Bedeutung der digitalen Identität und neuer Richtlinien

Digitale Identitätssysteme sind von großer Bedeutung, wenn es darum geht, sich in der digitalen Welt zu definieren, Das ist so real wie die physische Welt und betrifft uns tatsächlich sehr direkt. Aus diesem Grund ist die Erstellung von digitalen Identitätsnachweisen und digitale Identitätsauthentifizierung kein optionales Problem mehr. In den USA besteht ein breiter Konsens darüber, dass digitale Identität und Authentifizierung das Fundament der Online-Sicherheit bilden und sich schnell zu einer Priorität der nationalen Sicherheit entwickeln. Die Starterversionen solcher Dienste, die derzeit verfügbar sind, stellen Identitätssicherungsdienste bereit, die von verschiedenen Systemen verwendet werden, um irgendeine Form von Autorisierung (physisch oder logisch) bereitzustellen. Was ist digitale Identität

Eine digitale Identität ist die Information über a Person oder eine Organisation, die von Computersystemen verwendet wird, um sie im Cyberspace darzustellen. Einfach gesagt, ist es das Online-Äquivalent zur wirklichen Identität der Person oder Organisation.

Lesen

: Online-Identitätsdiebstahl: Prävention und Schutz. Digitale Identitätsrichtlinien

Das Nationale Institut für Standards und Technologie (NIST) ist seit langem als autoritative Referenzquelle in Bezug auf Authentifizierungssicherungsrichtlinien anerkannt.

NIST hat vor kurzem die

NIST SP 800-63, jetzt Digitale Identitätsrichtlinien nach Monaten veröffentlicht öffentliche Überprüfung. Diese Suite mit vier Volumen bietet technische Richtlinien für Organisationen, die digitale Identitätsdienste einsetzen. Das neue Dokument aktualisiert die bisherigen Standards und erweitert sie um die Identität und Authentifizierung als Service und bietet die Konzepte und die Sprache, die für die richtige Pflege und Versorgung digitaler Identitäten unerlässlich sind - die meisten Experten in der Branche fordern eine umsichtige Ausgabe des Steuerzahlers. Erstmals im Jahr 2003 veröffentlicht, ist SP 800-63 das berühmte Dokument von NIST, das die vier Stufen der digitalen Identitätsrichtlinien (LOA) - LOA 1, 2, 3 & 4 - gemäß den OMB`s M- 04-04, E-Authentication Guidance für die Bundesbehörden.

Der Hauptzweck dieser neuen Ausgabe von 800-63, ihrer dritten Iteration, besteht darin, die Fehler von LOAs zu lösen, um das Konzept in etwas Sinnvolleres zu verwandeln die Hilfe moderner Identitätsprozesse sowohl für den privaten als auch für den staatlichen Sektor.

Kurz gesagt, das neue Dokument führte die folgenden wesentlichen Änderungen ein:

Das neue Dokument entkoppelt die LOAS weitgehend in Bestandteile, um jede Authentifizierungsinitiative sicherzustellen co Für die eine Facette kann die Note 1, 2 oder 3 sein und für die andere Facette eine ganz andere Note, anstelle einer flächendeckenden Nummer wie LOA 3. Kurz gesagt, der neue SP 800-63 bricht das Ranking in drei Segmente:

Registrierung und Identitätsnachweis (SP 800-63A)

1. Authentifizierung und Lebenszyklusmanagement (SP 800-63B)
2. Föderation und Assertionen (SP 800-63C)
3. Unter dem neuen 800-63-3 Wie vorgeschlagen, werden grundsätzlich 3 Ränge vergeben: Assurance Level (FAL), Authentication Assurance Level (AAL) und Identity Assurance Level (IAL).

Digitale Identitätssicherungsstufen (IAL):

IAL1 - Selbst behauptet; die Verbindung des Antragstellers mit einer bestimmten realen Identität ist nicht erforderlich.

• IAL2 - Die Existenz der behaupteten Identität wird durch Beweise gestützt; entweder physisch vorhanden oder Remote-Identitätsnachweis.
• 4ILA3 - Identitätsnachweis erfordert eine physische Anwesenheit. Ein geschulter und autorisierter Vertreter sollte die Attribute identifizieren.
• Authentifizierungssicherungsstufe (AAL):

AAL1 - Bietet die Sicherheit, dass der tatsächliche Antragsteller den Authentifikator unter Kontrolle hat; benötigt mindestens eine Ein-Faktor-Authentifizierung.

• AAL2 - Bietet starkes Vertrauen in die Kontrolle der Authentifikatoren durch den Antragsteller; verlangt zwei verschiedene Authentifizierungsfaktoren; verlangt bewährte kryptographische Techniken.
• AAL3 - Bietet extrem starkes Vertrauen in die Kontrolle der Authentifikatoren durch den Antragsteller; ein Nachweis, dass ein Schlüssel über ein kryptographisches Protokoll benötigt wird, wird für die Authentifizierung benötigt; benötigt auch einen "harten" kryptografischen Authentifikator.
• Verbandssicherheitsgrad (FAL):

FAL1 - Erlaubt die Freigabe des RP durch den Abonnenten, um eine Bearer Assertion zu erhalten.

• FAL2 - Stellt die Bedingung, dass Die Assertion sollte so verschlüsselt sein, dass die einzige Partei, die sie entschlüsseln kann, die RP sein sollte.
• FAL3 - Fordert, dass der Abonnent den Kontrollnachweis für den kryptografischen Schlüssel, auf den in der Assertion verwiesen wird, sowie die Assertion vorlegt Artefakt.
• Die wichtigsten Änderungen bezüglich SP 800-63A:

Der zulässige Identity Proofing-Prozess wurde überarbeitet.

1. Persönliche Proofing-Optionen wurden erweitert.
2. SP 800-63B

Passwort-Anleitung wurde überarbeitet.

• Unsichere Authentifikatoren werden entfernt.
• Zulässige Verwendung von Biometrie wird erweitert.
• SP 800-63C

Neue Verbundempfehlungen und -anforderungen werden hinzugefügt.

• Cookies wurden als Assertyp verwendet entfernt.
• Die vollständigen Details finden Sie unter

nist.gov .