Digitālās identitātes sistēmas ir ļoti svarīgi, kad runa ir par paša noteikšanu digitālajā pasaulē, kas ir tikpat reāla kā fiziskā pasaule un tiešā veidā ietekmē mūs ļoti tiešā veidā. Tas ir iemesls, kāpēc būvniecība digitālās identitātes pārbaude un digitālās identitātes autentifikācija pakalpojumi vairs nav izvēles jautājums. ASV ir plaša vienprātība, ka digitālā identitāte un autentifikācija ir tiešsaistes drošības pamatā un tie ātri kļūst par valsts drošības prioritāti. Šobrīd pieejamo šādu pakalpojumu starteru versijās ir sniegti identitātes nodrošināšanas pakalpojumi, kurus dažādās sistēmās izmanto, lai nodrošinātu kādas atļaujas formas (fiziskas vai loģiskas).
Kas ir digitālā identitāte?
Digitālā identitāte ir informācija par personu vai organizāciju, ko izmanto datorsistēmas, lai to pārstāvētu kibertelpā. Vienkāršāk sakot, tā ir tiešsaistē līdzvērtīga personas vai organizatora patiesajai identitātei.
Lasīt: Tiešsaistes identitātes zādzība: novēršana un aizsardzība.
Digitālās identitātes vadlīnijas
Nacionālais standartu un tehnoloģiju institūts (NIST) jau sen ir atzīts par autoritatīvu atsauces avotu autentifikācijas nodrošināšanas vadlīnijās.
NIST nesen atbrīvoja NIST SP 800-63, tagad sauc Digitālās identitātes vadlīnijas pēc mēnešiem ilgas publiskas pārskatīšanas. Šis četru apjomu komplekts nodrošina tehniskās vadlīnijas organizācijām, kas izmanto digitālās identitātes pakalpojumus. Jaunais dokuments atjaunina iepriekšējos standartus un paplašina tos, lai identificētu identitāti un autentificētu kā pakalpojumu, piedāvājot jēdzienus un valodu, kas ir būtiska ciparu identitātes pienācīgai aprūpei un barošanai - kaut arī lielākā daļa nozares speciālistu izsauc piesardzīgi izdevumi no nodokļu maksātāja dolāros.
SP 800-63, kas pirmo reizi tika izplatīts 2003. gadā, ir NIST slavenais dokuments, kas ieviesa četrus digitālās identitātes vadlīniju (LOA) līmeņus - LOA 1, 2, 3 un 4 - kā norādīts OMB M-04-04 e-autentifikācijas vadlīnijās federālajām aģentūrām.
Šīs jaunās 800-63 versijas, tās trešās iterācijas galvenais mērķis ir atrisināt LOA kļūdas, lai koncepciju padarītu par nozīmīgāku, izmantojot mūsdienu identitātes procesus gan privātajam, gan valdības sektoram.
Īsumā sakot, jaunajā dokumentā tika ieviestas šādas būtiskas izmaiņas:
Jaunais dokuments atsaistīja LOAS lielākoties sastāvdaļās, lai nodrošinātu, ka jebkuru autentificēšanas iniciatīvu var klasificēt kā 1, 2 vai 3 vienā aspektā un pilnīgi citā pakāpē attiecībā uz otru aspektu, nevis ar vispārīgu numuru, piemēram, 3. LOA. Īsāk sakot, jaunā SP 800-63 pārtrauc rangu shēmu trīs segmentos:
- Uzņemšana un identitātes pārbaude (SP 800-63A)
- Autentifikācijas un dzīves cikla pārvaldība (SP 800-63B)
- Federācija un apgalvojumi (SP 800-63C)
Saskaņā ar jauno 800-63-3, kā ierosināts, pamatā būs 3 rindas: federācijas garantijas līmenis (FAL), autentifikācijas nodrošināšanas līmenis (AAL) un identitātes apliecības līmenis (IAL).
Digitālās identitātes apliecības līmeņi (IAL):
- IAL1 - pašpārliecināts; pieteikuma iesniedzēja saistīšana ar kādu konkrētu reālās dzīves identitāti nav vajadzīga.
- IAL2 - apgalvotā identitātes reālās dzīves esamību pamato pierādījumi; vai nu fiziski, vai arī tālvadības identitātes pārbaude.
- 4ILA3 - identitātes pārbaude prasa fizisku klātbūtni. Apmācītajam un pilnvarotajam pārstāvim vajadzētu identificēt atribūtus.
Autentifikācijas nodrošināšanas līmenis (AAL):
- AAL1 - piedāvā jebkādu pārliecību, ka faktiskais prasītājs kontrolē autentifikatoru; nepieciešamas vismaz vienfaktoru autentificēšana.
- AAL2 - sniedz lielu pārliecību par prasītāja kontroli attiecībā uz autentifikatoriem; pieprasa divus dažādus autentifikācijas faktorus; pieprasa apstiprinātas kriptogrāfijas metodes.
- AAL3 - sniedz ļoti stingru pārliecību par prasītāja kontroli attiecībā uz autentifikatoriem; autentifikācijai ir nepieciešams pierādījums, ka atslēga ir ar kriptogrāfijas protokolu; vajadzīga arī "cietā" kriptogrāfijas autentifikators.
Federācijas garantijas līmenis (FAL):
- FAL1 - atļauja abonentam nodrošināt RP, lai saņemtu uzrādītāja apgalvojumu.
- FAL2 - Uzliek nosacījumu, ka apgalvojumam jābūt šifrētam tā, lai vienīgā persona, kas to varētu atšifrēt, būtu RP.
- FAL3 - pieprasa, lai abonents uzrāda pierādījumu par kriptogrāfiskās atslēgas, kas ir norādīts apgalvojumā, kā arī apgalvojuma artefakta kontroli.
Galvenās izmaiņas attiecībā uz SP 800-63A:
- Pieļaujamais identitātes pārbaudīšanas process tiek pārskatīts.
- In-person proofing iespējas tiek paplašinātas.
SP 800-63B
- Paroles vadība ir pārveidota.
- Nedrošie autentifikatori tiek noņemti.
- Pieļaujama biometrijas izmantošana ir paplašināta.
SP 800-63C
- Pievienotas jaunas federācijas ieteikumi un prasības.
- Cepumi kā apgalvojuma veids ir noņemti.
Pilnīga informācija var būt pieejama nist.gov.
