Sistemas de Identidade Digital é uma questão de grande importância quando se trata de definir um self no mundo digital, que é tão real quanto o mundo físico e realmente nos afeta de uma maneira muito direta. Esta é a razão pela qual a construção de prova de identidade digital e autenticação de identidade digital serviços não são mais um problema opcional. Existe um amplo consenso nos EUA de que a identidade digital e a autenticação são alicerce de segurança online e estão rapidamente se tornando uma prioridade de segurança nacional. As versões iniciais de tais serviços atualmente disponíveis fornecem serviços de garantia de identidade que são usados por vários sistemas para fornecer alguma forma de autorização (física ou lógica).
O que é identidade digital?
Uma identidade digital é a informação sobre uma pessoa ou uma organização usada por sistemas de computador para representá-la no ciberespaço. Simplificando, é o equivalente on-line à identidade real da pessoa ou organização.
Ler: Roubo de identidade on-line: prevenção e proteção.
Diretrizes de identidade digital
O Instituto Nacional de Padrões e Tecnologia (NIST) tem sido reconhecido como uma fonte de referência oficial em relação à orientação de garantia de autenticação.
NIST lançou recentemente o NIST SP 800-63agora chamado Diretrizes de identidade digital após meses de revisão pública. Esse conjunto de quatro volumes fornece diretrizes técnicas para organizações que empregam serviços de identidade digital. O novo documento atualiza os padrões anteriores e os expande para abordar a identidade e a autenticação como um serviço, oferecendo os conceitos e a linguagem vitais para o cuidado adequado e a alimentação de identidades digitais - algo que a maioria dos especialistas do setor está chamando de despesa prudente de dólares do contribuinte.
Lançado pela primeira vez em 2003, o SP 800-63 é o famoso documento do NIST que introduziu os quatro níveis de diretrizes de identidade digital (LOA) - LOA 1, 2, 3 e 4 - conforme especificado pelo M-04-04 do OMB, E-Authentication Guidance. para as agências federais.
O objetivo principal desta nova edição do 800-63, sua terceira iteração, é resolver os erros das LOAs para transformar o conceito em algo mais significativo, com a ajuda de processos de identidade modernos para ambos, o setor privado e o setor governamental.
Resumidamente, o novo documento introduziu as seguintes grandes mudanças:
O novo documento desvinculou as LOASs em partes componentes, para garantir que qualquer iniciativa de autenticação pudesse ser classificada como 1, 2 ou 3 para uma faceta e grau completamente diferente para a outra faceta, em vez de um número geral como a LOA 3. Em um Em poucas palavras, o novo SP 800-63 está quebrando o esquema de classificação em três segmentos:
- Inscrição e Prova de Identidade (SP 800-63A)
- Autenticação e Gerenciamento do Ciclo de Vida (SP 800-63B)
- Federação e Asserções (SP 800-63C)
Sob o novo 800-63-3, como proposto, basicamente 3 níveis serão concedidos: Nível de Garantia de Federação (FAL), Nível de Garantia de Autenticação (AAL) e Nível de Garantia de Identidade (IAL).
Níveis de garantia de identidade digital (IAL):
- IAL1 - auto-afirmativo; Não é necessário vincular o candidato a qualquer identidade da vida real em particular.
- IAL2 - A existência da identidade identificada na vida real é apoiada por evidências; ou prova de identidade fisicamente presente ou remota.
- 4ILA3 - A prova de identidade exige uma presença física. Um representante treinado e autorizado deve identificar os atributos.
Nível de garantia de autenticação (AAL):
- AAL1 - Oferece qualquer garantia de que o reclamante está sob controle do autenticador; precisa no mínimo de uma autenticação de fator único.
- AAL2 - oferece forte confiança sobre o controle dos autenticadores pelo reclamante; exige dois fatores de autenticação diferentes; exige técnicas criptográficas aprovadas.
- AAL3 - oferece uma confiança extremamente forte sobre o controle dos autenticadores pelo reclamante; uma evidência de ter uma chave via protocolo criptográfico é necessária para autenticação; precisa de um autenticador criptográfico “rígido” também.
Nível de garantia de federação (FAL):
- FAL1 - Permite a habilitação do PR pelo assinante para receber uma declaração ao portador.
- FAL2 - impõe a condição de que a afirmação seja criptografada de forma que a única parte que pode descriptografá-la seja a RP.
- FAL3 - Exige que o assinante apresente a prova de controle da chave criptográfica que é referenciada na asserção, bem como o artefato de asserção.
As principais mudanças em relação ao SP 800-63A:
- O processo de verificação de identidade permissível é revisto.
- As opções de revisão presencial são expandidas.
SP 800-63B
- A orientação de senha foi revisada.
- Autenticadores inseguros são removidos.
- O uso permitido de biometria é expandido.
SP 800-63C
- Novas recomendações e demandas de federação são adicionadas.
- Cookies como um tipo de asserção foram removidos.
Os detalhes completos podem ser nist.gov.