WEB SSO & IDENTITY MANAGEMENT PARIS 2013

Transcription

1 PARIS 2013

2 WEB SSO & IDENTITY MANAGEMENT PARIS 2013

3 AGENDA La problématique Quelques statistiques Identité & Authentification Les challenges Les solutions

4 La problématique X Comptes - Mots de passe triviaux (De-)Provisionning utilisateurs Autorisation / Fédération Single Sign On (SSO) & Authentification multifacteurs Auto Provisioning & De-Provisioning Evolutivité : standards SAML OAUTH 26 Nombre moyen de comptes gérés par un utilisateur Source Deloitte Jan_2013

5 Quiz Nombre moyen de comptes gérés par un utilisateur Nombre moyen de mots de passe utilisés pour accéder à ces comptes (ressources, App) Nombre maximum de mots de passe qu un utilisateur peut retenir sur le long terme 64% 65% 7% % d utilisateurs écrivant / enregistrant leurs mots de passe % d utilisateurs utilisant les mêmes mots de passe sur plusieurs sites % d utilisateurs victime d usurpation d identité

6 Les challenges: Le casse tête des mots de passe Quelqu'un s est procuré mon mot de passe Je dois maintenant changer celui-ci dans toutes mes applications 34% des utilisateurs entreprise ont besoin d au moins 6 mots de passe Source : ESG 76% des intrusions réseaux exploitent des identifiants / mots de passe volés ou simples Source : 2013 Verizon Data Breach Report Sur un échantillon de 6 Millions de comptes, mots de passe fréquemment utilisés par les utilisateurs ont permis d accéder à 98.1% de ces comptes Source : Deloitte TMT Predictions 2013

7 Technologies - identité & authentification

8 Identité, Authentification, Contexte & Profil Identification Quelle est votre identité? Identifiant, , certificat, jeton, assertion, ticket. Authentification Prouvez votre identité? Simplicité, Sécurité, multi-facteurs, etc Contexte Où êtes-vous? Généralement l information est obtenue dynamiquement: e.g localisation, terminal utilisé, réseaux de connexion, heure de la demande, etc Profil Décrivez-vous? Informations connues et statiques concernant l utilisateur.

9 Authentification & Autorisation : Approche classique Id, MdP Client-Utilisateur Autorisation & données Service App e.g stockage photos

10 Authentification & Autorisation : Approche distribuée Service hébergeant les données de l utilisateur (e.g Photos) Utilisateur Propriétaire des données Application Client (e.g service d impression photos)

11 Flux Authentification ENTREPRISE PARTICULIER 1 2 Prouver son identité (authentification du client) Obtenir un ticket/jeton qui sera présenté au service afin qu il puisse authentifier le client Active Directory 1 2 Internal Service: File Share, Web Site etc.. 3 IDP*: Google, Facebook, etc. 1 2 RP**: Website and/or Application 3 3 Présenter le ticket/jeton au service accédé Client Client *IDP : IDentity Provider **RP: Relying Party Les méthodes utilisées par les utilisateurs Entreprise et Particulier sont similaires

12 Quelques Standards utilisés Périmètre de l entreprise Kerberos NTLM SAML En dehors du périmètre de l entreprise OpenID OAUTH SAML

13 Pourquoi cette multitude de protocoles? Kerberos/NTLM SAML OAUTH Bien adapté à l intérieur de l entreprise Beaucoup de prérequis Nécessite une connectivité aux DCs, DNS, etc. Adapté aux situations où les assertions & profiles sont concis. Adapté aux situations où le client (Apps/Service) ne peut atteindre directement le référentiel utilisateurs ( IDP : Annuaires) Généralement nécessite une connectivité à l IDP afin de valider et d utiliser les jetons Adapté aux situations très hétérogènes où les profils détaillés des utilisateurs sont connus durant la phase d authentification.

14 Exemple OAUTH: Open standard for AUTHorization

15 Exemple : Service d impression de photos 1er Octobre Stocke Photos Utilisateur Propriétaire des données 24 Octobre Souhaite imprimer ses Photos Utilisateur Propriétaire des données Se connecte au service d impression

16 Exemple 1: Suite Le service d impression (Client) fait une demande auprès du service d hébergement de photos du propriétaire des données Utilisateur Le propriétaire des Photos est invité par le service d impression à s authentifier et à donner son autorisation pour un périmètre et une durée limitée

17 Exemple 1: Fin Le propriétaire peut maintenant demander l impression de ses deux photos

18 Authentification: Challenge Hier Aujourd hui Demain Lassitude dû à la multiplicité des mots de passe Méconnaissance des risques liés à la réutilisation des mêmes mots de passe. Faible sensibilisation à ceux-ci. L utilisation des outils MFA* et SSO est naissante ou les outils sont en cours d intégration Les coûts liés à la gestion des comptes et des mots de passe explosent Aujourd hui comme hier, les pratiques se mettent en place doucement ou sont en cours de déploiement La réinitialisation des mots de passe via courriel ou Q&R présente toujours des risques. Manque de contrôle des services «Outsourcés» Transition vers authentification multi-facteurs & abandon progressif des mots de passe. Sécurisation des identités sans mots de passe statiques Multi-facteurs, contextuel, Analyse de risque, authentification évolutive Multitude d options pour la biométrie, les terminaux, les applications, les réseaux, contextes, etc. Les notions de contextes sont intégrés dans les composants interagissant avec la sécurité MFA: Authentification Multi-Facteurs

19 Authentification- Niveau / Robustesse Basique Multi-facteurs Identifiant? Mot de passe? + Ce que vous Savez Ce que vous possédez ou ce que vous êtes

20 Au delà des mots de passe Prévenir les accès non autorisés avec l authentification multi-facteurs. + Biométrie Ce que vous êtes Intégrés dans les terminaux Ce que vous possédez

21 Connaissance situationnelle Connaissance situationnelle: Anomalie!! ID: 8:42 UTC ID: 9:12 UTC

22 Authentification: Considerations clés Transitivité Périmètre Entreprise Partenaires Globale Bring Your Own Device (BYOD) Confiance Acceptation des utilisateurs vs besoin de sécurité Faux positif (simplicité et conséquences pour les accès non autorisés) Faux négatif (impact sur la non disponibilité des services) Re-jeu/validité

23 Transitivité biométrie La biométrie est adaptée à la problématique de transitivité

24 + de convivialité pour l utilisateur ce que je possède Mots de passe à usage unique (PC & Mobile ) Mobile via SMS Intégré au matériel (IPT) Security Engine

25 Les solutions McAfee

26 McAfee One Time Password identifiant / OTP Autorisation Lapto p Passerelle d accès ou Application Service ou Application Ressource Authentification/ Méthodes de transmission (via Modules) SMS Hardwa re Softwar e Référentiel Utilisateur McAfee OTP LDAP RADIUS SQL

27 McAfee Single Sign On (SSO) BYOD Applications ou services externes Software as a Service (SaaS) Utilisateurs Portable Passerelle Mobile Tout Terminal Partout En permanence Active Directory (AD), LDAP, BDD, etc.

28 CONCLUSION Ces technologies apportent les bénéfices suivants: Permettent d améliorer les mécanismes d authentification Aident les utilisateurs à passer progressivement vers l ère «sans» mot de passe Offrent des solutions pour les applications / services de type SaaS & BYOD Ouvrent de nouvelles possibilités, permettent notamment d améliorer l expérience utilisateur et faciliter la confiance entre celui-ci et ces nouveaux processus d authentification.

29 Questions? MERCI DE VOTRE ATTENTION! POUR EN SAVOIR PLUS: RESTER CONNECTE:

30