|
|
 |
 |
|
 Entrust IdentityGuard - Arbeitsweise
| Entrust IdentityGuard - Komponenten
|
Entrust IdentityGuard - Authentisierungen |
| |
|
|
|
|
Wissensbbasierte Authentisierungen |
Benutzername & Passwort: die am weitesten verbreitete Authentisierungsmethode ist nicht ausgeschlossen
Die am meisten verbreitete, verstandene und akzeptierte Authentisierungsmethod ist die Verwendung von Benutzername und Passwort. Als zentrale Authentisierungsplattform kann Entrust IdentityGuard auch mit dieser Benutzername und Passwort umgehen. Aber Entrust IdentityGuard inkludiert nicht nur die Passwortprüfung, sondern auch die Durchsetzung von Passwortpolicies, wie Zusammensetzung und regelmäßige Änderungen. Diese Authentisierung hilft zumindest dahingehend, dass nicht jede Anwendung Benutzername und Passwort-Mechanismen selbst implementieren muß.
Wissensbasierte Authentisierung
Eine der einfachsten Maßnahmen um zusätzliche Sicherheit über die Identität des Benutzers zu bekommen ist die Abfrage weitere wissensbasierter Fakten, die ein Angreifer wahrscheinlich nicht weiß (die den Geburtsnamen der Mutter, Geburtsort, erstes Auto,...) Diese "Shared Secrets" müssen in einem Registrierungsprozess einmal bekanntgegeben oder zumindest bestätigt werden. (konfigurierbare Toleranz gegenüber Typos und Abkürzungen)
|
Physischer zweiter Faktor |
Grid Authentication: eine physische Challenge und Response mit zufälligen Grid Koordinaten
Grid Authentisierung bietet Unternehmen eine einfache, aber wirksame 2-faktor-Authentisierung mit Hilfe einer Gridkarte an. Die Benutzer bekommen eine Gridkarte, mit Zahlen und Zeichen in Reihen und Spalten angeordnet. Dieses Koordinatensystem kann auf beliebigen Medien aufgebracht werden, auf Firmenkarten, Bank- oder Signaturkarten oder sonstiger vertraulicher Kommunikation.
Um nun eine starke Benutzerauthentisierung mittels Grid als zweiten Faktor - zusätzlich zum Passwort - durchzuführen, wird von den Benutzern gefordert, auf eine Challenge (Koordinaten) von Entrust IdentityGuard mit Hilfe des Grids zu beantworten.
|
|
 |
|
Authentisierung mit Gridkarte Quelle: Entrust Inc. |
|
|
Scratch Pad Authentication: eine One-Time Passwort Liste, wobei das OTP vom Benutzer zum Nutzungszeitpunkt freigelegt wird.
One-time-password Listen (OTP-Listen) sind eine alternative Ausbringungsarte eines "Grid" für Benutzerauthentisierung. Bei diesem Ansatz werden die Benutzer mit einer Liste an zufällig generierten Passwörtern ausgestattet, die auf einem Blatt Papier oder versteckt unter einer "Rubbelkarte" ausgegeben werden.
Wenn stärkere Benutzerauthentisierung gefordert ist, werden die Benutzer aufgefordert, ein Passwort der OTP-Liste einzugeben. OTP können nur einmal verwendet werden um Phishing, man-in-the-middle oder TrojanerAngriffe abzumildern.
OTP-Tokens: zeitsynchrone Hardware Token, die zufällige One-Time-Passwörter generieren.
The Entrust IdentityGuard MiniToken ist ein One-Time-Password Token für die starke Authentisierung, der von Entrust extrem günstig für die IdentityGuard Lösung angeboten wird. Der Token bietet einfach zu verwendende Zeit-oder-Eventsynchrone One-Time-Passwörter, die alleine oder in Kombination mit anderen Methoden von IdentityGuard eingesetzt werden können.
|
Multichannel Authentisierung |
Mobile Out-Of-Band Authentication: Übertragung eines "shared secret" über einen weiteren Kommunikationskanal, SMS, Anruf, E-Mail oder andere Text-Message-Kanäle.
Damit ist ein Mechanismus gemeint der alternative Kommunikationswege benutzt, um Informationen zum Benutzer zu senden und schützt somit vor Angriffen auf den ersten Kommunikationskanal. Dies ist ein effektives Mittel um Huckepack-Angriffe zu verhindern.
Diese Art der Authentisierung ist für den Benutzer unkompliziert wenn bestehende Kommunikationskanäle benutzt werden, wie SMS oder "Voice-Calls". Mit IdentityGuard kann z.b. ein One-Time-Passwort mit dem zu bestätigenden Transaktionsbetrag, auf diese Weise zum Benutzer gebracht werden.
|
Wechselseitige Authentisierung |
Wechselseitige Authentisierung: Zwei-Wege-Authentisierung unter Verwendung von existierender "Shared Secrets" (Grid Serial Replay, Grid Location Replay, SSL Enhanced Validation)
Die Sicherstellung des Kommunikationspartners ist aber nicht nur ein Anliegen des Anbieters, sondern auch des Benutzers. Natürlich kann dies klassisch über ein SSL-Zertifikate geschehen, die aber relativ benutzerunfreundlich sind - auch wenn Enhanced-Validation Zertifikate sind. Dieses kann einfacher mit ausgerollten Shared Secrets (Gridkarte) einfacher erreicht werden.
Image or Message Replay
Wenn keine Gridkarte für die Authentisierung verwendet wird, kann eine wechselseitige Authentisierung über die Wiedergabe eines personalisierten Bildes oder Nachricht ablaufen, und so die Legitimität für den Benutzer sicherstellen.
|
|
 |
|
Wechselseitige Authentisierung über Bilder Quelle: Entrust Inc. |
|
|
Grid Card Serial Replay
Wenn Gridkarten ausgerollt sind, kann die Legitimität auch über Informationen zu Gridkarte sichergestellt werden. Jede Gridkarte hat eine Seriennummer, die dem Ausgeber (der Organisation) und dem Benutzer bekannt ist. Wenn diese beim Logon gezeigt wird, kann der Benutzer der Legitimität des Kommunikationspartners sicher sein.
Grid Card Location Replay
Eine andere Art der Verwendung der Gridkarte für diese Zwecke ist die, dass bestimmte Gridpositionen der Karte des Benutzers angezeigt werden. Wenn diese Information richtig sind, kann der Benutzer sicher sein, mit einer legitimen Gegenstelle zu kommunizieren.
Zusätzlich können diese Anzeigen mit nicht-maschinen-lesbaren Zeichen obfuskiert werden, damit Angreifer es noch schwieriger gemacht wird, diese Informationen abzugreifen. Und natürlich können diese wechselseitigen Authentifikationsmethoden auch mit anderen Kommunikationskanälen kombiniert werden.
|
Rechneridentifizierung |
IP-Geolocation Authentication: identifiziert die geografische Position des Gerätes, dass Zugriff auf Anwendung und Systeme möchte.
Entrust IdentityGuard bietet auch die Möglichkeit, die tatsächliche Benutzeridentität mit weiteren Mechanismen abzuschätzen, z.b. über IP-Geolocation (IP-Lokalisierung). IdentityGuard ermöglicht es Black und White-Lists mit IP-Adressen zu führen, bzw. für unübliche Andressen eine stärkere Authentisierung als normal ("step-up") zu fordern.
Es includiert auch Benutzerprofile anzulegen, also eine History über die benutzten Rechner sondern auch über die IP-adressen bzw. deren geografischer Ort. Mit dem OFIN Service (Entrust Open Fraud Intelligence Network) oder regelmäßigen IP-Daten updates kann IdentityGuard die Möglichkeit einer betrügerischen Aktion besser einschätzen.
Natürlich kann diese IP-Geolokalisierung auch für Remote-Access Zugriffe verwendet werden.
Machine Authentication: für den Nutzer nicht erkennbare Identifikation des verwendeten Gerätes, das zugreifen will.
Diese Methode bietet die Validierung des benutzten Rechners anhand eines spezifischen "Rechner-Fingerprints" an. Dies ist vor allem nützlich, wenn die Benutzer üblicherweise immer über denselben Rechner zugreifen, dies erlaubt stärkere Authentisierung ohne irgendwie in die Arbeitsabläufe des Benutzers einzugreifen.
|
|
|
|
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum