zusätzlichen Hard- oder Software-Kosten Zentrale Verwaltung Lediglich Anpassung der Group Policies Wird durch Microsoft und Citrix unterstützt 20

Vorteile und Features Automatische Passwortänderung gemäss Policy Ohne Eingriff der Benutzer MS Installationstools, Fingerabdruck-Registrierung mit Wizard Schneller und problemloser Rollout Detailliert konfigurierbar Deckt verschiedenste Authentifizieruns-Bedürfnisse ab Client-Software läuft auf XP Professional und Vista und unterstützt RDP und Citrix. 21 Was benötigt wird Fingerprint Reader (USB oder integriert) Client Software DigitalPersona Pro Workstation oder Pro Kiosk Server Software DigitalPersona Pro Server for Active Directory 22

Im Betrieb Einen oder mehrere Finger registrieren 23 Im Betieb. Einfaches Anmelden an der Windows Domain 24

Im Betrieb Anmeldeinformationen speichern 25 Im Betrieb Anzeige, dass ein Anmelden mit Fingerprint möglich ist. Die Anmeldeinformationen wurden zuvor im AD User Object gespeichert. 26

Im Betrieb Persönliche Übersicht über Anmeldeinformationen 27 Zusammenfassung Wichtig für die Geschäftsleitung Die Technologien stehen zur Verfügung IT-Sicherheit liegt in der Verantwortung der GL inkl. persönliche Haftung GL muss hinter den Projekten stehen und entsprechende Aufträge an IT-Abteilung erteilen Wettbewerbsvorteil durch mobiles Arbeiten Wichtig für die IT - Abteilung Neue Technologien ausprobieren z.b. mit Testinstallationen Mit kleinen Testgruppen anfangen Schlussendlich höhere Sicherheit und tiefere Kosten Wichtig für den Benutzer Jeder ist für Sicherheit verantwortlich und hilft somit, das Unternehmen wettbewerbsfähig zu halten = Arbeitsplatzerhalt 28

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback