Autentizační metody na mobilních platformách Využití mobilních zařízení jako autentizačních prostředků 3.4.2014
Obsah Úvod Autentizace - průzkumy a trendy Preference a výzvy při výběru autentizační metody Mobilní zařízení jako ideální autentizační prostředek? Budoucnost 1
Úvod
Úvod Přednáška je zaměřena na současné a budoucí trendy v oblasti autentizačních metod, zejména v kontextu mobilních zařízení, resp. jejich využití jako autentizačních prostředků. Příspěvek si klade za cíl představit a diskutovat: vývoj autentizačních metod poskytovaných klientům přímých služeb (např. bankovnictví, obsluha klientské zóny atp.), praktické zkušenosti ukazující preference společností při výběru vhodných autentizačních metod, překážky a kompromisy, kterým při jejich zavádění čelí, budoucí trendy v oblasti autentizačních metod, použití mobilních telefonů jako prostředků pro autentizaci a bezpečnost jako poslední bariéru nebo příležitost pro jejich rozšíření v oblasti autentizace? 3
Autentizace - průzkumy a trendy
Průzkumy a trendy Současný stav Současná situace (data průzkumu lokálního a evropského trhu*, zejména finančních institucí) Všechny významné společnosti využívají pro identifikaci a autentizaci svých klientů nějakou formu uživatelského identifikátoru (UserID, resp. klientské číslo) a hesla, nicméně např. banky zřídka tento způsob používají samostatně ( -> dvou faktorové metody). SMS OTP je stále nejfrekventovanější více faktorová metoda poskytovaná klientům, jednoduchost použití a uživatelská přívětivosti, vyšší provozní náklady již zaznamenala úspěšné útoky S ohledem na výše uvedené je zřetelná aktivita většiny společností, hledající levnější metodu, poskytující stejnou, resp. vyšší, úroveň zabezpečení. Internet banking authorization methods in Czech Republic Calculator RSA Token CAP / DPA TAN/Grid UserID / Password SMS OTP GSM banking PKI * založený na veřejné dostupných informacích 0 5 10 15 Major Czech banks using selected method Příklad zastoupení autentizačních metod, konkrétně pro internetové bankovnictví v ČŘ 5
Průzkumy a trendy Trendy Identifikované trendy OTP metody stále ANO, nicméně -> posun od tradičních HW tokenů k autentizačním metodám využívajících chytrých mobilních telefonů ( phone-as-a-token ). Diskvalifikace jednoúčelových zařízení (pro autentizaci). Mobilní (chytré) telefony již nejsou uživateli vnímány jako další zařízení. Risk-based autentizace není založena pouze na autentizačních nástrojích a prostředcích (přístup adaptivní autentizace). Podpora a zájem o kontextovou (adaptivní) autentizaci, -> stále ale není mainstream. Rychlý vývoj v oblasti možností a využití chytrých mobilních telefonů. -> další impuls k rozšíření kontextové autentizace a pasivních biometrických autentizačních metod (bez nutnosti dalšího HW). Zvyšování počtu pokročilých a cílených útoků zahrnujících i mobilní zařízení. Maturita dostupných metod autentizace, resp. silná bezpečnost vs vysoká použitelnost -> výběr metody je stále otázkou nalezení vhodného kompromisu mezi bezpečností a použitelností. Zdroje: KPMG, Gartner 6
Preference a výzvy při výběru autentizační metody
Preference a výzvy při výběru autentizační metody Zvažované základní typy a skupiny metod, jako např. UserID + heslo / vylepšené heslo X.509 token OOB autentizace Biometrika Grafické a slovníkové KBA Základní parametry při výběru metod Bezpečnost Uživatelský komfort Náklady + Specifika prostředí Společnosti Bezpečnost Uživatelský komfort Náklady Společnost čas, přínosy, rizika, distribuce, IT, strategie, skupinové požadavky, legislativa 8
Preference a výzvy při výběru autentizační metody bezpečnost Hodnocení bezpečnosti autentizačních metod: Autentizační metody Vektory útoku Uživatelé Komponenty Technologie Bezpečnostní opatření Příklady: Internetové kanály Mobilní telefony Tokeny / technologie... Faktor rizika Biometrie Tokeny OTP Authentizační prostředí Internetové bankovnictví Klientská zóna Smartbanking Telefonní ústředny Pobočky... Model hodnocení bezpečnosti Autentizační metody zahrnují prostředky, komponenty, technologie a bezpečnostní koncept (procedury, opatření) Faktor bezpečnostního rizika jednotlivých metod úroveň ochrany poskytnuté komponentami, bezpečnostními funkcemi a technologiemi daných metod proti různým typům útoků 9
Preference a výzvy při výběru autentizační metody uživatelský komfort Faktor uživatelského komfortu zahrnuje více aspektů, které je třeba zohlednit, např.: Časová náročnost Čas strávený autentizací / autorizací Čas zavedení metody Složitost použití Kroky v různých životních situacích (přihlášení, potvrzení akce atp.) Lokalizace atp. Vnímaná úroveň bezpečnosti Vnímání uživatelem Adaptivnost Co znamená ztráta části autentizačních údajů? Nová zařízení pro klienta Je uživatel nucen mít další zařízení? Nutnost instalace Je třeba nainstalovat nějaký software? Parametry (credentials) k zapamatování Co si uživatel musí zapamatovat? 10
Preference a výzvy při výběru autentizační metody náklady Hlavní kategorie nákladů: Implementační náklady (odhad ceny implementace, počáteční náklady, pořízení licencí, atp.) Provozní náklady (odhad ceny údržby IT řešení a koncových stanic, údržba licencí, atp.) Pro srovnání odhadů nákladovosti jednotlivých metod lze uvažovat předpoklady a omezení vhodná pro dané referenční prostředí, např.: Předpoklady Příklady: 0,5 milionu uživatelů Denně cca 50 000 online operací PKI je ve Společnosti již zavedena Aplikace typu XY není zavedená a podporovaná současnými technologiemi, kterými společnost disponuje Používání nových metod je odhadováno pro typickou distribuci segmentu XY klientů Omezení Příklady: Odhad cen je počítán na základě oficiálních ceníků prodejců Nepředpokládají se žádné implementační a počáteční náklady pro současné metody Nepředpokládají se významné implementační náklady pro HW/SW tokeny 11
Preference a omezení pro výběr metody Společnosti Preference: Jednoduchost použití a uživatelská přívětivost Využití známého prostředí / autentizačního prostředku pro klienta Nevyžadovat dodatečná zařízení Neomezovat úrovně služeb pro klienty (množství transakcí, částek, počtu objednávek, možnosti administrace,...) Využití metody univerzálně pro více kanálů (např. portál, telefon, pobočka,...) Zajištění minimálně stejné úrovně zabezpečení Adaptivnost, resp. risk based přístup / minimálně dvou-faktorová metoda pro kritické operace / Zajištění nepopiratelnosti pro určité typy aktivit Existence jednoduché alternativní možnosti autentizace Výběr metody reflektuje připravenost společnosti (co-existence se současným řešením, obslužné procesy, IT prostředí) Nízké náklady na zavedení a provoz Podpora odstranění případných současných problémů autentizace 12
Preference a omezení pro výběr metody klienti Preference uživatelů * Celkově nejatraktivnější je mezi zákazníky na trhu koncept využití jména a hesla při přihlášení, případně jeho kombinace s OTP. Za další atraktivní primární autentizační metodu je považováno využití mobilní aplikace s datovým připojením (již jen kolem 30%) Výsledky potvrzují ochotu uživatelů primárně využívat mobilní platformy pro operace spojené s autentizací Více než 70% uživatelů preferuje bezpečnost metody i za cenu dodatečných kroků (obsluhy metody) na jejich straně Interpretace výsledků nová metoda? * Výsledky průzkumů 13
Mobilní zařízení jako ideání prostředek?
Mobilní zařízení jako ideální autentizační prostředek? Phone as a token metoda SW OTP generátor v aplikaci chytrého mobilního zařízení, time based princip OTP metoda založena na SW tokenu - aplikaci chytrého mobilního zařízení, chráněné PINem, s využitím transakčních detailů a challenge-response principu OTP metoda založena na HW tokenu připojeném k chytrému mobilnímu zařízení fyzickým nebo bezdrátovým rozhraním (BT, NFC, USB, ) Aplikace chytrého mobilního zařízení pro autentizovaný hovor na call centrum mnoho dalších variant implementace a autentizačních konceptů Ideální autentizační prostředek Vhodný autentizační prostředek...ano, ALE! 15
Mobilní zařízení jako ideální autentizační prostředek? Autentizační koncept Na serveru Úložiště klíče Ochrana klíče PIN Biometrie V mobilním zařízení Symetrické šifrování Kognitivní / gesto Android ios Windows Mobile Platforma Ochrana tajemství uloženého v mobilním zařízení Registrace Offline Jiná Aktivity Autentizace Online Time-based Sequence-based Automatické Ruční spuštění Na základě tajemství a nonce (resp. OTP) Na základě tajemství, challenge a případně nonce Iniciace Metoda generování authenticator Auth concept Mobilní aplikace Metoda předávání authenticator (OTP resp. response) Ověřovateli... Předání do PC uživatele Předání serveru skrze Internet Manuálně Kabel Obsah Challenge Manuálně Push. Způsob předání Challenge do mobilního zařízení Automatizovaně Poloautomatizovaně Pull... Bluetooth NFC Scan QR kódu Autentizační koncept příklad parametrů 16
Mobilní zařízení jako ideální autentizační prostředek? Příklady variant Phone-as-a-token metoda založená na mobilní aplikaci (offline) Životní situace klienta: Chci se přihlásit k on-line službě na internetu. + Jsem přihlášený k on-line službě na internetu a potřebuji potvrdit libovolnou uživatelskou akci / transakci. Potvrzení akce provést rychle, snadno a bezpečně. Postup využití: Při přihlášení / resp. potvrzení akce se zobrazí kód aktivity a jste vyzváni k zadání potvrzovacího kódu. Na svém telefonu spustíte autentizační aplikaci a zadáte svůj PIN. Do aplikace opíšete kód z obrazovky webové aplikace a zobrazí se vám potvrzovací kód. Potvrzovací kód, opíšete do webové aplikace. Tím jste potvrdili akci. HW cryptochip via BT, NFC alternativa pouze OTP generátor alternativa 17
Mobilní zařízení jako ideální autentizační prostředek? Příklady variant Phone-as-a-token metoda založená na mobilní aplikaci (online) Životní situace klienta: Chci se přihlásit k on-line službě na internetu Postup využití: Při přihlašování do online služby zadáte své uživatelské jméno. Na svém telefonu spustíte aplikaci a zadáte svůj PIN a stiskněte tlačítko Přihlásit. Poté jste přihlášeni. Životní situace klienta: Jsem přihlášený k on-line službě na internetu a potřebuji potvrdit libovolnou uživatelskou akci / transakci. Potvrzení akce chci provést rychle, snadno a bezpečně. Postup využití: Při odesílání uživatelské akce je uživatel vyzván k jeho potvrzení. Na vašem telefonu se objeví výzva k potvrzení akce. Akci potvrdíte zadáním PINu. QR kód alternativa 18
Mobilní zařízení jako ideální autentizační prostředek? Phone-as-a-token metoda založená na mobilní aplikaci (online/offline) PRO: Variabilita online/offline (tedy i mimo datové připojení) Využití chytrého mobilního telefonu klienta (telefon již není klienty vnímán jako další zařízení) Známé uživatelské prostředí pro klienta Časově nenáročná a snadná inicializace/distribuce metody (pouze instalace aplikace) Operaci přihlášení, resp. potvrzení akce na pár kliků Nízké provozní náklady Srovnatelná, resp. vyšší míra bezpečnosti (v závislosti na implementaci), více-faktorová metoda Metodu lze provozovat v adaptivním režimu (tedy např. pouze pro rizikové operace) Odhadovaná pentrace chytrých telefonů v ČR nyní více než 40%, v roce 2015 přes 70% Mobilních data v ČR (2012) 3,3 milionu už. / cca 23% z aktivních SIM karet, meziročně nárůst (aktivovaných ) o 33% PROTI: Bezpečnost prostředí klientských zařízení Mobilní malware (např. Andorid až cca 200.000 unikátních vzorků, celkem cca 10.000.000 škodlivých aplikací) Nejistota stran vnímání bezpečnosti mobilních platforem na straně uživatelů Zdroje: KPMG, T-Mobile, veřejně dostupná data 19
Budoucnost
Budoucnost Inovátorské metody Biometrika Integrované čtečky prstů v mobilních telefonech Otisk krevního řečiště Tetování na kůži Implantovaný kryptočip 21
Budoucnost bezpečnost jako bariéra nebo příležitost? Rozšíření chytrých mobilních zařízení (jako autentizačních prostředků) První komerční smartphone 2007 Bariéry Technologie se zatím brání útokům ne příliš efektivně Služby a produkty v oblasti mobilní bezpečnosti zatím spíše na začátku Nové příležitosti pro poskytovatele telekomunikačních a IT služeb, a jejich zákazníky Hardwarové inovace, end-to-end služby v oblasti zabezpečení mobilních zařízení a jejich implementace u koncových zákazníků Smartphone jako běžný nástroj v osobním, tak i pracovním životě. 2014 22
Děkujeme za pozornost Radek Šichtanc Jan Krob