Whitepaper – Multi-factor authenticatie Sterke authenticatie is een noodzaak Auteur Email : Mark Verwoerd : [email protected] In opdracht van Uitgevoerd door Datum Onderwerp : : : : Promax Promax 11-7-2014 Sterke authenticatie is een noodzaak www.promax.nl Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak Voorwoord Deze whitepaper legt aan een technische doelgroep uit waarom multi-factor authenticatie een must is, welke vormen er zijn, welke voordelen en nadelen ze hebben, hoe ze werken en hoe deze beheerd worden. Mijn naam is Mark Verwoerd, ik werk als Infrastructure Specialist bij Promax in het Projecten Team en heb ruim 8 jaar ervaring in de IT. Mijn ervaring gaat van block en packet tot aan cloud oplossingen; storage, networking, virtualisatie, windows, linux, active directory, anti-x, email servers, hybride email oplossingen, (cloud) token authenticatie, (mobile) device management en ga zo maar verder. Met deze brede kennis hoop ik u objectief te kunnen informeren over multi-factor authenticatie, waarom het noodzakelijk is, welke voordelen en nadelen de oplossingen hebben, hoe makkelijk ze te beheren zijn en welke integraties snel te realiseren zijn. Als bedrijven al een vorm van sterke authenticatie hebben is deze bijna nooit helemaal doorgevoerd op alle inlog procedures. Met name VPN oplossingen worden beveiligd maar webmail of apps op smartphones bijvoorbeeld zelden. Vroeger lieten de wensen over op het beheer van de oplossingen, waren de kosten vaak hoog en de gebruikers erg ontevreden. Tegenwoordig zijn er oplossingen die deze problemen grotendeels hebben opgelost, via een snelle methode binnen een bedrijf uit te rollen zijn, makkelijk te beheren zijn, keuze aan de gebruikers geven en de kosten per gebruiker beheersbaar houden. - Mark Verwoerd Promax 11-7-2014 2 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak Inhoudsopgave 1 Introductie Promax .......................................................................................... 4 2 Probleemstelling .............................................................................................. 5 3 Oplossingen .................................................................................................... 7 4 Vergelijking ....................................................................................................10 5 Conclusies en Aanbevelingen ............................................................................11 6 Achterpagina ..................................................................................................12 7 Contact gegevens ...........................................................................................12 Promax 11-7-2014 3 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak 1. Introductie Promax Promax is een ICT dienstverlener met focus op infrastructuur en cloudoplossingen voor klanten waarbij ICT van strategisch belang is voor de bedrijfsvoering. Ons portfolio en oplossingen zijn opgebouwd rondom producten van kwalitatief hoogwaardige fabrikanten. We werken hierbij vanuit standaard blauwdrukken voor onze klanten waarin onze jarenlange ervaring en best practices zijn verwerkt. Onze organisatie bestaat uit globaal uit twee kernactiviteiten, implementaties door ons projectenteam en beheer vanuit onze beheerafdeling. Binnen onze organisatie wordt veel aandacht besteed aan kennisontwikkeling en innovatie waardoor we in staat zijn om onze klanten te voorzien van betrouwbare oplossingen. Onze klant kan zich hiermee op zijn primaire proces blijven richten zonder zich zorgen te hoeven maken over de kwaliteit en continuïteit van zijn ICT omgeving. Vanuit ons beheerteam kunnen we op basis van de behoefte van de klant uw interne beheerder(s) ondersteunen op diverse kennisgebieden of indien gewenst uw volledige systeembeheer overnemen. Met het innovatieve beheerplatform van Promax zijn we in staat om kosteneffectief uw organisatie tot 24x7 bij te staan. Ons motto hierin is: Change IT together! Promax 11-7-2014 4 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak 2. Probleemstelling Bedrijven bieden hun diensten publiek aan op het internet of nemen diensten af van een public cloud provider. Hoe beveilig je deze diensten op een veilige manier en hoe controleer je wie er inlogt? Wachtwoorden Alleen een wachtwoord biedt vandaag de dag onvoldoende beveiliging omdat het eenvoudig onderschept kan worden (keyloggers, deep packet inspection, proxy, phishing attacks), wel eens op de monitor zit, over tafel of telefoon geroepen wordt, niet encrypted in een tekstbestand staat, geraden kan worden aan de hand van postcodes, geboortedata of namen en vooral dat er niet gecontroleerd kan worden of het de persoon is wie hij of zij beweert te zijn. Sterkere authenticatie Veel bedrijven durven de stap naar sterkere authenticatie niet te zetten omdat men over het algemeen denkt dat het niet geaccepteerd wordt binnen de gebruikers organisatie, te ingewikkeld wordt om in te loggen, of dat er de verwachting is dat het veel te hoge kosten met zich meebrengt. Al deze tegen argumenten wegen niet op tegen het feit dat de kans heel erg groot is dat bedrijfsdata kan uitlekken of dat er ongenode gasten op uw IT omgeving belanden met alle gevolgen van dien. Dit kan tot veel hogere kosten leiden en soms zelfs tot reputatie schade. Deze problemen zijn tegenwoordig al voorkomen met bewezen oplossingen van betrouwbare fabrikanten waarmee een multi-factor authenticatie (hierna te noemen MFA) oplossing binnen een paar dagen goed ingevoerd kan worden op uw bedrijfsnetwerk en applicaties. Wat is MFA? Multi-factor authenticatie verzekert dat een gebruiker is wie hij of zij beweerd te zijn. Hoe meer factoren er worden gebruikt om iemand zijn identiteit te bepalen, hoe betrouwbaarder de authenticiteit is. Multi-factor authenticatie kan gebruik maken van de volgende factoren: Iets dat je weet – Wachtwoord of PIN Iets dat je hebt – Token, Telefoon of Smart card (two-factor authentication) Iets dat je bent Vingerafdruk, Gezichtof Iris scan (threefactor authentication) Omdat multi-factor authenticatie beveiliging meerdere factoren van identificatie eist bij het inloggen, is het wereldwijd erkent als de meest veilige methodiek om in te loggen op bedrijfsomgevingen en applicaties. Hoe werkt MFA? Als eerst dienen alle publieke webservers beveiligd te worden met een erkent SSL certificaat zodat de browser van de eindgebruiker de webserver vertrouwd en de verbinding encrypt wordt. Daarbij wordt de authenticatie afgevangen door een filter in de webserver configuratie. Promax 11-7-2014 5 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak Bij het inloggen op een computer dient er een stuk software geïnstalleerd te worden die de standaard Windows authenticatie overneemt. Elke eindgebruiker krijgt een app, sms of token uitgereikt via een automatisch procedure op uw omgeving, veelal via email met een korte instructie. De authenticatie van het One-Time-Password (OTP) vindt plaats op een achterliggende server, appliance of cloud dienst; afhankelijk van het gekozen ontwerp en de oplossingsmogelijkheden. Het domein wachtwoord kan middels een authenticatie protocol zoals; SAML, RADIUS of LDAP bij een active directory worden geverifieerd. Hierbij kunnen groepslidmaat-schappen ook gekoppeld worden aan rollen en daarbij horende diensten en applicaties. Daarmee krijgen de eindgebruikers alleen toegang tot hun benodigdheden en niet tot het hele netwerk. More than ever, customers are looking for authentication management solutions that deliver simplicity, automation, reduced TCO and choice. #Safenet Promax 11-7-2014 6 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak 3. Oplossingen Type oplossingen Er zijn veel verschillende oplossingen in de markt voor Multi-factor Authenticatie dit zijn de meeste bekende: Smartcards USB tokens Hardware tokens Software tokens Telefoon SMS App Code lijst Biometrie Aan alle methoden zitten voor- en nadelen, kosten en gebruikersimpact. Criteria De verschillende methoden worden vergeleken op de volgende punten: Passieve beveiliging Actieve beveiliging Initiële kosten Onderhoud kosten Support kosten Er zijn veel leveranciers die oplossingen bieden voor sterke Authenticatie. De meest bekende zijn RSA, Vasco en Safeword welke tegenwoordig Safenet heet. Voorheen boden deze leveranciers enkel hardware tokens aan als oplossing voor hun two-factor authenticatie, maar tegenwoordig zijn er meer oplossingen op de markt zoals smartcards, sms, soft, phone en app tokens, die het gebruikersgemak bevorderen. Ook kan er per gebruiker meerdere tokens worden gebruikt om zo nog flexibeler te zijn met de manier van inloggen. Daarnaast zijn er traditionele installatiemodellen met servers op locatie, maar er zijn ook diensten die volledig in de cloud draaien. Installaties kosten over het algemeen meer tijd in het traditionele model, omdat er bij de klant zelf de dienst wordt opgezet op hun infrastructuur. Bij cloudoplossingen kan de uitrol eenvoudiger gerealiseerd worden omdat de dienst al klaar staat bij de dienstverlener en men niet direct afhankelijk is van de infrastructuur bij de klant. Passieve aanvallen verzamelen gegevens die later pas worden verwerkt. Dit kan zowel online als offline voorkomen. Een voorbeeld van een offline aanval is het aflezen van iemands wachtwoord. In veel gevallen is de aanvaller in de directe omgeving van het slachtoffer aanwezig. Een online aanval doet zich vaak voor in de vorm van phishing; valse e-mails waarin links staan waar slachtoffers hun gegevens in opgeven. Actieve aanvallen komen minder vaak voor omdat er meer technische kennis voor nodig is en een passieve aanval nog steeds meer resultaat oplevert. Het bekendste voorbeeld is de ‘man-in-the-middle aanval’ waar de aanvaller tussen het slachtoffer en het systeem plaats neemt om de inloggegevens, inclusief de token code, te onderscheppen en misbruikt om zelf in te loggen. Deze aanvallen kunnen worden voorkomen door het gebruik van goede beveiligingssoftware die websites controleren op authenticiteit. Gebruikersgemak Draagbaarheid De beveiliging van een oplossing hangt niet alleen af van het type token. Het is ook zeker net zo belangrijk de computers van gebruikers goed te beveiligen en gebruikers bij te brengen zorgvuldig om te gaan met hun inloggegevens. De initiële kosten van een MFA oplossing kunnen heel erg meevallen, met name als het wordt afgenomen als online dienst in de cloud. Zo wordt voorkomen dat er lokaal resources nodig zijn en de oplossing direct uitgerold kan worden. De onderhoudskosten verschillen per oplossing, bij de meeste modellen is er een jaarlijkse prijs per gebruiker Promax 11-7-2014 7 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak die tussen de 2 en de 20 euro per maand per gebruiker liggen, afhankelijk van het type token. Multi-Factor Authenticatie biedt tenminste de volgende voordelen: Verifieert de identiteit van de gebruiker (verhoogde authenticiteit) Verkleint bij hackers de kans om in te loggen (time based of event based OTP) Voorkomt passieve aanvallen volledig (wachtwoord is altijd anders) Belemmert actieve aanvallen met ondertekening (signing) Alle oplossingen bieden een extra factor voor authenticatie. De verschillen zitten voornamelijk in de beveiliging, kosten en het gebruikersgemak. SmartCards en USBtokens geven een hoge beveiliging maar eisen een verbinding met de authenticatie server, offline gebruik is niet mogelijk bijvoorbeeld. Initiële kosten zijn vaak hoog. Een hardware token wordt vaak als onprettig ervaren omdat het token vergeten kan worden, de kosten hoog zijn en snel defect kan raken. Support kosten zijn vaak hoger. Software tokens worden op de gebruikerscomputer geïnstalleerd, waarmee een gebruiker verplicht is dat eindpunt te gebruiken om in te loggen, dit verlaagt de draagbaarheid. Over de traditionele telefoon kan een gebruiker gebeld worden als er geen smartphone beschikbaar is, vervolgens kan er een code voorgelezen worden of met het hekje geverifieerd worden dat het de gebruiker is. Maar telefonie heeft bereik nodig op een GSM, wat een probleem kan zijn in afgelegen gebieden. SMS authenticatie is erg populair omdat het tegenwoordig op elke mobiele telefoon werkt, zonder aanpassingen en voorbereidingen. Maar het heeft last van vertraging en is ook afhankelijk van het GSM netwerk. Apps bieden veel flexibiliteit omdat het de gebruikers keuze geeft op welk device het token geïnstalleerd wordt. In veel gevallen zijn er minimale eisen op het platform, maar een groot voordeel is dat deze vorm offline werkt en beveiligd kan worden door een PIN op de telefoon zelf. Dit kan via een policy ook verplicht worden gemaakt aan de gebruiker. Promax 11-7-2014 8 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak Code lijsten zijn beter bekend als TAN lijsten, welke een kaart met nummers is. Deze vorm is gevoelig voor passieve aanvallen omdat gebruikers gevraagd kunnen worden om de vaste tekenreeks in te vullen door een hacker welke deze vervolgens lange tijd kan misbruiken. Matrix kaarten bieden hiertegen een betere beveiliging, maar blijft gevoelig als de aanvaller bijvoorbeeld een foto kan maken van de kaart. Biometrie is eenvoudig te gebruiken maar een dure oplossing en wordt vaak alleen ingezet bij zeer hoge beveiligingseisen zoals bij banken en defensie. Gecombineerd met een token of smartcard en een wachtwoord biedt deze oplossing zelfs een Three Factor Authenticatie. Maar het kan voor de gebruiker onherstelbare schade opleveren als ze bestolen worden van hun biometrie. Tevens kan iemand zijn biometrie door ouderdom veranderen. Of het systeem kan de invoer van de biometrie incorrect scannen, waarbij de gebruiker niet direct in kan loggen. Het is daarmee moeilijk toe te passen door het ontbreken van een standaard uitwisselmethode. Promax 11-7-2014 9 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak 4. Vergelijking De volgende tabel geeft een vergelijking weer op beveiliging, kosten en gemak van multi factor apparaten. Wegens de velen verschillende implementaties en unieke eigenschappen dient de vergelijking alleen als algemene leidraad gebruikt te worden. Passieve Beveiliging Actieve Beveiliging Initiële Kosten Hoog Gemiddeld Hoog Hoog Gemiddeld Hoog Hardware token Hoog Gemiddeld Software token Gemiddeld SmartCard Gemak Gemiddeld Laag Laag Gemiddeld Gemiddeld Hoog Gemiddeld Gemiddeld Gemiddeld Hoog Gemiddeld Gemiddeld Laag Laag Gemiddeld Laag Laag Laag Laag Laag Laag Hoog Gemiddeld Gemiddeld Laag Laag Laag Laag Hoog Gemiddeld Hoog Gemiddeld Gemiddeld Laag Gemiddeld Hoog Hoog Laag Laag Laag Laag Laag Gemiddeld Gemiddeld Hoog Hoog Zeer hoog Hoog Laag Hoog Gemiddeld App Code lijst Biometrie De implementatie van de bovenstaande oplossing kan in veel gevallen af worden genomen als online dienst of als lokale service worden geïmplementeerd. De volgende tabel geeft een korte vergelijking tussen een cloud en on-premise installatie. Cloud Licentie kosten On-Premise per user, per authenticatie per user, per apparaat geen eigen servers enkele dagen meerdere dagen radius radius, ad, saml, adfs online webportal, email of brief eigen webportal, email of brief Updates automatisch handmatig Herstel self service portal email, telefoon, beheerder Resources Implementatie tijd Integratie Uitrol Promax Draagbaar heid Gemiddeld Telefoon Gemiddeld Support Kosten Laag USB token SMS Onderhoud Kosten 11-7-2014 10 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak 5. Conclusies en Aanbevelingen Na wat onderzoek en het lezen van deze whitepaper kan men concluderen dat beveiliging een steeds grotere rol speelt op bedrijfsnetwerken, maar zeker op het internet. Het is zeer verstandig de inlog mogelijkheden naar uw bedrijf goed te beveiligen met meerdere factoren zodat er geen ongenode gasten kunnen inloggen. Om iemand goed en veilig te identificeren voldoet een gebruikersnaam en wachtwoord gewoon niet meer, je loopt een zeer hoog risico door mogelijke aanvallen. Om je dit goed te realiseren moet er vaak een aanval hebben plaatsgevonden bij een bedrijf voordat men MFA invoert, maar dan zijn de kosten veel hoger door de acute nood en kunnen beslissingen niet objectief worden gemaakt. Daarom het advies te overwegen of uw bedrijf voldoende beveiligd is tegen genoemde aanvallen en sterke authenticatie de beveiliging kan verhogen voor het inloggen. Promax 11-7-2014 11 van 12 Whitepaper - Multi-factor authenticatie Sterke authenticatie is een noodzaak 6. Achterpagina Verwijzing naar andere whitepapers en resources: Duo Security Whitepaper https://www.duosecurity.com/static/pdf/Duo-Security-Whitepaper.pdf Safenet Whitepaper http://www2.safenetinc.com/email/pdf/Multi_Factor_Authentication_WP_EN_A4_v3_3Apr2013_web.pdf Aftappen van telefoons in Nederland http://blog.omerta.nl/tag/telefoon-aftappen/ Waarom geen google authenticator? http://blog.cloudflare.com/choosing-a-two-factor-authentication-system 7. Contact gegevens W: www.promax.nl E: [email protected] T: +31 (0)88 70 70 707 A: Weg en Bos 134, 2661 GX Bergschenhoek Promax 11-7-2014 12 van 12
© Copyright 2024 ExpyDoc
