Hvad er en NSIS to-faktor løsning?

Relaterede dokumenter
Hvad er en NSIS to-faktor løsning?

Sikker adgang til personfølsomme data i Aula

Fagligt seminar hos Signaturgruppen 24. og 26. september 2019

Løsningsbeskrivelse for log-in og signering med NemID. Valg af målgruppe og navigation omkring NemID på jeres tjeneste.

Til høringsparterne Se vedlagte liste

Glemte passwords koster ikke længere! en grundig guide til sikkert valg af password self-service

Login-vejledning til Falck MyCare

Understøttelse af LSS til NemID i organisationen

FarmOnline Explorer App

LØSNINGSBESKRIVELSE FOR LOG-IN OG SIGNERING MED NEMID. Beskrivelse af de NemID-typer, som kan bruge på jeres tjeneste.

Nykredit Portefølje Administration A/S

Selvom du har installeret NemID nøgleapp på din smartphone eller tablet, kan du stadig frit skifte mellem at bruge din nøgleapp eller nøglekort.

Udvalget for Videnskab og Teknologi UVT alm. del Svar på Spørgsmål 33 Offentligt

Q&A til NemID nøgleapp

Kravspecification IdP løsning

It-sikkerhedstekst ST6

Copyright 2018 Netcompany. Alle rettigheder forbeholdes.

Kom godt i gang med NemID nøgleapp. December 2018

Håndbog. - MobilePass. Udarbejdet af: Maria Mathiesen Gældende fra: 25. februar 2015

OS2faktor. Brugervejledning. Version: Date: Author: BSG

Vejledning til tilsynsledere vedr. brug af pc

Ruko SmartAir. Effektiv og enkel elektronisk adgangskontrol med Mifare teknologi Det er let, det er sikkert, og det er smart!

Nøglehåndtering. Sikkerhed04, Aften

FAQ Login og step-up. Version 1.0, December Copyright 2018 Netcompany. All rights reserved

Til høringsparterne Se vedlagte liste

Januar Version 2.0. OTP-politik - 1 -

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Hvis du har en BEC mobiltelefon, har du mulighed for at logge på via MobilePass, i stedet for en etoken.

RX WEB. online og fleksibel adgangskontrol

Opkobling af COMFORT:NET til internettet 1. Registrering via ezr home.de

Manual for VALTRONICS IP kamera Android APP

SIKKERHED LIDT GRUNDLÆGGENDE & ET PAR ENKLE REGLER brugdintablet.dk

IT-sikkerhed i Køge Kommune. IT med omtanke

Valg af sikringsniveau for identiteter - vejledning i brug af NSIS for tjenesteudbydere

OS2faktor. Løsningsbeskrivelse. Version: Date: Author: BSG

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Brokere i Identitetsinfrastrukturen

Sådan bruger du NemID

Nyt i SkoleIntra 5.23

Udveksling af login- og brugeroplysninger mellem Odense Kommunes brugerkatalog og Google Apps skoleløsning Version 1.0, 30.

Interessentforum for næste generation NemID

SUP-specifikation, version 2.0. Bilag 9. SUP-Styregruppen. Sikkerhed og samtykke. Udkast af 12. juni Udarbejdet for

Brugermanual til MOBI:DO Make på Android

Notat Konceptmodel for SSO ØSY/JESBO/TG

Multifaktor autentifikation (MFA) ved adgang til forskellige IT-løsninger og -services

NOTAT. ITafdelingen. IT og sikkerhedsmæssige udbudskrav ved indkøb af fagsystemer

Et visionært teknologidesign

NSIS I KOMMUNERNE OG I FÆLLES LØSNINGER. Arkitekturrådsmødet 27. august 2019 /v Lars Vraa

Vejledning til aktivering af to-faktor godkendelse

Præsentation af Aula. Juni 2018

IT STUDIE-INTRO August 2018

Finanstilsynets fortolkning af 11. marts 2013

EasyIQ App Brugermanual IOS devices (ipad, iphone og ipod)

NEMID MED ROBOTTER. Muligheder samt en anbefaling til at løse NemID-opgaver med robotter

Vejledning Patientportal

3. Vælg denne mulighed, hvis du har: Oprettet dig som bruger i det digitale ansøgningssystem. Se punkt 4.

FleeDa (DBK Fleetmap Database) Installationsvejledning til installation af VPN og FleeDa klient på egen PC (Juli 2017)

Introduktion til NemID og NemID tjenesteudbyderpakken

INSTRUKS FOR OFFENTLIG RA

Vejledning til Office 365

DATABEHANDLERAFTALE vedr. Indkøbsordning til visiterede borgere i eget hjem

Vejledning til valg af NSIS Sikringsniveau for tjenesteudbydere

Vejledning i tildeling af rettigheder til VandData. Vejledningen henvender sig til Vandselskabers Nem Log-in Administratorer og beskriver, hvordan

Løsningsbeskrivelse. Den fælleskommunale Serviceplatform

BESTILLING AF NEMID. For at bestille ny NemID vælger du Vælg Bestil NemID medarbejdersignatur.

Adgang til det digitale ansøgningssystem (DANS)

Introduktion til NemID og Tjenesteudbyderpakken

SmartSignatur. Forenkler hverdagen.

Use cases Log ind procedurer Generelt Du oprettes i Kitos Generelt Log på Kitos... 3

Test af tilgængelighed og brugervenlighed i WebPatient

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Kvik start opsætning af kamera det første du skal gøre:

IThjælp til mindre virksomheder & foreninger. Oktober 2013 Claus Evertsen & Jytte Christensen

KØBENHAVNS UNIVERSITET KONCERN- IT. Når du skal på KUnet. Version 1, 25. februar 2016 Antal sider: 10

eid, NSIS, MitID & NL3 v. Thoke Graae Magnussen IT-arkitekt September 2019

Vejledning og beskrivelse til kørselsappen Min Kørsel

Guide til IT-afdelingen: Test af DANBIO6 Kiosksystem

Kom hurtigt og godt i gang med WebPatient. Vægtkontrol

Vejledning. I opretning af brugere (Administrator) og operatører på Webportalen

Kære kollega. De 10 Bud er vores fælles leveregler, når det gælder it-sikkerhed.

Gør det selv. Vejledning. Skift adgangskode til Norddjurs PC og Citrix fra Citrix IT-AFDELINGEN

AFTALE OM DATASIKKERHED I FORBINDELSE MED GODKENDELSE AF PRIVATE LEVERANDØRER UNDER FRIT VALGS-ORDNINGEN

INSTRUKS FOR OFFENTLIG RA

Kom godt i gang med NemID nøgleapp erhverv til bank

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Brugermanual SIF ( ) Side 1/28. Godkendt af: Dato: Dokumentnr.: Projekt: SIF ( )

Installationsvejledning til softphone og app

Multiport åbning vha. mobil APP

BDO s digitale produkter

Dan Rolsted PIT. Side 1

Kom hurtigt og godt i gang med WebPatient. Hjemmeblodtryk

Multiport åbning vha. mobil APP

RAPPORT. Mobilt lånerkort. Brug af smartphone som låner-id. af Mogens Larsen

Denne guide er til at opsætte din Huawei P9 og få den opdateret softwaremæssigt, samt opsætte UCL mail. Huawei P9... 1

Trådløst netværk med private enheder for ansatte og studerende

Vejledning til RKSK s VDI konsulent login løsning juni 2015.

INTEGRATION MED AIA-ANLÆG

Allerede ved modtagelse af mailen med aktiveringslinket, har du adgang.

Introduktion til ændringerne ifm. overgangen til MitID og NemLog-in3

Transkript:

Signaturgruppens NSIS program Hvad er en NSIS to-faktor løsning? NSIS er den nye standard, der supplerer NemID medarbejdersignatur fremadrettet, når medarbejderne skal på nationale tjenester, som behandler følsomme data. For at blive compliant med NSIS sikringsniveauerne betydelig og høj (også benævnt Assurance level 3 og 4 i refererende dokumenter fra f.eks. AULA og fælleskommunal rammearkitektur), skal organisationerne årligt indlevere en revisionserklæring fra en uafhængig statsautoriseret revisor om overholdelsen af NSIS standardens krav. Revisionserklæringen skal suppleres af en ledelseserklæring. For NSIS sikringsniveau betydelig og høj er der endvidere krav om, at brugerne identificerer sig ved hjælp af en tofaktor løsning med faktorer fra to forskellige af de tre kategorier: noget kun brugeren ved, noget kun brugeren har og noget kun brugeren er. Der har endnu ikke etableret sig en best practise i markedet for hvorledes disse to-faktor løsninger kan realiseres teknisk, og der er derfor forskellige tolkninger af, hvilke løsninger der kan opfylde NSIS kravene. Dette dokument giver Signaturgruppens bud på hvilke typer løsninger, der sandsynligvis kan opfylde to-faktor kravene og hvilke der sandsynligvis ikke vil kunne. NSIS kravene til to-faktor løsning Herunder vises de centrale krav fra NSIS version 2.0. NSIS 2.0 afsnit 3.2.1 ser for niveau betydelig således ud: NSIS 2.0 afsnit 3.2.1 betydelig anvendelse af to faktorer fra forskellige kategorier I NSIS vejledningen til dette punkt, gives der yderligere instruktioner, som vist herunder: Side 1

NSIS 2.0 vejledning til afsnit 3.2.1 betydelig om de to faktorer Ambitionen med sikringsniveau betydeligt er altså, at et identitetstyveri skal forudsætte, at angriberen skal kunne stjæle to af brugerens faktorer af forskellige kategorier. Ambitionen er også, at der er samme høje beskyttelse imod kollegaer, administratorer og superbrugere, hvilket stiller store krav til processer omkring registrering, udlevering og supportsituationer som reset af glemt password. På sikringsniveau betydelig må en kollega altså ikke kunne låne en anden kollegas identitet blot ved at låne eller gætte et eller flere af brugerens passwords. Hvad er en to-faktor løsning, og hvad er ikke en to-faktor løsning? Herunder oplistes en række eksempler på tekniske identifikationsløsninger. Rækkefølgen er valgt efter Signaturgruppens vurdering af den tekniske sikkerhedsstyrke af løsningen, således at de mest usikre nævnes først og de mest sikre sidst. I højre kolonne angives hvilket NSIS sikringsniveau Signaturgruppen vurderer løsningen kan understøtte, såfremt alle øvrige NSIS krav til det relevante sikringsniveau også er opfyldte i organisationen. Identifikations faktorer password Beskrivelse Sikkerheds-karakteristika NSIS niveau Traditionel anvendelse af Kan udlånes, gættes, stjæles med Lav (2) personligt brugernavn og keyloggere og resettes af password med almindelige IT superadministratorer. sikkerhedspolitikker. Side 2

password fra sikret netværk password samt SMS password til aktivering af medarbejdersignatur på central server på sikret netværket password fra personligt device (Desktop, tablet etc.) Anvendelse af brugernavn og password samt bekræftelse fra personlig smartphone Anvendelse af personligt brugernavn og password fra et sikkert virksomhedsnetværk med fysisk og logisk adgangskontrol En meget udbredt sikkerhedsløsning i dag. Almindelig løsning anvendt i dag. En løsning der findes fra flere leverandører, herunder Signaturgruppens SoloID En løsning der findes fra flere leverandører, herunder Signaturgruppens SoloID Alle brugere på netværket kan låne eller forsøge at gætte en brugers password. Superadministratorer kan resette password og overtage identitet. Kan angribes i telenetværk, hos eksterne tele-leverandører og hos brugeren. Standardiseringsorganisationerne er begyndt at udfase løsningen, da SMS er svære at beskytte og har angrebsflader i netværk, hos operatører og hos slutbrugerne. Særlig opmærksomhed kræves omkring sikker registrering og vedligehold af mobilnumre. Alle brugere på netværket kan låne eller forsøge at gætte en brugers password. Superadministratorer kan resette password og overtage identitet. Der kan dog laves særlige logninger og begrænsninger af anvendelse. Hvis det personlige device er registreret sikkert til brugeren, skal en angriber både gætte password og skaffe sig adgang til device, altså to faktorer fra forskellige kategorier. Devices med TPM chip kan certificeres højere. Særlig opmærksomhed kræves overfor superadministratorer, registreringsprocesser og brugerens kontrol over device. Hvis den personlige smartphone er registreret sikkert til brugeren, skal en angriber både gætte password og stjæle smartphone, altså to faktorer fra forskellige kategorier. Smartphones med hardware nøglebeskyttelse kan certificeres højere. Lav (2) Lav/Betydelig (2-3) Lav/Betydelig (2-3) Betydelig (3) Betydelig (3) Side 3

Særlig opmærksomhed kræves overfor superadministratorer og registreringsprocesser. Det kan sikres at smartphone er beskyttet med login. Anvendelse af brugernavn og password samt bekræftelse med engangskode fra nøgleviser/nøglekort Anvendelse af brugernavn og password med bekræftelse fra FIDO U2F nøgle En løsningsmodel som blandt andet anvendes til NemID privat. Anvendelse af U2F nøgler understøttes af flere cloud service leverandører herunder Google og fås også til Signaturgruppens SoloID. Stærk kryptografisk sikring af selvstændig fysisk nøgle. Særlig opmærksomhed kræves overfor superadministratorerl, registreringsprocesser, brugerens kontrol over engangskode enhed og brugerens opmærksomhed omkring phishing risiko. Meget sikker løsning som også beskytter imod phishing. Stærk kryptografisk beskyttelse af selvstændig fysisk nøgle. Særlig opmærksomhed kræves overfor superadministratorer, registreringsprocesser og slutbrugeres bevaring af kontrol over U2F nøglen, så den ikke blot sidder i en desktop PC hele tiden, også når brugeren ikke er tilstede. Betydelig (3) Høj (4) Anvendelse af to faktorer fra samme enhed Intuitivt er det naturligt at tænke, at de to identifikationsfaktorer skal komme fra to fysisk adskilte enheder. Den klassiske engangskode-viser, som har været anvendt i mange hjemme-arbejdsplads løsninger er for eksempel en selvstændig fysisk enhed, som brugeren bærer med sig. NemID Nøglekortet er et andet eksempel. NemID understøtter også anvendelsen af NemID nøgleapp i stedet for nøglekort. Når man indtaster NemID bruger-id og password i sin mobilbrowser og derefter godkender med NemID nøgleapp på samme mobil, anvender man de to faktorer fra samme enhed. Side 4

NemID nøgleapp understøtter to faktorer fra samme enhed. Tilslutning af chipkort til desktop PC er et andet klassisk eksempel som opfattes som en sikker to-faktor løsning. Men almindeligvis afgives brugerens password OG pinkoden til chipkortet fra desktoppen, og dette betyder, at en keylogger vil kunne fange begge koder, med fare for at en angriber kan afvikle valide transaktioner fra brugerens desktop, når brugeren har isat chipkort. Det centrale i NSIS er brugerens mulighed for at bevare ene-kontrollen over identifikationsfaktorerne, og ovenstående eksempel med chipkortet illustrerer at dette afhænger af flere forskellige omstændigheder ved løsningerne. Så hvordan kan man lave en to faktor løsning fra ét device? I vejledningen til høringsversionen til NSIS 2.0 beskrives det i afsnit 3.2.1, hvorledes smartphones med hardwarenøglebeskyttelse vil kunne certificeres til niveau høj. Udklip af afsnit 3.2.1 i vejledning til NSIS 2.0 høring Smartphone med SE på niveau høj I sammenligning med chipkortløsning kan man tænke på en smartphone med hardware nøglebeskyttelse som en enhed, hvor chipkortet er fast monteret. I stedet for at brugeren beskytter chipkortet, bevarer brugeren kontrollen over hele smartphonen inkl. hardware nøgle-beskyttelsesenhed. Side 5

I ovenstående tabel over Signaturgruppens vurdering af styrke af identifikationsløsninger, har vi derfor også scoret anvendelse af brugernavn og password fra personligt device eller smartphone op på niveau betydeligt. Dette forudsætter, at device registreres sikkert til brugeren, samt at brugeren har mulighed for at beskytte dette device imod at andre kan tilgå det. Bemærk at det altså vil være muligt at opnå niveau betydelig ved at tilgå en løsning fra brugerens personlige device. Hvad anbefaler Signaturgruppen? Figuren herunder viser de vigtigste løsningsvarianter med Signaturgruppens SoloID. Figur: Vigtigste løsningsvarianter for SoloID SoloID Sikker som NemID, let som SMS Side 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback