2013 BIOMETRICS FOR FREE

38
Credential changing policies and complex passwords are decreasing security

description

AUTHENWARE IS THE LEADEING BIOMETRIC SOLUTION BASED ON KEYSTROKE DYNAMICS AND BEHAVIOUR BIOMETRICS PATTERN. HIGH SECURITY IN THE INTERNET.

Transcript of 2013 BIOMETRICS FOR FREE

Page 1: 2013 BIOMETRICS FOR FREE

Credential changing policies and complex passwords are

decreasing security

Page 2: 2013 BIOMETRICS FOR FREE

• Cybercrime Statistics

• Cybercrime Causes

• Password Complexity Myth

• User name & password paradigm overused

• Forfeiting of personal data

• End user malpractice

• Ideal Technology scenario

• AUTHENWARE, the solution.

Agenda

Page 3: 2013 BIOMETRICS FOR FREE

Cybercrime Statistics- Digital era

• 1.5 Billion wired individuals (over 10 passwords each)

• 6.8 Trillion e-mails sent every day

• 1 Million new Facebook subscribers per day

• 375 Million wireless networks

• 10 Million new web-pages per day

• Every “second” 3 babies are born and 28 mobiles purchased

• Global internet usage growth 356%

Page 4: 2013 BIOMETRICS FOR FREE

Cybercrime Statistics- Hacking Impact

• $ 1.8 trillion in damages to the global economy

• $ 4.6 million loses per company on intellectual property

• US pentagon hacked via Northrop Grumman (29,000)

• RSA (division of EMC) hacked on 3/17 ($ 500M)

• Sony hacked on 4/6…and the list goes on….

• ……14 people hacked per second

• In the US we spend $ 40 dollar on coffee/person and $ 0,025 on security…

Page 5: 2013 BIOMETRICS FOR FREE

1- Credentials Complexity & changing1- Credentials Complexity & changing

3- Forfeiting of personal identification data3- Forfeiting of personal identification data

4- End-user malpractice4- End-user malpractice

Cybercrime Main Causes

2- Username & password paradigm is overused2- Username & password paradigm is overused

5- Lack of innovation5- Lack of innovation

Page 6: 2013 BIOMETRICS FOR FREE

1- Credentials Complexity & changing1- Credentials Complexity & changing

Cybercrime Main Causes

Page 7: 2013 BIOMETRICS FOR FREE

# Techniques to bypass authentication

Are complex passwords a

defense?

Is AuthenWare a defense?

1 Steal Passwords Sometimes YES

2 SQL Injection No YES

3 Cross Site Scripting No YES

4 Steel Data from the browser No YES

5 Privileged Escalation No YES

“The stronger the password the less secure the system”

The list below is not exhaustive, but it shows the pattern. Passwords are not the only means of bypassing authentication. There are several popular techniques, and password complexity plays no role in defending against them…”

Authentication bypassing- Password complexity plays no role

Page 8: 2013 BIOMETRICS FOR FREE

(1) Steal Password (from previous slide) “Password complexity plays no role”

#Techniques to steal passwords

Are complex passwords a

defense?

Is AuthenWare a defense?

1 Brute force guessing Sometimes YES

2 Intelligent guessing Sometimes YES

3 Phishing No YES

4 Sniffing No YES

5 Social engineering No YES

6 Keystroke loggers No YES

7 From browser memory No YES

8 From browser history No YES

9 From Browser refresh No YES

10 Crack database locally Sometimes YES

To a Hacker passwords are strings of characters, if he can access a simple string he can access a complex one just as easily

Page 9: 2013 BIOMETRICS FOR FREE

• (1) Brute force guessing– Antiquated, most systems will only allow a set number of tries before

accounts get locked out. Lockout forces resets and users have hard time recalling new passwords

• (2) Intelligent guessing– While password complexity helps with intelligent guessing the stats

show users need to write down the passwords which significantly decreases security. Guessing windows is small, due to set number of password tries.

• (10) Crack a database locally– If the hacker get a local copy of the database he has all the time in the

world and all tools at his disposal so complexity will only cause a delay in time.

The argument for complex passwords hold little water (from previous slide)

The advantages are few but the decrease in security due to the human factor is high

Page 10: 2013 BIOMETRICS FOR FREE

Gartner - Authentication: Myths and Misconceptions Debunked (see report attached).

“Passwords must be changed every 90 (or even 30) dayspassword aging is a major reason users have difficulty remembering their passwords, yielding operational and security problems namely, a high help desk call volume for password resets (typically peaking in the days just after the change) and the increased likelihood that users will write down their passwords”

Other justifications for this practice are based on weaknesses in other processes or controls that are better remediated in other ways (see the previously cited research and "Management Update: Eight Security Practices Offer More Value Than Password Aging").

Nevertheless, regulations often parrot it, and auditors continue to enforce it, whether or not any germane regulation explicitly requires it. Therefore, it's hard to avoid being a slave to this myth. A few clients report successfully rebutting auditors by quoting the Gartner research cited”

Page 11: 2013 BIOMETRICS FOR FREE

2- User ID & Password overused2- User ID & Password overused

Cybercrime Main Causes

Page 12: 2013 BIOMETRICS FOR FREE

User ID and password overused

• User ID and Password it’s a paradigm we inherited from the mainframe times when systems would only be accessed within the firewall.

• During those days only known and registered individuals would be able to access systems an applications which were just few at the time.

• During the mainframe era there were many users for every single terminal (1 to N), any user who wanted to access a system had to come to a terminal an type a set of “never changing” credentials.

• With the advent of personal computers organizations evolved to one computer for every user (1 to 1), then the internet came along and we opened the back door of our systems so people could access these from the outside…..and still we are sticking with user id and password for accessing these systems!

• Nowadays not only we have a proliferations of systems and applications, we also have proliferations of credentials for every one of these systems but what is worst we got to a situation where every user has a myriad of devices for accessing these systems (N to 1 user)

Page 13: 2013 BIOMETRICS FOR FREE

3- Forfeiting of personal identification data3- Forfeiting of personal identification data

Cybercrime Main Causes

Page 14: 2013 BIOMETRICS FOR FREE

Forfeiting of personal identification data

• It is easy to remember credentials when they are related to something natural like for example:

• user id: peterjohns password: 01031966,

• Then due to a “miss-interpretation” of a SOX Guideline on COBIT information security topics (under section Access & Authentication) we interpreted that we had to change user id’s and passwords every 90 days so credentials got something like this:

• User Id: Pet*)5$2 Password: Lftrd132^@054

• The problem with those unnatural credentials is that we can not possibly remember them so we are forced to write them on papers or files, same that we can easy loose and when we do our security and our Organization’s security gets compromised.

• Security experts from companies like Google, Microsoft, Unisys, CSC, Amazon, just to mention few, agree that changing credentials too often only benefits hackers.

• Changing credentials too often is not only inconvenient but also INSECURE!

• Most Organizations have the “default” Administrator credentials for their Systems and Hardware what makes hacking very easy even to non-experts.

Page 15: 2013 BIOMETRICS FOR FREE

4- End User malpractice4- End User malpractice

Cybercrime Main Causes

Page 16: 2013 BIOMETRICS FOR FREE

End user malpractice

• Users do share credentials with friends, family and co-workers what compromises their security and eventually the Organization’s they work for.

• Users accidentally leave sessions open when they leave their desk for lunch, leave for the day or go for a break (according to Mac -Affee 60% of security breaches happen from within our own organizations).

• Users do not encrypt the files where they store their credentials.

• Users do forget these “unnatural credentials “ we forced them to have, what creates another problem which is PASSWORD RESETING.

• Users trend to access Corporate systems and applications from any device they deem appropriate which we not always can control security (smart phones, tablets, PC’s, Laptops, etc).

• Users care less about security and more about usability therefore they forget to run system checks, anti-virus updates, do timely backups, access through controlled and authorized resources, etc.

Page 17: 2013 BIOMETRICS FOR FREE

5- Lack of innovation5- Lack of innovation

Cybercrime Main Causes

Page 18: 2013 BIOMETRICS FOR FREE

Lack of Innovation

“If you keep doing the same things over and over, you will keep getting the same results over and over”….Albert Einstein

• Changing credentials every 90 or 60 days is not innovation, it’s just pretending to solve a problem with the wrong tools.

• A computer with a digital certificate it’s a passport for whomever get there to do whatever he/she wants, same as granting access to a known device…how do you know that the person behind the device is the rightful user???

• A single point of entry could be a single point of failure (SSO), unless you really have “innovative security”.

• A thief who can not brake into a lock (innovative lock) very quick will most likely go still somewhere else, hacker do the same when they find innovative technology that makes their lives miserable simply because most Companies don’t!!

• Hackers do innovate by nature….do we??

Page 19: 2013 BIOMETRICS FOR FREE

Ideal Technology

• One where the longer we keep the same credentials the more secure the system becomes.

• The less complex the credentials the harder the security to be bridged (user adoption is key for security).

• Security based on the users themselves (who you are instead of something you have –tokens, certificates, otp’s,etc-) no matter where they are coming from.

• Truly identify the person typing the credentials (biometrically).

• Increase security without affecting usability (user friendly).

• Multiple device capabilities for user authentication (mobility) .

• Comply with government regulations (PCI-DSS, SOX, etc).

Page 20: 2013 BIOMETRICS FOR FREE

Ideal Technology (cont)

• Non-invasive architecture (SOA)

• Configurable security levels based on: application, user, transaction

• No need to deploy any type of device, card or even software.

• Easy to integrate with existing applications (web services)

• Transparent enrollment process

• Scalable to millions of users without adding complexity

• Extremely accurate (low False Acceptance Rate and low False Rejection Rate).

Page 21: 2013 BIOMETRICS FOR FREE
Page 22: 2013 BIOMETRICS FOR FREE

Authenware, seguridad biométrica Authenware es un sistema de análisis heurístico que introduce un nuevo concepto

en la naturaleza de la identificación (saber, tener, ser): cómo hacer.

Construye y actualiza un patrón personal cada vez que se introduce por teclado

algún dato específico, por ejemplo usuario y contraseña.

El patrón es comparado con el que existe como referencia en un sistema central, y

su verificación permite actuar en consecuencia.

Page 23: 2013 BIOMETRICS FOR FREE

Authenware, funcionalidades

El patrón personal puede estar formado por:

Cadencia de escritura en el teclado +

Variables de entorno +

versión SO,

tipo de navegador,

dirección IP,

franja horaria de uso,

etc.

Variables de comportamiento personal

uso de tabulador o ratón,

acceso a determinadas funciones de la aplicación,

etc.

Page 24: 2013 BIOMETRICS FOR FREE

EV

OLU

CIÓ

N F

AC

TO

R A

UT

EN

TIC

AC

IÓN

EV

OLU

CIÓ

N F

AC

TO

R A

UT

EN

TIC

AC

IÓN

Evolución de los Sistemas Biométricos

Basados en datos conocidos por el Usuario: Pasword, PIN,….. Basados en datos conocidos por el Usuario: Pasword, PIN,…..

Basados en elementos externos que posee el Usuario: Token, Smart card,.. Basados en elementos externos que posee el Usuario: Token, Smart card,..

Físicos: Huella dactilar, iris, facial,… Físicos: Huella dactilar, iris, facial,…

Parámetros de comportamiento: Cadencias de tecleo, costumbres de uso horarios modales, menús modales,….

Parámetros de comportamiento: Cadencias de tecleo, costumbres de uso horarios modales, menús modales,….

Riesgo de ser copiadosRiesgo de ser copiados

Riesgo de ser ClonadosRiesgo de ser Clonados

Costos altos de desplegarCopiablesNo siempre aceptados por el usuario (preservar intimidad, etc.)

Costos altos de desplegarCopiablesNo siempre aceptados por el usuario (preservar intimidad, etc.)

1. Sistemas basados en elementos externos al usuario

2. Sistemas basados en elementos inherentes al usuario (Biométricos)

EficientesNo copiablesNo predeciblesMuy económicos

EficientesNo copiablesNo predeciblesMuy económicos

Page 25: 2013 BIOMETRICS FOR FREE

Eficacia frente a otros Sistemas Biométricos Authenware se sitúa como uno de los métodos más

seguros respecto al eje comparativo de eficacia /

aceptación / coste.

La tasa de falso negativo depende mucho de la

sensibilidad con la que se use el producto y de la tipología

de la entrada (longitud de la clave, PIN, uso de elementos

auxiliares, etc.)

MediaMediaBajaMediaAltaAltaAltaEstabilidad

Muy altaAltaMuy altaAltaAltaMediaMediaAceptación

MediaMediaMediaAltaAltaMuy altaMuy altaPrevención de ataques

AltaAltaAltaAltaAltaBajaMediaFacilidad de uso

AltaAltaMediaAltaAltaMuy altaMuy altaFiabilidad

CaraVozEscritura y firma

Geometría de la mano

Huellas dactilares

Ojo (Retina)

Ojo (Iris)

Muy alta

Muy alta

Muy alta

Muy alta

Alta

Authenware

Page 26: 2013 BIOMETRICS FOR FREE

Modelo de Procesos

TECLEO DEINFORMACIÓNDE REFERENCIA

GENERACIÓN DEPATRÓN DE REFERENCIA

TECLEO DEINFORMACIÓNCOMPARACIÓN

GENERACIÓN DEPATRÓN DE COMPARACIÓN

COMPARADOR Sí. No.

Proceso de registro Proceso de comparación

ContextoVariables de uso

ContextoVariables de uso

Base de datosde patrones

Page 27: 2013 BIOMETRICS FOR FREE

Modelo de Funcionamiento

Page 28: 2013 BIOMETRICS FOR FREE

Arquitectura de Red

Page 29: 2013 BIOMETRICS FOR FREE

Arquitectura Lógica

Page 30: 2013 BIOMETRICS FOR FREE

Proceso de Implantación de la Solución

Authenware se instala de modo integrado con el sistema de seguridad de cada

compañía.

Debe realizarse un análisis previo de las necesidades a cubrir, un diseño detallado del

alcance de la solución y de los pasos a dar para su implantación.

Instalación del servidor Authenware.

Identificar aplicaciones a securizar y casos de uso.

Identificación de campos a verificar.

Actuaciones sobre las aplicaciones:

Cliente: proteger los campos seleccionados.

Aplicación: reglas de control de identidad y árbol de decisiones de las

acciones a emprender en cada caso.

Configuración del servidor Authenware.

Pruebas de validación y rendimiento.

Puesta en producción / Implantación en clientes y usuarios.

Page 31: 2013 BIOMETRICS FOR FREE

Proceso de Implantación de la Solución: Certificaciones

Evaluación y certificación del IBG (International Biometric Group).

Evaluación en INTECO (Instituto Nacional de Tecnología de la Comunicación –

Ministerio de Industria, Comercio y Turismo).

Certificación Common Criteria (CCC EAL 2 ).

Evaluación por parte de Gartner Group .

Page 32: 2013 BIOMETRICS FOR FREE

Ventajas frente a otros Sistemas Biométricos

En el puesto de trabajo

No necesita hardware adicional para la autorización del acceso (lectores de tarjetas,

sensores para biometría, etc.), tampoco requiere mantenimiento.

No es necesaria la instalación de software adicional en el puesto de autorización,

(JavaScript).

Servidor Authenware

El patrón se genera de forma dinámica adaptándose a los cambios evolutivos naturales

del usuario.

La generación de los patrones es transparente al usuario.

No almacena ninguna información (salvo el propio patrón)

Host / Sistema de Seguridad

Diseñado como un servicio en red.

Page 33: 2013 BIOMETRICS FOR FREE

Escenarios de Servicio: Seguridad

Mejora en la seguridad:

Al ser un nuevo modelo de seguridad para autenticación, protege aspectos que otros

modelos no abordan o lo hacen de forma parcial.

Permite securizar el acceso general a un determinado sistema o activo. Transacciones

específicas de alto riesgo y máxima criticidad pueden ser securizadas sin modificar

ninguna de las condiciones generales de seguridad de la aplicación.

Incorpora un registro centralizado de actuaciones

con independencia del grado de integración de las

aplicaciones sobre las que actúa.

Page 34: 2013 BIOMETRICS FOR FREE

Usabilidad

Mejora de la atención al usuario:

Reduciendo la complejidad (custodia, memorización y uso) de las contraseñas, tarjetas,

tokens, secuencias, etc.. y los circuitos de actualización y distribución.

Facilidad y naturalidad en el uso: Con Authenware cuanto más “natural” sea la actuación

de cada persona, mayor nivel de confianza genera.

Eliminando el uso incorrecto de las mismas.

Aumentando los tiempos para el cambio de las contraseñas,

reduciendo incidencias.

Incorporando mayor confianza en las transacciones

electrónicas.

Page 35: 2013 BIOMETRICS FOR FREE

Ahorro de Costes de Logística

En escenarios con autenticación mediante clave/contraseña, permite aumentar el

periodo de tiempo de permanencia de contraseña con la consiguiente reducción de las

incidencias de usuario y su coste asociado.

En escenarios con autenticación mediante tokens, tarjetas de coordenadas, etc.,

permite reducir la criticidad en la gestión logística de dichos elementos e, incluso,

sustituirlos, lo que supone un notable ahorro en el caso de sistemas muy concurridos y

extendidos.

En escenarios con autenticación mediante biometría, permite sustituir los dispositivos

de captura necesarios para la verificación de identidad así como la gestión logística

asociada. Es de destacar que el coste de la solución prácticamente

no se incrementa cuando aumenta el número de usuarios, al

contrario de lo que ocurre con otros métodos.

Page 36: 2013 BIOMETRICS FOR FREE

Aplicaciones

Como complemento a sistemas de autenticación ya desplegados (tanto sobre

usuario/contraseña como sobre PIN de acceso a tarjeta, tokens, etc.).

Como solución de seguridad para el acceso a recursos protegidos (acceso por

contexto).

Como complemento a sistemas de firma electrónica (basados en PIN Common Criteria,

ejemplo: DNIe).

Como servicio de autenticación para servicios de seguridad gestionados.

Page 37: 2013 BIOMETRICS FOR FREE

Principales Referencias Importante grupo financiero.

Autenticación en portales para “Home Banking” (400.000 usuarios).

Administración Pública de México.

Autenticación en sistemas aduaneros (100.000 usuarios internos).

Importante grupo financiero.

Autenticación en sistema de tarjeta de crédito (2.000.000 usuarios).

Telefónica Ingeniería de Seguridad (TIS).

Sistemas críticos de correlación de eventos de seguridad (Distrito C).

Ministerio de Sanidad y Política Social.

Sistemas de soporte a teletrabajo.

Page 38: 2013 BIOMETRICS FOR FREE