PARIS 2013
WEB SSO & IDENTITY MANAGEMENT PARIS 2013
AGENDA La problématique Quelques statistiques Identité & Authentification Les challenges Les solutions
La problématique X Comptes - Mots de passe triviaux (De-)Provisionning utilisateurs Autorisation / Fédération Single Sign On (SSO) & Authentification multifacteurs Auto Provisioning & De-Provisioning Evolutivité : standards SAML OAUTH 26 Nombre moyen de comptes gérés par un utilisateur Source Deloitte Jan_2013
Quiz 26 5 7 Nombre moyen de comptes gérés par un utilisateur Nombre moyen de mots de passe utilisés pour accéder à ces comptes (ressources, App) Nombre maximum de mots de passe qu un utilisateur peut retenir sur le long terme 64% 65% 7% % d utilisateurs écrivant / enregistrant leurs mots de passe % d utilisateurs utilisant les mêmes mots de passe sur plusieurs sites % d utilisateurs victime d usurpation d identité
Les challenges: Le casse tête des mots de passe Quelqu'un s est procuré mon mot de passe Je dois maintenant changer celui-ci dans toutes mes applications 34% des utilisateurs entreprise ont besoin d au moins 6 mots de passe Source : ESG 76% des intrusions réseaux exploitent des identifiants / mots de passe volés ou simples Source : 2013 Verizon Data Breach Report Sur un échantillon de 6 Millions de comptes, 10 000 mots de passe fréquemment utilisés par les utilisateurs ont permis d accéder à 98.1% de ces comptes Source : Deloitte TMT Predictions 2013
Technologies - identité & authentification
Identité, Authentification, Contexte & Profil Identification Quelle est votre identité? Identifiant, email, certificat, jeton, assertion, ticket. Authentification Prouvez votre identité? Simplicité, Sécurité, multi-facteurs, etc Contexte Où êtes-vous? Généralement l information est obtenue dynamiquement: e.g localisation, terminal utilisé, réseaux de connexion, heure de la demande, etc Profil Décrivez-vous? Informations connues et statiques concernant l utilisateur.
Authentification & Autorisation : Approche classique Id, MdP Client-Utilisateur Autorisation & données Service App e.g stockage photos
Authentification & Autorisation : Approche distribuée Service hébergeant les données de l utilisateur (e.g Photos) Utilisateur Propriétaire des données Application Client (e.g service d impression photos)
Flux Authentification ENTREPRISE PARTICULIER 1 2 Prouver son identité (authentification du client) Obtenir un ticket/jeton qui sera présenté au service afin qu il puisse authentifier le client Active Directory 1 2 Internal Service: File Share, Web Site etc.. 3 IDP*: Google, Facebook, etc. 1 2 RP**: Website and/or Application 3 3 Présenter le ticket/jeton au service accédé Client Client *IDP : IDentity Provider **RP: Relying Party Les méthodes utilisées par les utilisateurs Entreprise et Particulier sont similaires
Quelques Standards utilisés Périmètre de l entreprise Kerberos NTLM SAML En dehors du périmètre de l entreprise OpenID OAUTH SAML
Pourquoi cette multitude de protocoles? Kerberos/NTLM SAML OAUTH Bien adapté à l intérieur de l entreprise Beaucoup de prérequis Nécessite une connectivité aux DCs, DNS, etc. Adapté aux situations où les assertions & profiles sont concis. Adapté aux situations où le client (Apps/Service) ne peut atteindre directement le référentiel utilisateurs ( IDP : Annuaires) Généralement nécessite une connectivité à l IDP afin de valider et d utiliser les jetons Adapté aux situations très hétérogènes où les profils détaillés des utilisateurs sont connus durant la phase d authentification.
Exemple OAUTH: Open standard for AUTHorization
Exemple : Service d impression de photos 1er Octobre Stocke Photos Utilisateur Propriétaire des données 24 Octobre Souhaite imprimer ses Photos Utilisateur Propriétaire des données Se connecte au service d impression
Exemple 1: Suite Le service d impression (Client) fait une demande auprès du service d hébergement de photos du propriétaire des données Utilisateur Le propriétaire des Photos est invité par le service d impression à s authentifier et à donner son autorisation pour un périmètre et une durée limitée
Exemple 1: Fin Le propriétaire peut maintenant demander l impression de ses deux photos
Authentification: Challenge Hier Aujourd hui Demain Lassitude dû à la multiplicité des mots de passe Méconnaissance des risques liés à la réutilisation des mêmes mots de passe. Faible sensibilisation à ceux-ci. L utilisation des outils MFA* et SSO est naissante ou les outils sont en cours d intégration Les coûts liés à la gestion des comptes et des mots de passe explosent Aujourd hui comme hier, les pratiques se mettent en place doucement ou sont en cours de déploiement La réinitialisation des mots de passe via courriel ou Q&R présente toujours des risques. Manque de contrôle des services «Outsourcés» Transition vers authentification multi-facteurs & abandon progressif des mots de passe. Sécurisation des identités sans mots de passe statiques Multi-facteurs, contextuel, Analyse de risque, authentification évolutive Multitude d options pour la biométrie, les terminaux, les applications, les réseaux, contextes, etc. Les notions de contextes sont intégrés dans les composants interagissant avec la sécurité MFA: Authentification Multi-Facteurs
Authentification- Niveau / Robustesse Basique Multi-facteurs Identifiant? Mot de passe? + Ce que vous Savez Ce que vous possédez ou ce que vous êtes
Au delà des mots de passe Prévenir les accès non autorisés avec l authentification multi-facteurs. + Biométrie Ce que vous êtes Intégrés dans les terminaux Ce que vous possédez
Connaissance situationnelle Connaissance situationnelle: Anomalie!! ID: jdurant@domaine.com 8:42 UTC ID: jdurant@domaine.com 9:12 UTC
Authentification: Considerations clés Transitivité Périmètre Entreprise Partenaires Globale Bring Your Own Device (BYOD) Confiance Acceptation des utilisateurs vs besoin de sécurité Faux positif (simplicité et conséquences pour les accès non autorisés) Faux négatif (impact sur la non disponibilité des services) Re-jeu/validité
Transitivité biométrie La biométrie est adaptée à la problématique de transitivité
+ de convivialité pour l utilisateur ce que je possède Mots de passe à usage unique (PC & Mobile ) Mobile via SMS Intégré au matériel (IPT) Security Engine
Les solutions McAfee
McAfee One Time Password identifiant / OTP Autorisation Lapto p Passerelle d accès ou Application Service ou Application Ressource Authentification/ Méthodes de transmission (via Modules) Email SMS Hardwa re Softwar e Référentiel Utilisateur McAfee OTP LDAP RADIUS SQL
McAfee Single Sign On (SSO) BYOD Applications ou services externes Software as a Service (SaaS) Utilisateurs Portable Passerelle Mobile Tout Terminal Partout En permanence Active Directory (AD), LDAP, BDD, etc.
CONCLUSION Ces technologies apportent les bénéfices suivants: Permettent d améliorer les mécanismes d authentification Aident les utilisateurs à passer progressivement vers l ère «sans» mot de passe Offrent des solutions pour les applications / services de type SaaS & BYOD Ouvrent de nouvelles possibilités, permettent notamment d améliorer l expérience utilisateur et faciliter la confiance entre celui-ci et ces nouveaux processus d authentification.
Questions? MERCI DE VOTRE ATTENTION! POUR EN SAVOIR PLUS: www.mcafee.com/identity RESTER CONNECTE: www.mcafeetheplace.com