SlideShare ist ein Scribd-Unternehmen logo

Identiteit & Authenticatie voor UMCs SIG Informatie Beveiliging IAM themadag - 19 sept 2011

W
wegdam

Voor de Identity & Access Management themadag van de Special Interest Group Informatie Beveiliging van de UMCs. Dit was op 19 september 2011, met security officers en andere geinteresseerde profesionals van de UMCs en grote Nederlandse ziekenhuizen. Lokatie was UMCU.

1 von 20
9/27/2011 Identiteit & authenticatie SIG IB SIG-IB IAM themadag Maarten Wegdam 19 september @ UMC Utrecht Met input van Martijn Oostdijk, Bob Hulsebosch 2 1
9/27/2011 [Healthcare professionals’ experiences with EHR-System access 3 control mechanisms. A. Faxvaag a.o., IMEI 2011] not-for-profit ICT voorheen Telematica onderzoeksinstituut Instituut multidisciplinair, ~50 innovatieprojecten onderzoekers/advisors identity, principal researcher, p privacy, trust y, lid MT Maarten Wegdam gepromoveerd in CV: KPN Research, Informatica (RuG, UT) Bell Labs, UD@UT 4 2
9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance 5 Principes van authenticatie Binden van geb u e gebruiker Tamper resistent Multi-factor hardware Sterke crypto Multi-channel Gebaseerd op [M. Oostdijk (Novay) , Authenticatiemiddelen: 6 Stand van zaken, 2010] 3
9/27/2011 Indeling authn middelen knowlegde based PKI token weet software token hebt bent biological OTP token behavioral challenge response token 7 Mobile-centric identity Mobiel als authenticatiemiddel ob e a s aut e t cat e dde • Personal device • Altijd bij je • Geen (weinig) additionele hardware kosten • Tweede (?) kanaal • Diversiteit telefoon platformen … Authenticatie voor mobiele diensten • Usability uitdagingen, bv wachtwoorden • Geen tweede kanaal meer 8 4
9/27/2011 Vier types van mobiele authn SMS one-time-passwords p Mobile apps, bv OTP generators of tiQR SIM-based, bv Mobile PKI SIM augmented token (sticker) 9 SMS One-time-password • Makkelijk bekend & mature Makkelijk, • Variabele kosten, ~5ct per SMS • Minder veilig voor mobiele diensten, geen 2de kanaal meer • Threats voor mobiele platformen nemen toe • GSM encryptie niet meer veilig (SMS interception) → in ieder geval de perceptie 10 5
9/27/2011 Mobile apps • Goedkoop  • Alleen voor smartphones, platform issues … • Bv Versign VIP 11 • Gebruikersvriendelijker voorbeeld van Mobile App • Mobile App gedraagt zich als authenticatie-token • “Handsfree” – geen codes overtypen maar gebruik van 2D-barcodes (QR) en Internet • Open source en standaard gebaseerd (OATH) • Zie: https://tiqr.org/ 12 6
9/27/2011 13 Mobile PKI • Challenge response via SMSjes Challenge-response • Gebruikt SIM als secure element • Afhankelijk van de operator: “huur” van ruimte op de SIM kaart • Vereist in NL een SIM swap: duur • Werkt op alle mobieltjes • Vrij gebruikersvriendelijk 14 7
9/27/2011 Mobile PKI [M. Oostdijk e.a., Mobile PKI, inloggen en ondertekenen met 15 je mobiel, PviB juli 2010, Novay & SURFnet] SIM augmented token (sticker) DP Nano contact plate DP Nano chip SIM contact plate Serial number 16 8
9/27/2011 SIM augmented token (sticker) • Sticker met embedded chip tussen SIM kaart en telefoon • Stikker bevat SIM apps • Geen afhankelijkheden mobiele operator ! • Geïmplementeerd in VASCO Digipass Nano product • Event-based one-time-password (TAN) • Vrij gebruikersonvriendelijk [M. Oostdijk, M. Wegdam, Evaluation VASCO Digipass 17 Nano, Mei 2011, in opdracht van SURFnet] Context & authn/authz? Context als vierde factor • Extra zekerheid, bijvoorbeeld gebruiker is thuis • Veiliger, goedkoper of makkelijker? • Simpele toepassing is IP-address-al-eerder- gebruikt? Context-enhanced authorization • Context meenemen in autorisatie beslissingen • Bijvoorbeeld: als arts op eerste hulp afdeling is dan toegang tot alle dossiers, anders alleen eigen patienten • Novay recent onderzoeksproject gestart met IBM en een grote bank op dit gebied. 18 9
9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance 19 Verschillende groepen werknemers patiënten/ tië t / keten- k t cliënten partners 20 10
9/27/2011 Patiënten & patiëntportalen Afspraken, EDP, eHealth • 25 leveranciers • 14 gebruiken eigen gebruikersnaam/wachtwoord, o.a. UMCU, UMC Radboud, AZM • 1 eigen gebruikersnaam/wachtwoord + SMS • 1 eigen gebruikersnaam/wachtwoord en face-2-face controle • 4 Di iD l DigiD laag ( b ik (gebruikersnaam/wachtwoord), o.a. UMCG / ht d) • 3 DigiD midden (SMS), o.a. Erasmus MC • 2 certificaat met wachtwoord [M. Heldoorn e.a., Patiëntportalen in Nederland, 21 NPCF, Nictiz, mei 2011] Wat is er nodig? • DigiD niveau midden? • Binding d.m.v. GBA adres • SMS one-time-password • Niet goed genoeg voor landelijke EDP, aldus PWC e.a. in 2010 • eNIK to the rescue ???? • Elektronische Nederlandse identiteitskaart • Besluit najaar (?) 2011 • Iedereen heeft er één in 2018 ? • En hoe autorisatie te regelen? bv mantelzorgers [M. Wegdam, e-identity: zorgeloze identificatie van 22 zorgconsumenten, voor Nictiz, april 2010] 11
9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance 23 Gebruiker centraal door hergebruik identiteiten Voorbeeld: identity provider gebruiker relying party 24 12
9/27/2011 Trust framework/ afsprakenstelsels Afspraken waar alle spelers zich aan moeten houden Meer vertrouwen en een gezond ecosysteem • Nieuwe identity providers kunnen toetreden • Dienstenaanbieders kunnen makkelijk gebruik maken van alle identity providers (schaalbaarheid) • Balanceren van belangen van identity providers, dienstenaanbieders en gebruikers • Privacy afspraken • Governance / audits 25 Trust frameworks 26 [OIX website] 13
9/27/2011 Public Key Infrastructures • Ook een vorm van trust framework • Met name voor SSL 27 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance 28 14
9/27/2011 authenticatie registratie betrouw- middel p proces baarheid 29 Levels of Assurance • Standardiseer op discrete levels • Combi technologie EN proces • Voordeel: schaalbaarheid, ontkoppeling • Vier levels [NIST] [STORK] [eHerkenning] Assurance Levels authenticatie 1 2 3 4 1 Level 1 Level 1 Level 1 Level 1 Assurance 2 Level 1 Level 2 Level 2 Level 2 Levels voor registratie 3 Level 1 Level 2 Level 3 Level 3 30 4 Level 1 Level 2 Level 3 Level 4 15
9/27/2011 Four levels no or minimal confidence in the asserted level 1 identity, or no assurance at all. No or minimal assurance medium confidence in the asserted identity level 2: Low assurance high impact, high damages in case of an Level 3: identity misuse. Substantial assurance addresses those services where damage Level 4: caused by an identity misuse might have a High assurance heavy impact. 31 Based on EU STORK D2.3 (B. Hulsebosch a.o., Novay) Voorbeelden (eHerkenning) Geen/minale controle identiteit Gebruikersnaam / wachtwoord G b ik ht d Kopie identiteitsbewijs, aangetekende post SMS OTP, OTP token, certificaat Origineel identiteitsbewijs, controle identiteit bij ontvangst SMS OTP OTP token certificaat OTP, token, Origineel identiteitsbewijs, fysieke verschijning Gekwalificeerd certificaat, PKI Overheid 32 16
9/27/2011 5 take-aways / stellingen Smartcards zijn oud, mobiel is het nieuwe authenticatiemiddel j , Context kan helpen authn & authz beter te maken Hergebruik van externe identiteiten, niet zonder risico maar wel de weg te gaan, zeker voor patiënten en partners Levels of Assurance concept helpt flexibiliteit met controle te combineren bij verschillende (externe) identiteiten Wildgroei op identiteitsoplossingen patientenportalen, neemt de zorgsector dit wel serieus genoeg? 33 Vragen en discussie www.novay.nl | maarten.wegdam@novay.nl | 053-4850414 | @maartenwegdam | http://maarten.wegdam.name (blog) | http://www.linkedin.com/in/wegdam 34 17
9/27/2011 backup 35 Digitale identiteit authenticatie (wachtwoord etc) Attributen Att ib t Pietje Puk Kalverstraat 1 1234AB Amsterdam 11-12-1913 te Amstelveen Man …. 36 18
9/27/2011 Attribuut verificatie 37 Technische (federatie) standaarden convergeren (enigzins) OpenID/ • Web 2 0 / social netwerking 2.0 • OpenID.org en IETF oAuth • OpenID Connect is nieuwe versie • Higher-security SAML • OASIS • Onderwijs, overheid, in-company Others? • Geen significante anderen, op dit moment … 38 19
9/27/2011 NLse identity initiatieven 2010-2011 OpenIDplus.nl OpenIDplus nl eNIK NIK C2G C2B B2G B2B Branche specifiek Digitaal Paspoort (Sivi) C = consumer/citizen B = business 39 G = government 20

Empfohlen

cidSafe project overview (in Dutch!!!)
cidSafe project overview (in Dutch!!!)cidSafe project overview (in Dutch!!!)
cidSafe project overview (in Dutch!!!)wegdam
 
A2 Bforum P1 02 Ka Ho Sl Vincent Naessens E Idea
A2 Bforum P1 02 Ka Ho Sl Vincent Naessens E IdeaA2 Bforum P1 02 Ka Ho Sl Vincent Naessens E Idea
A2 Bforum P1 02 Ka Ho Sl Vincent Naessens E Ideaimec.archive
 
2de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 292de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 29wegdam
 
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakDeel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakIvanti
 
Digitale identiteiten: vertrouwen, identity providers en de toekomst (Novay T...
Digitale identiteiten: vertrouwen, identity providers en de toekomst (Novay T...Digitale identiteiten: vertrouwen, identity providers en de toekomst (Novay T...
Digitale identiteiten: vertrouwen, identity providers en de toekomst (Novay T...wegdam
 
Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel
Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobielNovay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel
Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobielwegdam
 
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...wegdam
 
Presentatie Praktijkdag eHerkenning voor gemeenten (21 mei 2012) - Visie op o...
Presentatie Praktijkdag eHerkenning voor gemeenten (21 mei 2012) - Visie op o...Presentatie Praktijkdag eHerkenning voor gemeenten (21 mei 2012) - Visie op o...
Presentatie Praktijkdag eHerkenning voor gemeenten (21 mei 2012) - Visie op o...eHerkenning
 

Empfohlen

cidSafe project overview (in Dutch!!!)
cidSafe project overview (in Dutch!!!)cidSafe project overview (in Dutch!!!)
cidSafe project overview (in Dutch!!!)wegdam
 
A2 Bforum P1 02 Ka Ho Sl Vincent Naessens E Idea
A2 Bforum P1 02 Ka Ho Sl Vincent Naessens E IdeaA2 Bforum P1 02 Ka Ho Sl Vincent Naessens E Idea
A2 Bforum P1 02 Ka Ho Sl Vincent Naessens E Ideaimec.archive
 
2de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 292de cid safe netwerkbijeenkomst (Dutch, 29
2de cid safe netwerkbijeenkomst (Dutch, 29wegdam
 
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakDeel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpak
Deel I: Bescherm jouw organisatie met een gelaagde anti-phising aanpakIvanti
 
Digitale identiteiten: vertrouwen, identity providers en de toekomst (Novay T...
Digitale identiteiten: vertrouwen, identity providers en de toekomst (Novay T...Digitale identiteiten: vertrouwen, identity providers en de toekomst (Novay T...
Digitale identiteiten: vertrouwen, identity providers en de toekomst (Novay T...wegdam
 
Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel
Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobielNovay Tuesday Update - Digitale identiteiten: herbruikbaar en mobiel
Novay Tuesday Update - Digitale identiteiten: herbruikbaar en mobielwegdam
 
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...
Van irisscan tot kontafdruk- biometrische authenticatie anno 2017 - Heliview ...wegdam
 
Presentatie Praktijkdag eHerkenning voor gemeenten (21 mei 2012) - Visie op o...
Presentatie Praktijkdag eHerkenning voor gemeenten (21 mei 2012) - Visie op o...Presentatie Praktijkdag eHerkenning voor gemeenten (21 mei 2012) - Visie op o...
Presentatie Praktijkdag eHerkenning voor gemeenten (21 mei 2012) - Visie op o...eHerkenning
 
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesB.A.
 
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...wegdam
 
Algemene Telindus ISIT presentatie
Algemene Telindus ISIT presentatieAlgemene Telindus ISIT presentatie
Algemene Telindus ISIT presentatieJohan Beuk
 
1 break out conclusies
1 break out conclusies1 break out conclusies
1 break out conclusiesguest3cf4991
 
1 break out conclusies
1 break out conclusies1 break out conclusies
1 break out conclusiesguest3cf4991
 
Mobiele applicaties in het onderwijs
Mobiele applicaties in het onderwijsMobiele applicaties in het onderwijs
Mobiele applicaties in het onderwijsAnne Jan Roeleveld
 
Vnu waar uw kinderen leven the cloud
Vnu waar uw kinderen leven the cloudVnu waar uw kinderen leven the cloud
Vnu waar uw kinderen leven the cloudInTouchEEIG
 
Biometrische authenticatie methode.pptx
Biometrische authenticatie methode.pptxBiometrische authenticatie methode.pptx
Biometrische authenticatie methode.pptxMaybeDevos
 
Denktank kennissessie identity.next 20 juni 2017
Denktank kennissessie identity.next 20 juni 2017Denktank kennissessie identity.next 20 juni 2017
Denktank kennissessie identity.next 20 juni 2017Frank de Goede
 
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Se
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi SeA2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Se
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Seimec.archive
 
Dirk Vergauwen - Innovatie e-IB
Dirk Vergauwen - Innovatie e-IBDirk Vergauwen - Innovatie e-IB
Dirk Vergauwen - Innovatie e-IBIndigoXperience
 
Mastermail voorjaar-2014
Mastermail voorjaar-2014Mastermail voorjaar-2014
Mastermail voorjaar-2014Mastermate
 
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Flevum
 
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...Facto Magazine
 
Authenticatie
AuthenticatieAuthenticatie
AuthenticatieRichard Claassens CIPPE
 
Introduction GSM Symposium - Ronald Westerlaken
Introduction GSM Symposium - Ronald WesterlakenIntroduction GSM Symposium - Ronald Westerlaken
Introduction GSM Symposium - Ronald WesterlakenFox-IT
 
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafe
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafeDC10 Maarten Wegdam - Management van diensteninnovatie - cidSafe
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafeJaak Vlasveld
 
06. Jan Reitsma, Sensor City Assen
06. Jan Reitsma, Sensor City Assen06. Jan Reitsma, Sensor City Assen
06. Jan Reitsma, Sensor City AssenBig Fellows
 
private GSM roaming from Private Mobility
private GSM roaming from Private Mobilityprivate GSM roaming from Private Mobility
private GSM roaming from Private MobilityVictor La Bree
 
Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011aidanvannes
 
Digital onboarding: selfie-check with passport, a case study
Digital onboarding: selfie-check with passport, a case studyDigital onboarding: selfie-check with passport, a case study
Digital onboarding: selfie-check with passport, a case studywegdam
 
FIDOs place in the identity ecosystem
FIDOs place in the identity ecosystemFIDOs place in the identity ecosystem
FIDOs place in the identity ecosystemwegdam
 

Weitere ähnliche Inhalte

Ähnlich wie Identiteit & Authenticatie voor UMCs SIG Informatie Beveiliging IAM themadag - 19 sept 2011

De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesB.A.
 
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...wegdam
 
Algemene Telindus ISIT presentatie
Algemene Telindus ISIT presentatieAlgemene Telindus ISIT presentatie
Algemene Telindus ISIT presentatieJohan Beuk
 
1 break out conclusies
1 break out conclusies1 break out conclusies
1 break out conclusiesguest3cf4991
 
1 break out conclusies
1 break out conclusies1 break out conclusies
1 break out conclusiesguest3cf4991
 
Mobiele applicaties in het onderwijs
Mobiele applicaties in het onderwijsMobiele applicaties in het onderwijs
Mobiele applicaties in het onderwijsAnne Jan Roeleveld
 
Vnu waar uw kinderen leven the cloud
Vnu waar uw kinderen leven the cloudVnu waar uw kinderen leven the cloud
Vnu waar uw kinderen leven the cloudInTouchEEIG
 
Biometrische authenticatie methode.pptx
Biometrische authenticatie methode.pptxBiometrische authenticatie methode.pptx
Biometrische authenticatie methode.pptxMaybeDevos
 
Denktank kennissessie identity.next 20 juni 2017
Denktank kennissessie identity.next 20 juni 2017Denktank kennissessie identity.next 20 juni 2017
Denktank kennissessie identity.next 20 juni 2017Frank de Goede
 
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Se
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi SeA2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Se
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Seimec.archive
 
Dirk Vergauwen - Innovatie e-IB
Dirk Vergauwen - Innovatie e-IBDirk Vergauwen - Innovatie e-IB
Dirk Vergauwen - Innovatie e-IBIndigoXperience
 
Mastermail voorjaar-2014
Mastermail voorjaar-2014Mastermail voorjaar-2014
Mastermail voorjaar-2014Mastermate
 
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Flevum
 
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...Facto Magazine
 
Introduction GSM Symposium - Ronald Westerlaken
Introduction GSM Symposium - Ronald WesterlakenIntroduction GSM Symposium - Ronald Westerlaken
Introduction GSM Symposium - Ronald WesterlakenFox-IT
 
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafe
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafeDC10 Maarten Wegdam - Management van diensteninnovatie - cidSafe
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafeJaak Vlasveld
 
06. Jan Reitsma, Sensor City Assen
06. Jan Reitsma, Sensor City Assen06. Jan Reitsma, Sensor City Assen
06. Jan Reitsma, Sensor City AssenBig Fellows
 
private GSM roaming from Private Mobility
private GSM roaming from Private Mobilityprivate GSM roaming from Private Mobility
private GSM roaming from Private MobilityVictor La Bree
 
Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011aidanvannes
 

Ähnlich wie Identiteit & Authenticatie voor UMCs SIG Informatie Beveiliging IAM themadag - 19 sept 2011 (20)

De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en DevicesDe verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
De verschillende beveiligingsrisico’s van mobiele toepassingen en Devices
 
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...
Banken als identiteitsproviders (BankID, eID Stelsel) - PIMN / ECP bijeenkoms...
 
Algemene Telindus ISIT presentatie
Algemene Telindus ISIT presentatieAlgemene Telindus ISIT presentatie
Algemene Telindus ISIT presentatie
 
1 break out conclusies
1 break out conclusies1 break out conclusies
1 break out conclusies
 
1 break out conclusies
1 break out conclusies1 break out conclusies
1 break out conclusies
 
Mobiele applicaties in het onderwijs
Mobiele applicaties in het onderwijsMobiele applicaties in het onderwijs
Mobiele applicaties in het onderwijs
 
Vnu waar uw kinderen leven the cloud
Vnu waar uw kinderen leven the cloudVnu waar uw kinderen leven the cloud
Vnu waar uw kinderen leven the cloud
 
Biometrische authenticatie methode.pptx
Biometrische authenticatie methode.pptxBiometrische authenticatie methode.pptx
Biometrische authenticatie methode.pptx
 
Denktank kennissessie identity.next 20 juni 2017
Denktank kennissessie identity.next 20 juni 2017Denktank kennissessie identity.next 20 juni 2017
Denktank kennissessie identity.next 20 juni 2017
 
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Se
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi SeA2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Se
A2 Bforum P2 3 Ka Ho Sl Vincent Naessens Wi Se
 
Dirk Vergauwen - Innovatie e-IB
Dirk Vergauwen - Innovatie e-IBDirk Vergauwen - Innovatie e-IB
Dirk Vergauwen - Innovatie e-IB
 
Mastermail voorjaar-2014
Mastermail voorjaar-2014Mastermail voorjaar-2014
Mastermail voorjaar-2014
 
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
Fex 131104 - presentatie louwers ip-technology advocaten - masterclass clou...
 
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
Facto Congres 2017 - Big data en gebouwbeheer: een nieuwe werkelijkheid (Cas...
 
Authenticatie
AuthenticatieAuthenticatie
Authenticatie
 
Introduction GSM Symposium - Ronald Westerlaken
Introduction GSM Symposium - Ronald WesterlakenIntroduction GSM Symposium - Ronald Westerlaken
Introduction GSM Symposium - Ronald Westerlaken
 
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafe
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafeDC10 Maarten Wegdam - Management van diensteninnovatie - cidSafe
DC10 Maarten Wegdam - Management van diensteninnovatie - cidSafe
 
06. Jan Reitsma, Sensor City Assen
06. Jan Reitsma, Sensor City Assen06. Jan Reitsma, Sensor City Assen
06. Jan Reitsma, Sensor City Assen
 
private GSM roaming from Private Mobility
private GSM roaming from Private Mobilityprivate GSM roaming from Private Mobility
private GSM roaming from Private Mobility
 
Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011Secure Comm Algemeen Nl 2011
Secure Comm Algemeen Nl 2011
 

Mehr von wegdam

Digital onboarding: selfie-check with passport, a case study
Digital onboarding: selfie-check with passport, a case studyDigital onboarding: selfie-check with passport, a case study
Digital onboarding: selfie-check with passport, a case studywegdam
 
FIDOs place in the identity ecosystem
FIDOs place in the identity ecosystemFIDOs place in the identity ecosystem
FIDOs place in the identity ecosystemwegdam
 
AWARENESS overview @ closing working - context-aware mobile health (March 2008)
AWARENESS overview @ closing working - context-aware mobile health (March 2008)AWARENESS overview @ closing working - context-aware mobile health (March 2008)
AWARENESS overview @ closing working - context-aware mobile health (March 2008)wegdam
 
#SNRD12 Maak student baas over eigen data
#SNRD12 Maak student baas over eigen data#SNRD12 Maak student baas over eigen data
#SNRD12 Maak student baas over eigen datawegdam
 
Cloud privacy & security - Een verkenning van tools en technieken
Cloud privacy & security - Een verkenning van tools en techniekenCloud privacy & security - Een verkenning van tools en technieken
Cloud privacy & security - Een verkenning van tools en techniekenwegdam
 
XACML pilot at a large Dutch bank, Using XACML to implement context-enhanced ...
XACML pilot at a large Dutch bank, Using XACML to implement context-enhanced ...XACML pilot at a large Dutch bank, Using XACML to implement context-enhanced ...
XACML pilot at a large Dutch bank, Using XACML to implement context-enhanced ...wegdam
 
The user perspective on consent for identity federations (TNC 2011)
The user perspective on consent for identity federations (TNC 2011)The user perspective on consent for identity federations (TNC 2011)
The user perspective on consent for identity federations (TNC 2011)wegdam
 
Consumer and Citizen Identities: Government Issued or Trust Frameworks? (Euro...
Consumer and Citizen Identities: Government Issued or Trust Frameworks? (Euro...Consumer and Citizen Identities: Government Issued or Trust Frameworks? (Euro...
Consumer and Citizen Identities: Government Issued or Trust Frameworks? (Euro...wegdam
 
User controlled privacy voor de SURFfederatie
User controlled privacy voor de SURFfederatieUser controlled privacy voor de SURFfederatie
User controlled privacy voor de SURFfederatiewegdam
 
cidSafe project, 23 September 2010, for EEMA event
cidSafe project, 23 September 2010, for EEMA eventcidSafe project, 23 September 2010, for EEMA event
cidSafe project, 23 September 2010, for EEMA eventwegdam
 
User consent for consumer identity (@ISSE2010)
User consent for consumer identity (@ISSE2010)User consent for consumer identity (@ISSE2010)
User consent for consumer identity (@ISSE2010)wegdam
 
Consumer Identity: a Dutch Perspective on Benefits, Issues and Next Steps (EI...
Consumer Identity: a Dutch Perspective on Benefits, Issues and Next Steps (EI...Consumer Identity: a Dutch Perspective on Benefits, Issues and Next Steps (EI...
Consumer Identity: a Dutch Perspective on Benefits, Issues and Next Steps (EI...wegdam
 
OpenIdplus.nl Proof of Concept uitkomsten (in Dutch)
OpenIdplus.nl Proof of Concept uitkomsten (in Dutch)OpenIdplus.nl Proof of Concept uitkomsten (in Dutch)
OpenIdplus.nl Proof of Concept uitkomsten (in Dutch)wegdam
 
Using ePassports for online authentication - ICT Delta 2010
Using ePassports for online authentication - ICT Delta 2010Using ePassports for online authentication - ICT Delta 2010
Using ePassports for online authentication - ICT Delta 2010wegdam
 
Consumer identity @ Tuesday Update on 1 December 2009
Consumer identity @ Tuesday Update on 1 December 2009Consumer identity @ Tuesday Update on 1 December 2009
Consumer identity @ Tuesday Update on 1 December 2009wegdam
 
User & Mobile Centric Identity
User & Mobile Centric IdentityUser & Mobile Centric Identity
User & Mobile Centric Identitywegdam
 
Identity federation & user centric identity
Identity federation & user centric identityIdentity federation & user centric identity
Identity federation & user centric identitywegdam
 

Mehr von wegdam (17)

Digital onboarding: selfie-check with passport, a case study
Digital onboarding: selfie-check with passport, a case studyDigital onboarding: selfie-check with passport, a case study
Digital onboarding: selfie-check with passport, a case study
 
FIDOs place in the identity ecosystem
FIDOs place in the identity ecosystemFIDOs place in the identity ecosystem
FIDOs place in the identity ecosystem
 
AWARENESS overview @ closing working - context-aware mobile health (March 2008)
AWARENESS overview @ closing working - context-aware mobile health (March 2008)AWARENESS overview @ closing working - context-aware mobile health (March 2008)
AWARENESS overview @ closing working - context-aware mobile health (March 2008)
 
#SNRD12 Maak student baas over eigen data
#SNRD12 Maak student baas over eigen data#SNRD12 Maak student baas over eigen data
#SNRD12 Maak student baas over eigen data
 
Cloud privacy & security - Een verkenning van tools en technieken
Cloud privacy & security - Een verkenning van tools en techniekenCloud privacy & security - Een verkenning van tools en technieken
Cloud privacy & security - Een verkenning van tools en technieken
 
XACML pilot at a large Dutch bank, Using XACML to implement context-enhanced ...
XACML pilot at a large Dutch bank, Using XACML to implement context-enhanced ...XACML pilot at a large Dutch bank, Using XACML to implement context-enhanced ...
XACML pilot at a large Dutch bank, Using XACML to implement context-enhanced ...
 
The user perspective on consent for identity federations (TNC 2011)
The user perspective on consent for identity federations (TNC 2011)The user perspective on consent for identity federations (TNC 2011)
The user perspective on consent for identity federations (TNC 2011)
 
Consumer and Citizen Identities: Government Issued or Trust Frameworks? (Euro...
Consumer and Citizen Identities: Government Issued or Trust Frameworks? (Euro...Consumer and Citizen Identities: Government Issued or Trust Frameworks? (Euro...
Consumer and Citizen Identities: Government Issued or Trust Frameworks? (Euro...
 
User controlled privacy voor de SURFfederatie
User controlled privacy voor de SURFfederatieUser controlled privacy voor de SURFfederatie
User controlled privacy voor de SURFfederatie
 
cidSafe project, 23 September 2010, for EEMA event
cidSafe project, 23 September 2010, for EEMA eventcidSafe project, 23 September 2010, for EEMA event
cidSafe project, 23 September 2010, for EEMA event
 
User consent for consumer identity (@ISSE2010)
User consent for consumer identity (@ISSE2010)User consent for consumer identity (@ISSE2010)
User consent for consumer identity (@ISSE2010)
 
Consumer Identity: a Dutch Perspective on Benefits, Issues and Next Steps (EI...
Consumer Identity: a Dutch Perspective on Benefits, Issues and Next Steps (EI...Consumer Identity: a Dutch Perspective on Benefits, Issues and Next Steps (EI...
Consumer Identity: a Dutch Perspective on Benefits, Issues and Next Steps (EI...
 
OpenIdplus.nl Proof of Concept uitkomsten (in Dutch)
OpenIdplus.nl Proof of Concept uitkomsten (in Dutch)OpenIdplus.nl Proof of Concept uitkomsten (in Dutch)
OpenIdplus.nl Proof of Concept uitkomsten (in Dutch)
 
Using ePassports for online authentication - ICT Delta 2010
Using ePassports for online authentication - ICT Delta 2010Using ePassports for online authentication - ICT Delta 2010
Using ePassports for online authentication - ICT Delta 2010
 
Consumer identity @ Tuesday Update on 1 December 2009
Consumer identity @ Tuesday Update on 1 December 2009Consumer identity @ Tuesday Update on 1 December 2009
Consumer identity @ Tuesday Update on 1 December 2009
 
User & Mobile Centric Identity
User & Mobile Centric IdentityUser & Mobile Centric Identity
User & Mobile Centric Identity
 
Identity federation & user centric identity
Identity federation & user centric identityIdentity federation & user centric identity
Identity federation & user centric identity
 

Identiteit & Authenticatie voor UMCs SIG Informatie Beveiliging IAM themadag - 19 sept 2011

  • 1. 9/27/2011 Identiteit & authenticatie SIG IB SIG-IB IAM themadag Maarten Wegdam 19 september @ UMC Utrecht Met input van Martijn Oostdijk, Bob Hulsebosch 2 1
  • 2. 9/27/2011 [Healthcare professionals’ experiences with EHR-System access 3 control mechanisms. A. Faxvaag a.o., IMEI 2011] not-for-profit ICT voorheen Telematica onderzoeksinstituut Instituut multidisciplinair, ~50 innovatieprojecten onderzoekers/advisors identity, principal researcher, p privacy, trust y, lid MT Maarten Wegdam gepromoveerd in CV: KPN Research, Informatica (RuG, UT) Bell Labs, UD@UT 4 2
  • 3. 9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance 5 Principes van authenticatie Binden van geb u e gebruiker Tamper resistent Multi-factor hardware Sterke crypto Multi-channel Gebaseerd op [M. Oostdijk (Novay) , Authenticatiemiddelen: 6 Stand van zaken, 2010] 3
  • 4. 9/27/2011 Indeling authn middelen knowlegde based PKI token weet software token hebt bent biological OTP token behavioral challenge response token 7 Mobile-centric identity Mobiel als authenticatiemiddel ob e a s aut e t cat e dde • Personal device • Altijd bij je • Geen (weinig) additionele hardware kosten • Tweede (?) kanaal • Diversiteit telefoon platformen … Authenticatie voor mobiele diensten • Usability uitdagingen, bv wachtwoorden • Geen tweede kanaal meer 8 4
  • 5. 9/27/2011 Vier types van mobiele authn SMS one-time-passwords p Mobile apps, bv OTP generators of tiQR SIM-based, bv Mobile PKI SIM augmented token (sticker) 9 SMS One-time-password • Makkelijk bekend & mature Makkelijk, • Variabele kosten, ~5ct per SMS • Minder veilig voor mobiele diensten, geen 2de kanaal meer • Threats voor mobiele platformen nemen toe • GSM encryptie niet meer veilig (SMS interception) → in ieder geval de perceptie 10 5
  • 6. 9/27/2011 Mobile apps • Goedkoop  • Alleen voor smartphones, platform issues … • Bv Versign VIP 11 • Gebruikersvriendelijker voorbeeld van Mobile App • Mobile App gedraagt zich als authenticatie-token • “Handsfree” – geen codes overtypen maar gebruik van 2D-barcodes (QR) en Internet • Open source en standaard gebaseerd (OATH) • Zie: https://tiqr.org/ 12 6
  • 7. 9/27/2011 13 Mobile PKI • Challenge response via SMSjes Challenge-response • Gebruikt SIM als secure element • Afhankelijk van de operator: “huur” van ruimte op de SIM kaart • Vereist in NL een SIM swap: duur • Werkt op alle mobieltjes • Vrij gebruikersvriendelijk 14 7
  • 8. 9/27/2011 Mobile PKI [M. Oostdijk e.a., Mobile PKI, inloggen en ondertekenen met 15 je mobiel, PviB juli 2010, Novay & SURFnet] SIM augmented token (sticker) DP Nano contact plate DP Nano chip SIM contact plate Serial number 16 8
  • 9. 9/27/2011 SIM augmented token (sticker) • Sticker met embedded chip tussen SIM kaart en telefoon • Stikker bevat SIM apps • Geen afhankelijkheden mobiele operator ! • Geïmplementeerd in VASCO Digipass Nano product • Event-based one-time-password (TAN) • Vrij gebruikersonvriendelijk [M. Oostdijk, M. Wegdam, Evaluation VASCO Digipass 17 Nano, Mei 2011, in opdracht van SURFnet] Context & authn/authz? Context als vierde factor • Extra zekerheid, bijvoorbeeld gebruiker is thuis • Veiliger, goedkoper of makkelijker? • Simpele toepassing is IP-address-al-eerder- gebruikt? Context-enhanced authorization • Context meenemen in autorisatie beslissingen • Bijvoorbeeld: als arts op eerste hulp afdeling is dan toegang tot alle dossiers, anders alleen eigen patienten • Novay recent onderzoeksproject gestart met IBM en een grote bank op dit gebied. 18 9
  • 10. 9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance 19 Verschillende groepen werknemers patiënten/ tië t / keten- k t cliënten partners 20 10
  • 11. 9/27/2011 Patiënten & patiëntportalen Afspraken, EDP, eHealth • 25 leveranciers • 14 gebruiken eigen gebruikersnaam/wachtwoord, o.a. UMCU, UMC Radboud, AZM • 1 eigen gebruikersnaam/wachtwoord + SMS • 1 eigen gebruikersnaam/wachtwoord en face-2-face controle • 4 Di iD l DigiD laag ( b ik (gebruikersnaam/wachtwoord), o.a. UMCG / ht d) • 3 DigiD midden (SMS), o.a. Erasmus MC • 2 certificaat met wachtwoord [M. Heldoorn e.a., Patiëntportalen in Nederland, 21 NPCF, Nictiz, mei 2011] Wat is er nodig? • DigiD niveau midden? • Binding d.m.v. GBA adres • SMS one-time-password • Niet goed genoeg voor landelijke EDP, aldus PWC e.a. in 2010 • eNIK to the rescue ???? • Elektronische Nederlandse identiteitskaart • Besluit najaar (?) 2011 • Iedereen heeft er één in 2018 ? • En hoe autorisatie te regelen? bv mantelzorgers [M. Wegdam, e-identity: zorgeloze identificatie van 22 zorgconsumenten, voor Nictiz, april 2010] 11
  • 12. 9/27/2011 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance 23 Gebruiker centraal door hergebruik identiteiten Voorbeeld: identity provider gebruiker relying party 24 12
  • 13. 9/27/2011 Trust framework/ afsprakenstelsels Afspraken waar alle spelers zich aan moeten houden Meer vertrouwen en een gezond ecosysteem • Nieuwe identity providers kunnen toetreden • Dienstenaanbieders kunnen makkelijk gebruik maken van alle identity providers (schaalbaarheid) • Balanceren van belangen van identity providers, dienstenaanbieders en gebruikers • Privacy afspraken • Governance / audits 25 Trust frameworks 26 [OIX website] 13
  • 14. 9/27/2011 Public Key Infrastructures • Ook een vorm van trust framework • Met name voor SSL 27 Vier ontwikkelingen Authenticatie middelen: de mobiel en context Werknemers vs patiënten vs partners Externe identiteiten & trust frameworks Levels of Assurance 28 14
  • 15. 9/27/2011 authenticatie registratie betrouw- middel p proces baarheid 29 Levels of Assurance • Standardiseer op discrete levels • Combi technologie EN proces • Voordeel: schaalbaarheid, ontkoppeling • Vier levels [NIST] [STORK] [eHerkenning] Assurance Levels authenticatie 1 2 3 4 1 Level 1 Level 1 Level 1 Level 1 Assurance 2 Level 1 Level 2 Level 2 Level 2 Levels voor registratie 3 Level 1 Level 2 Level 3 Level 3 30 4 Level 1 Level 2 Level 3 Level 4 15
  • 16. 9/27/2011 Four levels no or minimal confidence in the asserted level 1 identity, or no assurance at all. No or minimal assurance medium confidence in the asserted identity level 2: Low assurance high impact, high damages in case of an Level 3: identity misuse. Substantial assurance addresses those services where damage Level 4: caused by an identity misuse might have a High assurance heavy impact. 31 Based on EU STORK D2.3 (B. Hulsebosch a.o., Novay) Voorbeelden (eHerkenning) Geen/minale controle identiteit Gebruikersnaam / wachtwoord G b ik ht d Kopie identiteitsbewijs, aangetekende post SMS OTP, OTP token, certificaat Origineel identiteitsbewijs, controle identiteit bij ontvangst SMS OTP OTP token certificaat OTP, token, Origineel identiteitsbewijs, fysieke verschijning Gekwalificeerd certificaat, PKI Overheid 32 16
  • 17. 9/27/2011 5 take-aways / stellingen Smartcards zijn oud, mobiel is het nieuwe authenticatiemiddel j , Context kan helpen authn & authz beter te maken Hergebruik van externe identiteiten, niet zonder risico maar wel de weg te gaan, zeker voor patiënten en partners Levels of Assurance concept helpt flexibiliteit met controle te combineren bij verschillende (externe) identiteiten Wildgroei op identiteitsoplossingen patientenportalen, neemt de zorgsector dit wel serieus genoeg? 33 Vragen en discussie www.novay.nl | maarten.wegdam@novay.nl | 053-4850414 | @maartenwegdam | http://maarten.wegdam.name (blog) | http://www.linkedin.com/in/wegdam 34 17
  • 18. 9/27/2011 backup 35 Digitale identiteit authenticatie (wachtwoord etc) Attributen Att ib t Pietje Puk Kalverstraat 1 1234AB Amsterdam 11-12-1913 te Amstelveen Man …. 36 18
  • 19. 9/27/2011 Attribuut verificatie 37 Technische (federatie) standaarden convergeren (enigzins) OpenID/ • Web 2 0 / social netwerking 2.0 • OpenID.org en IETF oAuth • OpenID Connect is nieuwe versie • Higher-security SAML • OASIS • Onderwijs, overheid, in-company Others? • Geen significante anderen, op dit moment … 38 19
  • 20. 9/27/2011 NLse identity initiatieven 2010-2011 OpenIDplus.nl OpenIDplus nl eNIK NIK C2G C2B B2G B2B Branche specifiek Digitaal Paspoort (Sivi) C = consumer/citizen B = business 39 G = government 20