Biometric Authentication Is Here and Now Biometric Authentication ...

licoricebedsSécurité

22 févr. 2014 (il y a 3 années et 1 mois)

97 vue(s)

SecureIT 2011
1
© 2011 DigitalPersona, Inc.
Biometric Authentication
Is Here and Now
Biometric Authentication
Is Here and Now
JIM
FULTON
jim.fulton@digitalpersona.com
SecureIT 2011
2
© 2011 DigitalPersona, Inc.
Security Is Becoming Ever More Important
Today, employees’ computers serve a dual purpose:
PCs are a repositoryof sensitive 
business and customer data
PCs are an access pointto applications 
and to the corporate network
Comprehensivesecurity requires both
data protectionandaccess management
SecureIT 2011
3
© 2011 DigitalPersona, Inc.
But, Managing Security Systems is Getting Harder
Full Disk
Encryption
Secure
VPN
Secure
Email &
Documents
Single
Sign‐On
(SSO)
Smartcards,
Tokens,
Biometrics
Different products 
don’t fit together
•Expensive, redundant
•Not sync’d and not 
always compatible
•Complex for IT & users
Manage
Manage
Manage
Manage
Manage
SecureIT 2011
4
© 2011 DigitalPersona, Inc.
The First Step in Security
Security is about:
•Keeping “Bad Guys” out
•Ensuring that each legitimate user can only access 
specifically‐allowed resources
To do this, you must be able to reliablytell users apart
Alice
Bob
Cary
Dan
SecureIT 2011
5
© 2011 DigitalPersona, Inc.
Authentication –Knowing Who Is Who
Two‐step process, usually done at login:
Identification–user claims to be someone
•Typing a username
•Plugging in a smart card
•Scanning a fingerprint, face, iris, etc.
Verification–user gives “proof” he/she is that person
•Typing a password
•Plugging in a smart card
•Scanning a fingerprint, face, iris, etc.
SecureIT 2011
6
© 2011 DigitalPersona, Inc.
Proof of Identity Comes In Different Forms
CredentialProCon
Something You
Know
Passwords, PINs
•Usedalmost everywhere
•Can be forgotten,stolen
•Can be copied by others
SecureIT 2011
7
© 2011 DigitalPersona, Inc.
Proof of Identity Comes In Different Forms
CredentialProCon
Something You
Know
Passwords, PINs
•Usedalmost everywhere
•Can be forgotten,stolen
•Can be copied by others
Something You
Possess
Smart Cards
One‐Time Password 
Tokens
•Hard to copy byothers
•Can be lost, stolen
•PINs can be forgotten
SecureIT 2011
8
© 2011 DigitalPersona, Inc.
Proof of Identity Comes In Different Forms
Combining several credentials together is called:
“Multi‐FactorAuthentication”
CredentialProCon
Something You
Know
Passwords, PINs
•Usedalmost everywhere
•Can be forgotten,stolen
•Can be copied by others
Something You
Possess
Smart Cards
One‐Time Password 
Tokens
•Hard to copy byothers
•Can be lost, stolen
•PINs can be forgotten
Something You
Are
Biometrics•Fingerprints
•Face
•Iris
•Voice
•Palm, Vein
•Hard to forget, lose, steal
•Easy to use
•Somepeople harder time 
using than others
•Privacyconcerns
SecureIT 2011
9
© 2011 DigitalPersona, Inc.
What Are Biometrics?
A way to identify people based 
on physical traits
Voice–common in automated service
Palm/vein–popular in Japan
Iris–growing in high‐end physical access
Face–increasingly used in law enforcement
Fingerprints–dominant in commercial use, 
esp. Point of Sale, Medical, desktops and 
notebooks
SecureIT 2011
10
© 2011 DigitalPersona, Inc.
Most Common Uses of Digital Fingerprint Readers
Law Enforcement
Civil ID
Door Locks
ATMs
Cash Registers
Device Locks
Enterprise Logical Access
SecureIT 2011
11
© 2011 DigitalPersona, Inc.
Law Enforcement
Criminal Identification
Registering people for sensitive jobs
Border Control
•US‐VISIT now being copied
by many countries
SecureIT 2011
12
© 2011 DigitalPersona, Inc.
Civil ID –Validating Identity
Parent tracking –Disney World, many day care centers
Voter registration –Brazil, Nigeria, Ghana
Healthcare services –Chile
Employment services –India (coming)
Banking –Mexico
Micro‐finance –India (coming), 
Chile (coming)
SecureIT 2011
13
© 2011 DigitalPersona, Inc.
Commercial Environments
Door Locks, ATMs
•Alternative to keys, PINs, etc. that could be lost
Medical Cabinets
•Drug dispensaries
Point‐of‐sale cash registers –efficiency, fraud prevention
•In North America, mostly just employee‐facing
•In Central/South America, also used for customer ID and payments
SecureIT 2011
14
© 2011 DigitalPersona, Inc.
Enterprise Logical Access
Smart login to enterprise data, systems, applications:
Strong Authentication for compliance
2‐factor RADIUS Authentication for VPN access
Secure Single Sign‐On (SSO)
Digital Signatures and Encryption
SecureIT 2011
15
© 2011 DigitalPersona, Inc.
Stronger Authentication Is No Longer an Option
Mobile workforce
•Employees accessing resources from outside networks
•Risk of data breach if computers are lost or stolen
•Increased need for secure communications
and collaboration tools
Compliance
•New standards of due diligence being required 
toprotect access, data and communications
40+ U.S. States enforce data breach notification laws
Many States/ industries require strong authentication
Educational institutions on growing FERPA mandates
•Links activities to the people who perform them
SecureIT 2011
16
© 2011 DigitalPersona, Inc.
Biometrics Have Gone Mainstream
Laptop PC vendors building Fingerprint and Face 
recognition into commercial models
•And offering as option on consumer models
Laptops now outsell desktops
Smart phones & tablets 
expected to follow a 
similar path
SecureIT 2011
17
© 2011 DigitalPersona, Inc.
Why Are Biometrics Now Feasible
Applications
Password replacement is the ‘killer app’ so far
•Explosion of application‐specific passwords has driven up helpdesk calls
•Compliance mandates are requiring complicated, difficult passwords
Broad‐ranging solutions are now available:
from power‐on to Windows to Network to Applications
Manageability
Cross‐platform –same software across brands of PCs
Integration with Active Directory and the Cloud
SecureIT 2011
18
© 2011 DigitalPersona, Inc.
Centralized Management Is a Must
Allows policies tailored to each group of users to be:
•Created
•Deployed
•Enforced
•Monitored
•Reported on
SecureIT 2011
19
© 2011 DigitalPersona, Inc.
Management Consoles Take Different Approaches
Cloud
Software
Package
Ease of Installation
Scalability
Active Directory
Appliance
SecureIT 2011
20
© 2011 DigitalPersona, Inc.
Biometrics Can Be Used In Multiple Ways
Identification
User just scans finger, face, etc.
•Avoids need to type username
Biometric is usually also used 
for verification step
Verification
Biometric confirms a 
username that has already 
been entered
•By typing, a smart card, etc.
SecureIT 2011
21
© 2011 DigitalPersona, Inc.
Using Biometrics –Step 1: Enrollment
Users have their fingerprint, 
face, etc. scanned a first time
•This becomes a “reference” that is 
checked against each time
For extra security, this is often supervised by HR or boss
Images are 
mathematically sampled 
to create a digital 
representation called a 
“template”
SecureIT 2011
22
© 2011 DigitalPersona, Inc.
Using Biometrics –Step 2: Template Storage
Centrally
Stored in Active 
Directory, LDAP or 
other database
Enables biometrics to be used 
from any capable device 
without re‐enrolling.
Devices send templates to 
database to be “matched” 
against stored version
On Specific Devices
Stored in scanner, in 
card or on computer 
attached to scanner
Gives user more control over 
biometric data
•For greater perception of privacy
Requires re‐enrollment on 
multiple machines or carrying of 
external storage (smart card)
SecureIT 2011
23
© 2011 DigitalPersona, Inc.
Common Applications for Enterprise Biometrics
Unlocking a PC –a smart “power‐on” switch
Unlocking an encrypted disk 
Logging into Windows
•“One‐touch” login often used in place of both username and password
Secure form of Single Sign‐On (SSO) for Applications
•Biometric authentication before launching apps prevents “walk‐up” access
Alternative to OTP Tokens for VPN access
Digital signatures and encryption of email/documents
SecureIT 2011
24
© 2011 DigitalPersona, Inc.
Example: Logging In with a Fingerprint
SecureIT 2011
25
© 2011 DigitalPersona, Inc.
Example: Logging In with a Fingerprint
SecureIT 2011
26
© 2011 DigitalPersona, Inc.
Example: Logging In with a Fingerprint
SecureIT 2011
27
© 2011 DigitalPersona, Inc.
Example: Logging In with a Fingerprint
myusername
********
And you’re logged in!
SecureIT 2011
28
© 2011 DigitalPersona, Inc.
CASE
STUDY
–B
EST
BIOMETRICS
P
RACTICES
Affinity Plus Federal Credit Union
SecureIT 2011
29
© 2011 DigitalPersona, Inc.
Affinity Plus Federal Credit Union
24 Locations
Over 350 Employees
Serving 140,000+ members 
Mission: provide each member an 
individualized extraordinaryexperience
25+ Applications

Each requiring separate login
SecureIT 2011
30
© 2011 DigitalPersona, Inc.
The Problem
Hundreds of password 
resets each week:  
The ‘virtual headlock’
Helpdesk hit hard
Member Service was 
being impacted
SecureIT 2011
31
© 2011 DigitalPersona, Inc.
What Affinity Plus Looked For in a Solution
No passwordsto remember
•Solution would resolve the ‘virtual headlock’ of passwords
FSP:  Flexible, Scalable, and Progressive 
No modificationto applications
Easy deployment, centrally managed, low admin needs
Fast response throughout the process
Most Important:solution must enhance our ability to 
provide  our members an extraordinary experience
SecureIT 2011
32
© 2011 DigitalPersona, Inc.
Why Fingerprint Biometrics was the Best Option
Security
can’t readily be lost,
stolen or forgotten
Ease of use
Proven technology
Irrefutability
links users
to their actions
Speed
Cost effective
SecureIT 2011
33
© 2011 DigitalPersona, Inc.
Why Affinity Plus Chose DigitalPersona® Pro
Integration with Active Directory –familiar to the IT staff
Centralized, supervised enrollment of fingerprints
•Users enroll once (can be supervised)
•Use fingerprints on any workstation
Easy to configure to handle an evolving application set
•No changes to the applications
Simple to deploy to notebooks or shared PCs
•Works with variety of fingerprint readers
FSP:Flexiblein their environment, Scalablefor the 
Future, and Progressivein Improvements
SecureIT 2011
34
© 2011 DigitalPersona, Inc.
Windows
Password
One‐time
Password
Face
Recognition
Smart
Card
Biometrics Fit In the Network with Room to Grow
Laptops
Desktops
Shared
Workstations
DigitalPersona Pro
Client Software
Legacy Applications
Web
Enterprise Applications
VPNs
Intranet
Portals
DigitalPersona Pro
Management Software
(Active Directory or
Standalone)
Mobile Laptops
Fingerprint
SecureIT 2011
35
© 2011 DigitalPersona, Inc.
Affinity Plus Deployed the Biometrics in Phases
1.Deployed biometrics in IT, Operations and Financial 
Accounting –laid a foundation in areas with most 
diverse software 
2.Built up interest and excitement at annual all‐
employee session. “Fingers & Thumbs Presentation”
3.Deployed to key branch staff –created evangelists to 
keep excitement and interest high during rollouts
4.Did sweeping roll‐out to all locations
5.Standardized image clone for all future systems
SecureIT 2011
36
© 2011 DigitalPersona, Inc.
The Results
Productivitywent up throughout Affinity Plus
•Member Advisors now assist more members
•Helpdesk has time for other calls/projects
•Helpdesk staff have more opportunities for growth
Compliancepassword policies much easier to implement
•Can make passwords as complicated as auditors require
•Annual regulatory and internal exam needs consistently exceeded
Additional applications added to environment seamlessly
Password reset calls were 
essentially ELIMINATED
SecureIT 2011
37
© 2011 DigitalPersona, Inc.
More Results
‘Extraordinary Experience’ Customer Service Opportunity
•Biometrics became a conversation topic for member advisors and members to 
talk about
The ‘virtual headlock’ on helpdesk disappeared!
Cost savings and efficiencies
for 350‐employee deployment
•Saves $90k/year of helpdesk time
•Gains 1000 hours/year in
member advisor time spent 
waitingfor password resets
ROI was achieved
in months
SecureIT 2011
38
© 2011 DigitalPersona, Inc.
Lessons Learned
A strong project plan provides an equally strong 
foundation for success:  
•Where to start
•Whom to start with
•How best to align with current business strategies
•What can be done to seize the opportunities this will create
Evangelists within teams, branches and departments set 
the table.
Biometrics integrated now as a ‘norm’ 
SecureIT 2011
39
© 2011 DigitalPersona, Inc.
Conclusions
Biometrics are now a mainstream solution
•Addressing Security, Complianceand Efficiency
Identify the types of issues you’re trying to address
•Disk Encryption
•Windows Logon
•Application Single Sign‐On (SSO)
•2‐Factor VPN Security
•Digital Signatures and Encryption
Look for solutions with cross‐platform manageability
•Focus on how much integration with existing infrastructure
Test solutions with groups impacted by password pains
Create evangelists within your organization
SecureIT 2011
40
© 2011 DigitalPersona, Inc.
Questions?
For more info,  see www.digitalpersona.com/enterprise
Jim Fulton
jim.fulton@digitalpersona.com