samen betrouwbaar online - eefje van der harst - ho-link 2014
DESCRIPTION
Sessieronde 6 Titel: Samen betrouwbaar online Sprekers: Eefje van der Harst (SURFnet) Locatie: Boston 17TRANSCRIPT
![Page 1: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/1.jpg)
STERKE AUTHENTICATIE VOOR CLOUDAPPLICATIES VIA SURFCONEXT
Samen betrouwbaar online
Eefje van der Harst – Productmanager SURFconext
![Page 2: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/2.jpg)
Waarschuwing vooraf: jargon alert (sorry)
• Sterke authenticatie
• Level of Assurance (LoA) - betrouwbaarheidsniveau
• Registration Authority (RA)
• Identity Vetting – ID check
![Page 3: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/3.jpg)
SURFconext: met je instellingsaccount de cloud in
![Page 4: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/4.jpg)
Concept niet nieuw
![Page 5: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/5.jpg)
Inloggen old skool
![Page 6: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/6.jpg)
Username/ password; vaak toch wel handig
![Page 7: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/7.jpg)
Username/ password; vaak toch wel handig
![Page 8: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/8.jpg)
Maar is het ook veilig genoeg?
![Page 9: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/9.jpg)
Oordeelt u zelf
![Page 10: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/10.jpg)
Bedenk eens wat er mis kan gaan…
• Fraude met cijferadministratie
• Lekken van patenten/ onderzoeksdata
• Persoonlijke gegevens van gebruikers op straat
• Etc., etc.
![Page 11: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/11.jpg)
Ook/ juist in onderwijs behoefte aan veiligere toegang
![Page 12: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/12.jpg)
Hoe organiseer je dat als instelling?
• Veel integratie-effort bij instelling (n=160)
• Per clouddienst een nieuw token?
• Zoveel leveranciers, zoveel tokens. Vendor lock-in dreigt
• €€€ Duur, vooral bij kleine user base
• Uitgifteprocessen belangrijk voor betrouwbaarheid
![Page 13: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/13.jpg)
Uitbreiding SURFconext
![Page 14: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/14.jpg)
Wat willen we bieden:
• Betere toegangsbeveiliging tot clouddiensten
• Beperken van risico’s op beveiligingsincidenten
• Eenvoudige uitrol (techniek + proces)
• Concurrerend tariefmodel
• Gemak voor de eindgebruiker:
uniforme toegang met één tweede factor voor
meerdere diensten
![Page 15: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/15.jpg)
Sterke authenticatie via SURFconext
![Page 16: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/16.jpg)
Token registreren
![Page 17: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/17.jpg)
Token activeren
![Page 18: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/18.jpg)
Inloggen
1. Iets wat je WEET + 2. Iets wat je HEBT
![Page 19: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/19.jpg)
Huidige status dienstontwikkeling
Prototype self-service portal voor registratie token
Prototype appplicatie voor ID-check user + activeren token
Beschikbare tokens in prototype: SMS en Yubikey
Op basis van prototype uitvoeren pilots met instellingen
Business model + business case uitwerken ism instellingen
Pilots succesvol? Dan: dienstontwikkeling, toevoegen aan SURFconext
![Page 20: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/20.jpg)
Doelen pilots
• Wat is nodig om een clouddienst geschikt te maken voor sterke authentciatie? (time, effort, technical, knowledge)
• Hoe kan een clouddienst differentiëren tussen verschillende betrouwbaarheidsniveaus gebruiker? (= alleen op relevante plekken in applicatie afdwingen)
• Hoe organiseren we uitgifteproces tokens?
• Hoe is user experience voor eindgebruiker & Service Desk?
![Page 21: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/21.jpg)
Pilot 1: Windesheim
![Page 22: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/22.jpg)
Ervaringen Service Desk mbt registratieproces
Werkt prima, proces reeds bekend van uitgifte andere middelen
Check legitimatie wordt over algemeen serieus genomen
Registratieproces eenvoudig op te schalen naar grotere groepen gebruikers
![Page 23: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/23.jpg)
Ervaringen eindgebruikers
Registratieproces werkt prima
Gebruikers waarderen keuzevrijheid in token (SMS/
Yubikey)
User experience bij switch tussen applicaties met hoger/
lager LoA in orde
Telefoon laat een gebruiker niet gauw slingeren
! Yubikey in gedrag nu soms nog onveilig; laat je
gemakkelijk in USB-poort zitten instructies verbeteren!
![Page 24: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/24.jpg)
Overige leerpunten 1e pilot
Sterke authenticatie via SURFconext werkt
Applicatie kan goed omgaan met verschillende betrouwbaarheidsniveaus
± ‘Evt. opstartproblemen’ zouden ook bestaan als instelling zelf sterke
authenticatie zou implementeren
! Differentiëren in betrouwbaarheidsniveau nog lastig voor SP (alles of
niets)
! Duidelijkere instructies nodig over veilig gebruik van tokens
! Afhankelijkheid van SURFconext kan extra risico betekenen
! Tariefmodel nog onduidelijk (work in progress)
![Page 25: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/25.jpg)
Pilot 2: Deltion college + Sharepoint 2013
![Page 26: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/26.jpg)
Pilot 3: Hanze hogeschool & Osiris (ovb)
![Page 27: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/27.jpg)
Overige observaties nav gesprekken instellingen
• Veel interesse bij instellingen in sterke authenticatie
• Scope wisselt: zowel online als lokale systemen
• Niet elke use-case geschikt (looptijd/ techniek/ etc)
Disclaimer: Dit wordt NIET de holy grail voor alle authenticatie-issues naar lokale (beheer)systemen!Want: Step-up-authentication-as-a-service alleen voor webbased SPs
![Page 28: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/28.jpg)
Use cases voor sterke authenticatie zijn legio
![Page 29: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/29.jpg)
Belang voor hoger onderwijs is groot
![Page 31: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/31.jpg)
Veilige toegang: risico-afweging nodig
• Hoe bepaal je vereiste betrouwbaarheidsniveau?
• Wat is juiste risico-inschatting?
• Wat is gewenste beschermingsniveau?
Volg internationale standaarden:• ISO 29115• NIST 800-63• STORKhttp://www.surf.nl/kennis-en-innovatie/kennisbank/2014/rapport-handreiking-betrouwbaarheidsniveaus.html
![Page 32: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/32.jpg)
Bron: ISO 29115
Betrouwbaarheidsniveaus - Levels of Assurance
LoA Beschrijving
1 - Laag Weinig of geen vertrouwen in geclaimde over verzekerd (“asserted”) identiteit
2 - Medium Enig vertrouwen in de geclaimde of verzekerde identiteit
3 - Hoog Veel vertrouwen in de geclaimde of verzekerde identiteit
4 - Zeer hoog
Zeer veel vertrouwen in de geclaimde of verzekerde identiteit
![Page 33: Samen betrouwbaar online - Eefje van der Harst - HO-link 2014](https://reader034.vdocuments.pub/reader034/viewer/2022052505/5562c6c0d8b42aaf178b5081/html5/thumbnails/33.jpg)
NB: LoA = registratieproces + middel