Why and how to implement strong authentication on the web?

Patrick DuboysProduct Marketing Manager 

Keynectispatrick . duboys @ keynectis .com 

The context

• Digital identity becomes a challenge: Internet users want to be recognized, to protect their identity in order to connect themselves in complete confidence and freedom

• Health data access requires control and traceability• Users and banks need by regulation strong authentication solutions to: – Protect sensitive transactions for online banking– Protect 3D Secure e‐commerce transactions

Authentication: Examples of usage

• Electronic Messaging• Extranet• Internet web sites• Social networking• E‐banking• Online Chat• Login on your PC• 3D Secure e‐payement

Weakness of passwords 

Login / password

• Same password for every account• Key loggers (Hardware or software)• Weak passwords• Brute force attack• Login Spoofing• Phishing• Shoulder surfing• Self‐service password reset• Man In the Middle

“Password recovery”

Impact of Identity Theft on the web

• Cost for individuals• Cost for organizations• Cost for governments• Cost for the market• Psychological impact

Fraud growth on the Internet

Source: http://www.ic3.gov

YEAR RECEIVED COMPLAINTS LOSS IN DOLLARS (MILLION $)

2009 336,655  559.7

2008 275,284  265

2007 206,884  239.09

2006 207,492  198.44

2005 231,493  183.12

Decision process

• CSO• CIO• Marketing Manager• Financial Manager• Others

What is « strong authentication »?

• Goal: Reduce Identity Fraud

What to take into account?

• Level of security• User adoption• Total Cost of Ownership• Manageability• Mobility• Integration• Respect of standards• Level of services• Other value

Examples of risks on the Internet

• Man in the Middle• Man in the Browser• Phishing• Pharming• Spyware• Typo Squatting

Who is committed?

• Governments for their citizen (E‐Gov, etc.)• Organization such as the OECD• Organization such as the Federal Trade Commission• Companies such as Banks for their customers (Banque de France for example)

Some strong Authentication Solutions

• SMS One Time Password• One Time Password Token• Standard USB Key (such as K.Access®) • Cryptographic keys• CAP EMV (Banking Industry)• Crash Card• Etc.

One Time Password ‐ Token

• Event based• Time based (a time‐based variable is used to create the OTP)

• Requires an “OTP server”• Requires to distribute Tokens• Token can be affected to other users

Using the SSL Standard for authentication

SSL Standard

• “Internet Engineering Task Force” standard• Asymmetric Cryptography – X509 standard• Server Authentication – SSL V3• Client Authentication – SSL V3• Steady growth – Over 1,25 million SSL Server certificates +30% per annum

• Secure web servers, secure electronic messaging, etc.

19

Electronic Certificate

• Signature

• Serial number

• Subject

• Issuing date

• Expiry date

• Signature from the Registration Authority

20

Issuing certificates

1. Certificate Request

2. Authentication of requester

3. Approved Request4. Certificate

Certificate requester

Registration Authority

Organization

Trusted Third Party

Certification Authority

Registration Authority

• Process to register and validate individuals and organizations

• Certification Authority• Certification Policy• Life cycle of the certificate: registration, revocation, renewal, revocation lists, key escrow and recovery, etc. 

Opens new doors!

• Strong Authentication• Electronic Signature• Encryption• E‐Marketing• Next generation of business on the web

– Signature of contracts online– Etc.

Why a Software as a Service solution?

• Software as a Service– Certification Authority – CA Recognized in browsers– Audited processes– Managed by security experts– Cost per user per year– No need for a PKI, HSM, etc.

Level of trust

24

Level of validation Signature Authentication Encryption1: Just email Yes Yes Yes2: Scan documents sent electronically Yes Yes Yes3: Documents sent by post Yes Yes Yes4: With validation of the information Yes Yes Yes5: Face to face Yes Yes Yes

Just email : Low legal value

Face to face:High legal value

Form factor

25

Signature Authentication EncryptionCertificate on the user’s computer Yes Yes YesCertificate on a standard USB key / Or CD-ROM Yes Yes YesCertificate within a cryptographic key Yes Yes Yes

On the PC:Cost‐effective

Cryptographic key:Maximum security

USB key or Telephone: Mobility, strong security, usability, cost

Strong Authentication

Two factors Authentication: What I have: a USB key, a 

Smartphone, an iPod What I know: a PIN code

Demonstration

Thank you.

11‐13 rue René Jacques ‐ 92131 Issy‐les‐Moulineaux Cedex France+33 (0)1 55 64 22 00 ‐ www.keynectis.com