STERKE AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT

Samen betrouwbaar online

Eefje van der Harst – Productmanager SURFconext

Waarschuwing vooraf: jargon alert (sorry)

• Sterke authenticatie

• Level of Assurance (LoA) - betrouwbaarheidsniveau

• Registration Authority (RA)

• Identity Vetting – ID check

SURFconext: met je instellingsaccount de cloud in

Concept niet nieuw

Inloggen old skool

Username/ password; vaak toch wel handig

Username/ password; vaak toch wel handig

Maar is het ook veilig genoeg?

Oordeelt u zelf

Bedenk eens wat er mis kan gaan…

• Fraude met cijferadministratie

• Lekken van patenten/ onderzoeksdata

• Persoonlijke gegevens van gebruikers op straat

• Etc., etc.

Ook/ juist in onderwijs behoefte aan veiligere toegang

Hoe organiseer je dat als instelling?

• Veel integratie-effort bij instelling (n=160)

• Per clouddienst een nieuw token?

• Zoveel leveranciers, zoveel tokens. Vendor lock-in dreigt

• €€€ Duur, vooral bij kleine user base

• Uitgifteprocessen belangrijk voor betrouwbaarheid

Uitbreiding SURFconext

Wat willen we bieden:

• Betere toegangsbeveiliging tot clouddiensten

• Beperken van risico’s op beveiligingsincidenten

• Eenvoudige uitrol (techniek + proces)

• Concurrerend tariefmodel

• Gemak voor de eindgebruiker:

uniforme toegang met één tweede factor voor

meerdere diensten

Sterke authenticatie via SURFconext

Token registreren

Token activeren

Inloggen

1. Iets wat je WEET + 2. Iets wat je HEBT

Huidige status dienstontwikkeling

Prototype self-service portal voor registratie token

Prototype appplicatie voor ID-check user + activeren token

Beschikbare tokens in prototype: SMS en Yubikey

Op basis van prototype uitvoeren pilots met instellingen

Business model + business case uitwerken ism instellingen

Pilots succesvol? Dan: dienstontwikkeling, toevoegen aan SURFconext

Doelen pilots

• Wat is nodig om een clouddienst geschikt te maken voor sterke authentciatie? (time, effort, technical, knowledge)

• Hoe kan een clouddienst differentiëren tussen verschillende betrouwbaarheidsniveaus gebruiker? (= alleen op relevante plekken in applicatie afdwingen)

• Hoe organiseren we uitgifteproces tokens?

• Hoe is user experience voor eindgebruiker & Service Desk?

Pilot 1: Windesheim

Ervaringen Service Desk mbt registratieproces

Werkt prima, proces reeds bekend van uitgifte andere middelen

Check legitimatie wordt over algemeen serieus genomen

Registratieproces eenvoudig op te schalen naar grotere groepen gebruikers

Ervaringen eindgebruikers

Registratieproces werkt prima

Gebruikers waarderen keuzevrijheid in token (SMS/

Yubikey)

User experience bij switch tussen applicaties met hoger/

lager LoA in orde

Telefoon laat een gebruiker niet gauw slingeren

! Yubikey in gedrag nu soms nog onveilig; laat je

gemakkelijk in USB-poort zitten instructies verbeteren!

Overige leerpunten 1e pilot

Sterke authenticatie via SURFconext werkt

Applicatie kan goed omgaan met verschillende betrouwbaarheidsniveaus

± ‘Evt. opstartproblemen’ zouden ook bestaan als instelling zelf sterke

authenticatie zou implementeren

! Differentiëren in betrouwbaarheidsniveau nog lastig voor SP (alles of

niets)

! Duidelijkere instructies nodig over veilig gebruik van tokens

! Afhankelijkheid van SURFconext kan extra risico betekenen

! Tariefmodel nog onduidelijk (work in progress)

Pilot 2: Deltion college + Sharepoint 2013

Pilot 3: Hanze hogeschool & Osiris (ovb)

Overige observaties nav gesprekken instellingen

• Veel interesse bij instellingen in sterke authenticatie

• Scope wisselt: zowel online als lokale systemen

• Niet elke use-case geschikt (looptijd/ techniek/ etc)

Disclaimer: Dit wordt NIET de holy grail voor alle authenticatie-issues naar lokale (beheer)systemen!Want: Step-up-authentication-as-a-service alleen voor webbased SPs

Use cases voor sterke authenticatie zijn legio

Belang voor hoger onderwijs is groot

www.surfnet.nl

Eefje van der HarstEefje.vanderharst@surfnet.nl

Vragen?

Veilige toegang: risico-afweging nodig

• Hoe bepaal je vereiste betrouwbaarheidsniveau?

• Wat is juiste risico-inschatting?

• Wat is gewenste beschermingsniveau?

Volg internationale standaarden:• ISO 29115• NIST 800-63• STORKhttp://www.surf.nl/kennis-en-innovatie/kennisbank/2014/rapport-handreiking-betrouwbaarheidsniveaus.html

Bron: ISO 29115

Betrouwbaarheidsniveaus - Levels of Assurance

LoA Beschrijving

1 - Laag Weinig of geen vertrouwen in geclaimde over verzekerd (“asserted”) identiteit

2 - Medium Enig vertrouwen in de geclaimde of verzekerde identiteit

3 - Hoog Veel vertrouwen in de geclaimde of verzekerde identiteit

4 - Zeer hoog

Zeer veel vertrouwen in de geclaimde of verzekerde identiteit

NB: LoA = registratieproces + middel