Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Method for evaluating authentication system quality Morten Sporild.

Liknende presentasjoner


Presentasjon om: "Method for evaluating authentication system quality Morten Sporild."— Utskrift av presentasjonen:

1 Method for evaluating authentication system quality Morten Sporild

2 Hva er autentisering? Bekrefte en brukers påståtte identitet 3 grunnleggende måter: ◦ Noe man vet ◦ Noe man har ◦ Noe man er ◦ (Hvor man er?) Ofte en kombinasjon av disse

3 Oppgavens problemstillinger Hvordan måler man hvilket autentiseringssystem som er best? Hvilke autentiseringsmetoder benytter større norske firma?

4 Hvordan måle nivå på informasjonssikkerheten? Kan måles vha. metrikker Hva er metrikker? ◦ Kvantitative resultater NIST (National Institute of Standards and Technology)

5 Mal for metrikker Lagt til validitet og pålitelighet Hvorfor? Hva er de to? Metric ID Forkortet navn Name Fullt navn. Performance Goal Hva skal metrikken prestere. Metric Hva skal metrikken måle. Purpose Formålet med å benytte denne metrikken. Implementation evidence Spørsmål for å underbygge formålet. Frequency Frekvensen på hvor ofte metrikken skal utføres. Formula Formel for utfallet av metrikken. Hvordan man får det kvantitative resultatet. Data source Hvilke kilder henter man data fra? Indicator Hva forsøker metrikken å presentere? Reliability Er metrikken motstandsdyktig mot tilfeldige feil i målingene? Validity Måler vi det vi tror vi måler?

6 Informasjonssikkerhetens dilemma Sikkerhet vs brukervennlighet Metrikkene delt opp i to kategorier som reflekterer dette. 3 metrikker for sikkerhet 3 metrikker for brukervennlighet

7 Metrikker for sikkerhet i autentiseringssystemer (M-1) Sikre og effektive autentiseringsmetoder No authentication0 points Username/password1 point Smartcard authentication1 point Biometric authentication2 points Smartcard/secret combination3 points One-time passwords (OTP)/secret combination3 points Smartcard/biometric combination4 points Combination of something you know, have and are5 points

8 Metrikker for sikkerhet i autentiseringssystemer (M-2) Sikkerhet i klient-server kommunikasjonen No encryption or authentication0 points Encryption algorithm1 point Authentication algorithm1 points Key size0-3 points Proprietary algorithms. No points for key size. 1 point

9 Metrikker for sikkerhet i autentiseringssystemer (M-3) Påloggingsprosedyrer If error condition arises, the system does not indicate which part of the data is correct or un-correct. Limit number of unsuccessful logon attempts with one or more of the following consequences; time delay until next possible authentication attempt, recording unsuccessful attempts, disconnect connection, alarm trap. Limit the maximum allowed log-on time. Does the system display the following information on completion of successful authentication attempts: Date and time of last successful authentication and detail on any unsuccessful attempts All users have their own unique identifier which is for personal use only.

10 Metrikker for brukervennlighet i autentiseringssystemer (M-4) Brukervennlighet i autentiseringsmetoden No authentication5 points Biometric authentication4 points Smartcard authentication3 point Smartcard/biometric combination2 points Username/password1 point OTP/secret combination1 point Smartcard/secret combination1 points Combination of something you know, have and are0 points

11 Metrikker for brukervennlighet i autentiseringssystemer (M-5) Brukernes oppfattning ◦ Læringskurve ◦ Antall feil Easy 2,5 [ ] 2 [ ] 1,5 [ ] 1 [ ] 0,5 [ ] 0 [ ] Difficult

12 Metrikker for brukervennlighet i autentiseringssystemer (M-6) Hastighet ved bruk Antall sekunder[ ] Brukernes vurdering av tidsbruken Akseptabelt 0 [ ] 1 [ ] 2 [ ] 3 [ ] 4 [ ] 5 [ ] uakseptabelt

13 Beregning av resultater Sikkerhet = (M1 x, M2 y, M3 z ) Brukervennlighet = (M4 x, M5 y, M6 z ) Idealpunkt= (5 x, 5 y, 5 z ) Avstand fra idealpunktet - Euclids algoritme

14 Spørreundersøkelse Sendt en rekke større norske firma Kun mottatt et fåtall svar. Ømtåelig tema? Leveringsfrist utsatt til for å produsere resultater og trekke konklusjoner.

15 Fremtidig arbeid Bedre validitet for M-2 ved å lage en liste over sterke vs svake algoritmer Flere metrikker eller indikatorer for hver kategori?


Laste ned ppt "Method for evaluating authentication system quality Morten Sporild."

Liknende presentasjoner


Annonser fra Google