Sterke authenticatie met mobiel. Kennissessie 4 april 2019 Lex Borger

Transcriptie

1 Sterke authenticatie met mobiel Kennissessie 4 april 2019 Lex Borger

2 Lex Borger Security Consultant bij Tesorion lex.borger@tesorion.nl 2

3 Onze agenda vandaag Authenticatie en mobiel Soft token versus hard token Sterke authenticatie Gebruik in de enterprise Conclusie 3

4 Mobiel als software token Wat zijn de verschillen met een hardware token? Wat zijn de overeenkomsten? Classificatie invullen als voettekst 4

5 Authenticatie de basis Drie modes: Wat je weet (wachtwoord) Wat je hebt (token) Wat je bent (biometrisch) Mobiel is hier inherent geschikt voor: soft-token Elke mode heeft zijn eigen factors PIN, TAN-lijst, SecureID, OTP, vingerafdruk, stemafdruk

6 Twee soorten tokens Server-controlled token Je krijgt een OTP waarde toegestuurd en je voert dit in Internet standaard-token Jouw token berekent de volgende OTP waarde, op basis van een gedeeld geheim (symmetrisch) en je voert dit in Of dit wordt automatisch verwerkt Mobiel is hier inherent geschikt voor Classificatie invullen als voettekst 6

7 Hoe werkt een OTP? Op basis van een hash Convenient, not secure HASH Large message Fixed length

8 Hoe werkt een OTP? (2) Op basis van een keyed hash HASH Key + Large message Secure, but message can be modified by resourceful attacker Fixed length

9 Hoe werkt een OTP? (3) Eigenlijk een hash-based Message Authentication Key & <outer> + HASH Key & HASH <inner> + Large message Double keying and Double keying and <inner> & <outer> <inner> <outer> provide better provide security security Fixed length

10 Hoe werkt een OTP? (4) En daar wordt een One-time Password (OTP) van gemaakt HASH Key & <outer> + TRUNCATE HASH Key & <inner> + Counter/Timer Usable by humans Fixed # digits

11 Token Internet Standard is nu HOTP / TOTP Token bevat een geheime sleutel & teller/klok Verificatie is gebaseerd op Duplicaat sleutel & teller/klok in HSM Server-side vergelijking van het protocol resultaat Probleem Teller/klok raakt uit sync à resync van teller/klok is dan nodig

12 Voordelen van een software token Secure element Ontsluiten met biometrische authenticatie Internet connectie Push-notificaties krijgen Transactiedetails lezen Kan gemonitord worden Logistiek Klant regelt eigen apparaat, registreert dit (meestal zelf) Kosten Software token is veel voordeliger voor de enterprise

13 Nadelen van een software token Secure element Niet elke app gebruikt de secure element Theoretisch minder sterk dan hard token Malware Multi-functioneel Internet connectie (is niet air-gapped) Stelen token seed Keylogging om wachtwoorden te achterhalen Jailbreak/root maakt kwetsbaar Gevoelig voor malware (maar minder dan PC - sandbox technologie) Batterij Lege batterij --> Geen authenticatie

14 Overeenkomsten Eigenlijk maar één: Ze zijn écht standard; ze gebruiken dezelfde internet standaarden

15 Sterke authenticatie Meertrapsauthenticatie Multifactor authenticatie Classificatie invullen als voettekst 15

16 Authenticatie (terugblik) Drie modes: Wat je bent (wachtwoord) Wat je hebt (token) Wat je bent (biometrisch) Multifactor authenticatie (sterke authenticatie) Gebruik twee of meer modes for authenticatie Bij voorkeur uit verschillende modes

17 Sterke authenticatie kwadrant à Multifactor authenticatie Wachtwoord Toegangspas (50% van enterprise gebruikers) Makkelijk om aan te vallen (zwak, gestolen, achterhaald) 80% van de breaches Enkelvoudig middel à Meertrapsauthenticatie

18 Sterke authenticatie kwadrant (2) à Multifactor authenticatie Wachtwoord Wachtwoord in combi met Toegangspas Sec. vragen / /sms OTP (50% van enterprise gebruikers) (45% van enterprise gebruikers) Makkelijk om aan te vallen (zwak, gestolen, achterhaald) 80% van de breaches Vragen zijn zwak, beter, SMS is achterhaald 20% van de breaches Enkelvoudig middel Meerdere middelen na elkaar à Meertrapsauthenticatie

19 Sterke authenticatie kwadrant (3) Meerdere factoren na elkaar Wachtwoord/biometrisch in combi met token OTP verificatie (5% van enterprise gebruikers) à Multifactor authenticatie Makkelijk om aan te vallen (zwak, gestolen, achterhaald) 80% van de breaches OATH token, Out-of-band verification / QR code, authenticator app FIDO U2F token, Bank random reader Wachtwoord Wachtwoord in combi met Toegangspas Sec. vragen / /sms OTP (50% van enterprise gebruikers) (45% van enterprise gebruikers) Vragen zijn zwak, beter, SMS is achterhaald 20% van de breaches Mobiel Enkelvoudig middel Meerdere middelen na elkaar à Meertrapsauthenticatie

20 Authenticatie in de enterprise Classificatie invullen als voettekst 20

21 Federatie: Het fundament van SSO! OpenID / OAuth2 / SAML Heeft sterke authenticatie nodig Die ook overal werkt Wie moet die leveren? Overheid? eid in België, Estland DigiD Banken? idin itsme in België

22 Federation: Het fundament van SSO! (2) Wie moet die leveren? Social Media gigant? Facebook Google Microsoft Enterprise zelf? Via Microsoft? En als enterprise niet zelf levert, hoe is (als nodig - GDPR) authenticiteit geborgd? Wat als de gebruiker zijn authenticatiemiddel kwijt is?

23 Sterke authenticatie kwadrant (4) Mobiel à Multifactor authenticatie Meerdere factoren bij elkaar Makkelijk om aan te vallen (zwak, gestolen, achterhaald) 80% van de breaches Meerdere factoren na elkaar Wachtwoord/biometrisch geïntegreerd met token OTP verificatiecombi met token OTP verificatie Wachtwoord/biometrisch in (5% van enterprise gebruikers) Stored secret is incomplete, PIN completes it Offline attack not possible Strong registration & provisioning necessary OATH token, Out-of-band verification / QR code, authenticator app FIDO U2F token, Bank random reader Wachtwoord Wachtwoord in combi met Toegangspas Sec. vragen / /sms OTP (50% van enterprise gebruikers) (45% van enterprise gebruikers) Vragen zijn zwak, beter, SMS is achterhaald 20% van de breaches Mobiel Enkelvoudig middel Meerdere middelen na elkaar à Meertrapsauthenticatie

24 Conclusie Mobiel is hard op weg hét multifactor authenticatiemiddel te worden Multifactor authenticatie kan onder de juiste omstandigheden heel sterk zijn Classificatie invullen als voettekst 24

25