Sistemi di identità digitale sono una questione di grande importanza quando si tratta di definire se stessi nel mondo digitale, che è reale come il mondo fisico e in realtà ci colpisce in modo molto diretto. Questo è il motivo per cui la costruzione di verifica dell'identità digitale e autenticazione dell'identità digitale i servizi non sono più un problema opzionale. Negli Stati Uniti esiste un ampio consenso sul fatto che l'identità e l'autenticazione digitali siano il fondamento della sicurezza online e stanno rapidamente diventando una priorità per la sicurezza nazionale. Le versioni principianti di tali servizi attualmente disponibili forniscono servizi di garanzia dell'identità che vengono utilizzati da vari sistemi al fine di fornire una qualche forma di autorizzazione (fisica o logica).
Cos'è l'identità digitale
Un'identità digitale è l'informazione su una persona o un'organizzazione utilizzata dai sistemi informatici per rappresentarla nel cyberspazio. In parole povere, è l'equivalente online della vera identità della persona o dell'organizzazione.
Leggere: Furto di identità online: prevenzione e protezione.
Linee guida per l'identità digitale
L'Istituto nazionale degli standard e della tecnologia (NIST) è da tempo riconosciuto come fonte autorevole di riferimento per quanto riguarda la garanzia di autenticazione.
Il NIST ha recentemente rilasciato il NIST SP 800-63, ora chiamato Linee guida per l'identità digitale dopo mesi di revisione pubblica. Questa suite di quattro volumi fornisce linee guida tecniche per le organizzazioni che utilizzano servizi di identità digitale. Il nuovo documento aggiorna gli standard precedenti e li espande per affrontare l'identità e l'autenticazione come un servizio, offrendo i concetti e il linguaggio fondamentali per un'adeguata cura e alimentazione delle identità digitali - qualcosa che la maggior parte degli esperti del settore chiama spese prudenti dei dollari dei contribuenti.
Rilasciato nel 2003, SP 800-63 è il famoso documento del NIST che ha introdotto i quattro livelli di linee guida dell'identità digitale (LOA) - LOA 1, 2, 3 e 4 - come specificato dall'OMB M-04-04, E-Authentication Guidance per le agenzie federali.
Lo scopo principale di questa nuova edizione di 800-63, la sua terza iterazione, è risolvere gli errori dei LOA per trasformare il concetto in qualcosa di più significativo con l'aiuto dei moderni processi di identità per entrambi, il settore privato e quello governativo.
In breve, il nuovo documento ha introdotto le seguenti modifiche principali:
Il nuovo documento ha disaccoppiato i LOAS in gran parte in componenti, per garantire che qualsiasi iniziativa di autenticazione possa essere classificata come 1, 2 o 3 per un aspetto e un grado completamente diverso per l'altro, invece di un numero di copertina come LOA 3. In un In poche parole, la nuova SP 800-63 sta rompendo lo schema di classificazione in tre segmenti:
- Iscrizione e prova di identità (SP 800-63A)
- Autenticazione e gestione del ciclo di vita (SP 800-63B)
- Federazione e asserzioni (SP 800-63C)
Con il nuovo 800-63-3, come proposto, verranno assegnati fondamentalmente 3 gradi: Federation Assurance Level (FAL), Authentication Assurance Level (AAL) e Identity Assurance Level (IAL).
Digital Identity Assurance Levels (IAL):
- IAL1 - Self asserted; non è necessario collegare il richiedente a nessuna particolare identità di vita reale.
- IAL2 - L'esistenza della vita reale dell'identità dichiarata è supportata da prove; prova di identità fisicamente presente o remota.
- 4ILA3 - Le prove di identità richiedono una presenza fisica. Un rappresentante addestrato e autorizzato dovrebbe identificare gli attributi.
Livello di garanzia dell'autenticazione (AAL):
- AAL1: offre la garanzia che il richiedente effettivo ha il controllo dell'autenticatore; richiede almeno un'autenticazione a fattore singolo.
- AAL2 - Offre una forte fiducia nel controllo degli autenticatori da parte del richiedente; richiede due diversi fattori di autenticazione; richiede tecniche crittografiche approvate.
- AAL3 - Offre una fiducia estremamente forte sul controllo degli autenticatori da parte del richiedente; una prova di avere una chiave tramite protocollo crittografico è necessaria per l'autenticazione; ha bisogno anche di un autentico autenticatore crittografico.
Livello di garanzia della federazione (FAL):
- FAL1 - Permette l'abilitazione dell'RP da parte dell'abbonato per ricevere un'asserzione al portatore.
- FAL2 - Implica la condizione che l'asserzione debba essere crittografata in modo che l'unica parte in grado di decodificarlo debba essere l'RP.
- FAL3 - Richiede che l'abbonato presenti la prova di controllo della chiave crittografica a cui fa riferimento l'asserzione e l'artefatto di asserzione.
Le principali modifiche rispetto a SP 800-63A:
- Il processo di verifica dell'identità ammissibile viene rinnovato.
- Le opzioni di correzione di persona sono espanse.
SP 800-63B
- La guida della password è stata revisionata.
- Gli autenticatori non sicuri vengono rimossi.
- L'uso consentito di dati biometrici è ampliato.
SP 800-63C
- Vengono aggiunte nuove raccomandazioni e richieste federali.
- I cookie come tipo di asserzione sono stati rimossi.
I dettagli completi possono essere trovati a nist.gov.