Betydningen af ​​digital identitet og nye retningslinjer

Digitale identitetssystemer er af stor betydning for at definere ens selv i den digitale verden, som er lige så reel som den fysiske verden og faktisk påvirker os på en meget direkte måde. Dette er grunden til, at opbygningen af ​​ digital identitetstestning og digital identifikationskontrol -tjenester ikke længere er et valgfrit problem. Der er en bred enighed i USA om, at digital identitet og autentificering er grundstenen for online sikkerhed og er hurtigt ved at blive en national sikkerhedsprioritet. Startversionerne af sådanne tjenester, der for øjeblikket er tilgængelige, giver identitetssikringsydelser, der anvendes af forskellige systemer for at give en form for tilladelse (fysisk eller logisk).

Hvad er digital identitet?

En digital identitet er informationen om en person eller en organisation, der bruges af computersystemer til at repræsentere det til cyberspace. Simpelthen er det online svarende til den egentlige identitet af personen eller organisationen.

Læs : Identitetstyveri: Forebyggelse og beskyttelse.

Digitale identitetsretningslinjer

Statens institut for standarder og teknologi (NIST) har længe været anerkendt som en autoritativ referencekilde vedrørende autentificeringstilsyn.

NIST har for nylig udgivet NIST SP 800-63, nu kaldet Digital Identity Guidelines efter måneder af offentlig anmeldelse. Denne suite med fire volumener indeholder tekniske retningslinjer for organisationer, der anvender digitale identitetstjenester. Det nye dokument opdaterer de tidligere standarder og udvider dem til at adressere identitet og godkendelse som en tjeneste, der tilbyder de begreber og sprog, der er afgørende for korrekt pleje og fodring af digitale identiteter - noget mest eksperter i branchen kalder en forsigtig udgift af skatteydernes dollars.

SP 800-63 er først udgivet i 2003 og er NISTs berømte dokument, der introducerede de fire niveauer af digitale identitetsretningslinjer (LOA) - LOA 1, 2, 3 & 4 - som angivet af OMBs M- 04-04, E-Authentication Guidance for Federal Agencies.

Hovedformålet med denne nye udgave af 800-63, dens tredje iteration, er at løse fejlene i LOAs for at gøre konceptet til noget mere meningsfuldt med hjælp af moderne identitetsprocesser for både den private og offentlige sektor.

Kort sagt har det nye dokument introduceret følgende større ændringer:

Det nye dokument afkoblede LOAS`erne i stor udstrækning i komponentdele for at sikre, at ethvert godkendelsesinitiativ co uld være graderet som en 1, 2 eller 3 for en facet og helt anden klasse for den anden facet i stedet for et tæppetal som LOA 3. I et nøddeskal bryder den nye SP 800-63 rangordningen i tre segmenter:

1. Registrering og identitetsbevisning (SP 800-63A)
2. Autentificering og livscyklusstyring (SP 800-63B)
3. Federation og påstande (SP 800-63C)

Under den nye 800-63-3, Som foreslået vil der i det væsentlige blive ydet 3 rækker: Federation Assurance Level (FAL), Authentication Assurance Level (AAL) og Identity Assurance Level (IAL).

Digital Identity Assurance Level (IAL):

• IAL1 - Selv hævd at forbinde ansøgeren til en bestemt identitet i virkeligheden er ikke nødvendig.
• IAL2 - Den påståede identitet er i virkeligheden, understøttes af bevis; enten fysisk til stede eller fjernidentitetstestning.
• 4ILA3 - Identitetssikkerhed kræver fysisk tilstedeværelse. En uddannet og autoriseret repræsentant skal identificere attributterne.

Authentication Assurance Level (AAL):

• AAL1 - giver sikkerhed for, at den faktiske sagsøger har kontrol over godkendelsen kræver mindst en enkeltfaktorautentificering.
• AAL2 - giver stærk tillid til sagsøgerens kontrol af autentifikatorer; kræver to forskellige autentificeringsfaktorer; kræver godkendte kryptografiske teknikker.
• AAL3 - yder ekstremt stærk tillid til sagsøgerens kontrol over autentifikatorer; et bevis på at have en nøgle via kryptografisk protokol er nødvendig til godkendelse; har brug for en "hard" kryptografisk autentificering også.

Federation Assurance Level (FAL):

• FAL1 - Tillader aktivering af RP af abonnenten for at modtage en bærer påstand.
• FAL2 - pålægger den betingelse, at påstanden skal krypteres således, at den eneste part, der kan dekryptere den, skal være Rp`en.
• FAL3 - kræver, at abonnenten fremlægger beviset for kontrollen med den kryptografiske nøgle, der henvises til i påstanden, samt påstanden artefakt.

De vigtigste ændringer med hensyn til SP 800-63A:

1. Den tilladte identitetsprøvningsproces opdateres.
2. Personlige proofing-muligheder udvides.

SP 800-63B

• Adgangskode
• Usikker autentificering er fjernet.
• Tilladt brug af biometri udvides.

SP 800-63C

• Nye føderations anbefalinger og krav tilføjes.
• Cookies som påstandstype har været fjernet.

De fulde detaljer kan findes på nist.gov .