Method for evaluating authentication system quality Morten Sporild

Hva er autentisering? Bekrefte en brukers påståtte identitet 3 grunnleggende måter: ◦ Noe man vet ◦ Noe man har ◦ Noe man er ◦ (Hvor man er?) Ofte en kombinasjon av disse

Oppgavens problemstillinger Hvordan måler man hvilket autentiseringssystem som er best? Hvilke autentiseringsmetoder benytter større norske firma?

Hvordan måle nivå på informasjonssikkerheten? Kan måles vha. metrikker Hva er metrikker? ◦ Kvantitative resultater NIST (National Institute of Standards and Technology)

Mal for metrikker Lagt til validitet og pålitelighet Hvorfor? Hva er de to? Metric ID Forkortet navn Name Fullt navn. Performance Goal Hva skal metrikken prestere. Metric Hva skal metrikken måle. Purpose Formålet med å benytte denne metrikken. Implementation evidence Spørsmål for å underbygge formålet. Frequency Frekvensen på hvor ofte metrikken skal utføres. Formula Formel for utfallet av metrikken. Hvordan man får det kvantitative resultatet. Data source Hvilke kilder henter man data fra? Indicator Hva forsøker metrikken å presentere? Reliability Er metrikken motstandsdyktig mot tilfeldige feil i målingene? Validity Måler vi det vi tror vi måler?

Informasjonssikkerhetens dilemma Sikkerhet vs brukervennlighet Metrikkene delt opp i to kategorier som reflekterer dette. 3 metrikker for sikkerhet 3 metrikker for brukervennlighet

Metrikker for sikkerhet i autentiseringssystemer (M-1) Sikre og effektive autentiseringsmetoder No authentication0 points Username/password1 point Smartcard authentication1 point Biometric authentication2 points Smartcard/secret combination3 points One-time passwords (OTP)/secret combination3 points Smartcard/biometric combination4 points Combination of something you know, have and are5 points

Metrikker for sikkerhet i autentiseringssystemer (M-2) Sikkerhet i klient-server kommunikasjonen No encryption or authentication0 points Encryption algorithm1 point Authentication algorithm1 points Key size0-3 points Proprietary algorithms. No points for key size. 1 point

Metrikker for sikkerhet i autentiseringssystemer (M-3) Påloggingsprosedyrer If error condition arises, the system does not indicate which part of the data is correct or un-correct. Limit number of unsuccessful logon attempts with one or more of the following consequences; time delay until next possible authentication attempt, recording unsuccessful attempts, disconnect connection, alarm trap. Limit the maximum allowed log-on time. Does the system display the following information on completion of successful authentication attempts: Date and time of last successful authentication and detail on any unsuccessful attempts All users have their own unique identifier which is for personal use only.

Metrikker for brukervennlighet i autentiseringssystemer (M-4) Brukervennlighet i autentiseringsmetoden No authentication5 points Biometric authentication4 points Smartcard authentication3 point Smartcard/biometric combination2 points Username/password1 point OTP/secret combination1 point Smartcard/secret combination1 points Combination of something you know, have and are0 points

Metrikker for brukervennlighet i autentiseringssystemer (M-5) Brukernes oppfattning ◦ Læringskurve ◦ Antall feil Easy 2,5 [ ] 2 [ ] 1,5 [ ] 1 [ ] 0,5 [ ] 0 [ ] Difficult

Metrikker for brukervennlighet i autentiseringssystemer (M-6) Hastighet ved bruk Antall sekunder[ ] Brukernes vurdering av tidsbruken Akseptabelt 0 [ ] 1 [ ] 2 [ ] 3 [ ] 4 [ ] 5 [ ] uakseptabelt

Beregning av resultater Sikkerhet = (M1 x, M2 y, M3 z ) Brukervennlighet = (M4 x, M5 y, M6 z ) Idealpunkt= (5 x, 5 y, 5 z ) Avstand fra idealpunktet - Euclids algoritme

Spørreundersøkelse Sendt en rekke større norske firma Kun mottatt et fåtall svar. Ømtåelig tema? Leveringsfrist utsatt til for å produsere resultater og trekke konklusjoner.

Fremtidig arbeid Bedre validitet for M-2 ved å lage en liste over sterke vs svake algoritmer Flere metrikker eller indikatorer for hver kategori?