Systemy pojedynczego logowania (Single Sign-On)

Podobne dokumenty
Oracle COREid Federation Przegląd

Projektowanie obiektowe oprogramowania Wykład 14 Architektura systemów (1), Interoperability Wiktor Zychla 2013

Rozproszone systemy uwierzytelniania użytkowników

Wykorzystanie SAML 2.0 w systemie epuap

The OWASP Foundation Session Management. Sławomir Rozbicki.

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

Księgarnia PWN: Jan De Clercq, Guido Grillenmeier - Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

Węzeł Krajowy. Krzysztof Biniek. Zapraszam na prezentację

Wykorzystywanie plików cookies

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

NetIQ Access Manager. Broszura informacyjna. Kontrola dostępu, zarządzanie regułami, zapewnienie zgodności.

Polityka prywatności serwisu

Serwis realizuje funkcje pozyskiwania informacji o użytkownikach i ich zachowaniach w następujący sposób:

Cemarol Sp. z o.o. Polityka prywatności (pliki cookies) 1. Informacje ogólne.

Rozwój portalu PUE integracja z Systemami Obiegu Dokumentów (SOD) JST

POLITYKA PRYWATNOŚCI SERWIS:

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Cookie Policy. 1. Informacje ogólne.

OWASP. The Open Web Application Security Project. OWASP Top rc1. Dziesięć najbardziej krytycznych zagrożeń w web aplikacjach

Warstwa ozonowa bezpieczeństwo ponad chmurami

(Pluggable Authentication Modules). Wyjaśnienie technologii.

Wprowadzenie do Active Directory. Udostępnianie katalogów

Federacja zarządzania tożsamością PIONIER.Id

Metody uwierzytelniania klientów WLAN

Sklep Internetowy (HTML/xHTML, CSS, JavaScript, PHP, MySQL)

Bezpieczeństwo aplikacji internetowych

Zaawansowane uwierzytelnianie. Bezpieczeństwo, czy wygoda?

Maciej Byczkowski ENSI 2017 ENSI 2017

Wyzwania. Rozwiązanie

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Potwierdzanie tożsamości w cyfrowym świecie VII Konferencja i Narodowy Test Interoperacyjności Podpisu Elektronicznego CommonSign 2017

Obsługa incydentów bezpieczeństwa: część I, z punktu widzenia menadżera. OWASP The OWASP Foundation

Kontrola dostępu w ASP.NET

Zabezpieczanie platformy Windows Server 2003

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Zastosowania PKI dla wirtualnych sieci prywatnych

Bezpieczeństwo systemów komputerowych.

POLITYKA COOKIES SERWISU CARDINA.PL

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Serwis nie zbiera w sposób automatyczny żadnych danych, z wyjątkiem danych zawartych w plikach cookies podczas samego korzystania z Witryny.

POLITYKA PRYWATNOŚCI SERWISU

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

REFERAT O PRACY DYPLOMOWEJ

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

Obowiązek informacyjny RODO

Plugin Single Sign On Wersja 1.2. Przewodnik koncepcyjny

POLITYKA PRYWATNOŚCI

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Instrukcja założenia konta na epuap oraz złożenie wniosku o profil zaufany

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

11. Autoryzacja użytkowników

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

POLITYKA PRYWATNOŚCI ORAZ POLITYKA PLIKÓW COOKIES W Sowa finanse

Profesjonalne Zarządzanie Drukiem

1. WSTĘP 2 2. BEZPIECZEŃSTWO DOSTĘPU I KOMUNIKACJI 3 3. BEZPIECZEŃSTWO ZLECEŃ 6 4. PROCEDURA AKTYWACJI LOGI SYSTEMOWE DALSZE INFORMACJE 11

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Wspólna propozycja w ramach porozumienia z dnia

Jak efektywnie i bezpiecznie zarządzać toŝsamością uŝytkowników przy jednoczesnym ułatwieniu korzystania z systemów i aplikacji IBM Corporation

II. PRZETWARZANIE DANYCH OSOBOWYCH:

Protokół DHCP. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

POLITYKA PRYWATNOŚCI

17-18 listopada, Warszawa

Bezpieczeństwo poczty elektronicznej

Snifery wbudowane w Microsoft Windows

POLITYKA PLIKÓW "COOKIES"

HCI Human Computer Interaction

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

Bazy danych i usługi sieciowe

Polityka prywatności

Jednym z najważniejszych zagadnień, z którym może się zetknąć twórca

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Wartośćrozwiązań Identity&Access Governance dla sektora bankowego

Polityka prywatności Spółdzielni Mieszkaniowej Słoneczny Stok

Nowe zasady dotyczące cookies

Berlin, 5-6 maja 2003 r.

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Ataki na aplikacje WWW. Łomem, czy wytrychem? Jak dobrać się do aplikacji WWW

IDENTYFIKATOR NAUKOWCA

Serwer aplikacji VISO WEB. Instrukcja obsługi

Dokumentacja użytkownika systemu wnioskowania i zarządzania certyfikatami BPTP O3 w systemie ITIM Wersja 2.1

INSTRUKCJA OBSŁUGI. instrukcja do kamer serii EVI

Polityka prywatności dla strony ELCEN Sp. z o.o. z siedzibą w Gdyni

Windows Serwer - Podstawowe pojęcia

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Bezpieczeństwo w pracy zdalnej. pawel.krawczyk@hush.com

Platforma Office 2010

Integracja komunikatora opartego o protokół XMPP z dużym portalem internetowym

Rejestracja użytkownika Bentley Często zadawane pytania techniczne

Wprowadzenie do sieciowych systemów operacyjnych. Moduł 1

PLATFORMA COMARCH SECURITY. Rozwiązania Comarch dla bezpiecznego urzędu

Transkrypt:

Systemy pojedynczego logowania (Single Sign-On) Opiekun pracy: prof. dr hab. inż. Zbiegniew Kotulski 24 stycznia 2011

Plan prezentacji 1. Wprowadzenie 2. Motywacja 3. Zagrożenia 4. Prywatność 5. Przykładowe rozwiązania 6. Problemy

Wprowadzenie (1/3)

Wprowadzenie (2/3) samodzielne implementwanie mechanizmów uwierzytelnienia jest trudne zalecane jest korzystanie z gotowych rozwiązań następstwa dziurawych mechanizmów: przechwycenie sesji kradzież hasła kradzież tożsamości!!!

Wprowadzenie (3/3) Pojedyncze logowanie ( Single Sign-On ) Proces uwierzytelnienia podmiotu, który pozwala na jednokrotne wprowadzenie danych uwierzytelniających (np. login i hasło ), a następnie na dostęp usług bez ponownego wprowadzania tych danych. jednokrotne logowanie brak potrzeby uwierzytelnienia do każdej usługi oddzielnie

Motywacja - Dlaczego stosować SSO?

Motywacja - Dlaczego stosować SSO? dużo haseł do wielu systemów = słabe hasła

Motywacja - Dlaczego stosować SSO? dużo haseł do wielu systemów = słabe hasła kosztowna infrastruktura, administracja (problem szczególnie w organizacjach)

Motywacja - Dlaczego stosować SSO? dużo haseł do wielu systemów = słabe hasła kosztowna infrastruktura, administracja (problem szczególnie w organizacjach) problem utraty uprawnień

Motywacja - Dlaczego stosować SSO? dużo haseł do wielu systemów = słabe hasła kosztowna infrastruktura, administracja (problem szczególnie w organizacjach) problem utraty uprawnień oszczędność czasu

Motywacja - Dlaczego stosować SSO? dużo haseł do wielu systemów = słabe hasła kosztowna infrastruktura, administracja (problem szczególnie w organizacjach) problem utraty uprawnień oszczędność czasu lepsze zarządzanie tożsamością

SSO - Zagrożenia

SSO - Zagrożenia key to castle

SSO - Zagrożenia key to castle single point of failure (DoS)

SSO - Zagrożenia key to castle single point of failure (DoS) ryzykowna wymiana danych uwierzytelniających pomiędzy stronami

SSO - Zagrożenia key to castle single point of failure (DoS) ryzykowna wymiana danych uwierzytelniających pomiędzy stronami syndrom Big Brothera

SSO, a prywatność (1/3) PII - Personally identifiable information jednoznacznie wskazują na osobę mogą być użyte do stworzenia połączenia, kontaktu, lub zlokalizowaniu osoby której ta informacja dotyczy cechy i preferencje osoby

SSO, a prywatność (2/3)

SSO, a prywatność (3/3) Dane osobowe chronione przez prawo cenne rzadko świadomie zarządzane Systemy informacyjne zgodne z prawem przetwarzanie danych osobowych umożliwienie kontroli nad swoimi danymi

Stosowane rozwiązania w praktyce wiele Identity Providerów (IdP) wspólne wylogowanie (Single Sign-Off) - wylogowanie z jednej usługi powinno implikować wylogowanie ze wszystkich zalogowanych w ramach jednego IdP komunikacja za pomocą protokołu HTTP (Page Redirect, sniffing! )

Przykłady rozwiązań systemów SSO (1/4) Windows Live ID zorientowane na produkty firmy Microsoft scentralizowane Windows Live ID Web Authentication SDK

Przykłady rozwiązań systemów SSO (2/4) Liberty Alliance Identity Federation Framework Circle of Trust SAML (ang. Security Assertion Markup Language)

Przykłady rozwiązań systemów SSO (3/4) Liberty Alliance Identity Federation Framework

Przykłady rozwiązań systemów SSO (4/4) Open ID decentralizacja - identyfikator jest równocześnie adresem serwera kontrola prywatności - użytkownik wskazuje, jakie informacje może pobrać serwis dużo IdP, a mało chętnych

Weakest Link Attack (1/2)

Weakest Link Attack (2/2)

Problemy W jaki sposób przypisywać poziom bezpieczeństwa dla poszczególnej usługi? Integracja z dostawcami usług (nieuczciwy dostawca, phishing). Kontrola prywatności. Stosowanie cookie (global cookie, local cookie, circle of trust z jednego DNS ) URL Rewriting

Praca magisterska 1. Analiza rozwiązań. 2. Propozycje modyfikacji. integracja systemu z dostawcą usług profile prywatności profile bezpieczeństwa 3. Implementacja prototypu.

Dziękuję za uwagę

Bibliografia 1. Yuen-Yan Chan, Weakest Link Attack on Single Sign-On and Its Case in SAML V2.0 Web, COMPUTATIONAL SCIENCE AND ITS APPLICATIONS - ICCSA 2006 Lecture Notes in Computer Science, 2006 SSO. 2. OWASP Top 10, 2010 The OWASP Foundation. 3. Liberty ID-FF Implementation Guidelines, Liberty Alliance Project.