Importância da Identidade Digital e Novas Diretrizes

Sistemas de Identidade Digital são de grande importância quando se trata de se definir no mundo digital, que é tão real quanto o mundo físico e realmente nos afeta de uma maneira muito direta. Esta é a razão pela qual a construção dos serviços de prova de identidade digital e autenticação de identidade digital não é mais um problema opcional. Existe um amplo consenso nos EUA de que a identidade e autenticação digital são a base da segurança online e estão rapidamente se tornando uma prioridade de segurança nacional. As versões iniciais de tais serviços disponíveis atualmente fornecem serviços de garantia de identidade que são usados ​​por vários sistemas para fornecer alguma forma de autorização (física ou lógica).

O que é Identidade Digital

Uma Identidade Digital é a informação sobre um pessoa ou uma organização usada por sistemas de computador para representá-lo no ciberespaço. Simplificando, é o equivalente on-line à verdadeira identidade da pessoa ou organização

Lê : On-line Roubo de Identidade: Prevenção e Proteção.

Diretrizes de Identidade Digital

O Instituto Nacional de Padrões e Tecnologia (NIST) há muito tempo é reconhecida como uma fonte de referência autorizada em relação à orientação de garantia de autenticação.

NIST lançou recentemente o NIST SP 800-63, agora denominado Diretrizes de identidade digital após meses de revisão pública. Esse conjunto de quatro volumes fornece diretrizes técnicas para organizações que empregam serviços de identidade digital. O novo documento atualiza os padrões anteriores e os expande para abordar a identidade e a autenticação como um serviço, oferecendo os conceitos e a linguagem vitais para o cuidado adequado e alimentação de identidades digitais - algo que a maioria dos especialistas do setor está chamando de despesas prudentes dos dólares dos contribuintes.

Lançado em 2003, o SP 800-63 é o famoso documento do NIST que introduziu os quatro níveis das diretrizes de identidade digital (LOA) - LOA 1, 2, 3 e 4 - conforme especificado pelo M-1 do OMB. 04-04, E-Authentication Guidance para as Agências Federais

O principal objetivo desta nova edição do 800-63, sua terceira iteração, é resolver os erros das LOAs para transformar o conceito em algo mais significativo com a ajuda de processos de identidade modernos para ambos, o setor privado e o governo.

Resumidamente, o novo documento introduziu as seguintes grandes mudanças:

O novo documento desacoplou as LOASs em partes componentes, para assegurar que qualquer iniciativa de autenticação co Pode ser classificado como 1, 2 ou 3 para uma faceta e grau completamente diferente para a outra faceta, em vez de um número geral como a LOA 3. Resumindo, a nova SP 800-63 está quebrando o esquema de classificação em três segmentos:

1. Inscrição e verificação de identidade (SP 800-63A)
2. Gerenciamento de Autenticação e Ciclo de Vida (SP 800-63B)
3. Federação e Asserções (SP 800-63C)

Sob o novo 800-63-3, conforme proposto, basicamente 3 categorias serão concedidas: Nível de Garantia de Federação (FAL), Nível de Garantia de Autenticação (AAL) e Nível de Garantia de Identidade (IAL).

Níveis de Garantia de Identidade Digital (IAL):

• IAL1 - Self Asserted; não é necessário vincular o candidato a qualquer identidade da vida real.
• IAL2 - A existência real da identidade reivindicada é apoiada por evidências; ou prova de identidade fisicamente presente ou remota
• 4ILA3 - A prova de identidade exige uma presença física. Um representante treinado e autorizado deve identificar os atributos

Nível de Garantia de Autenticação (AAL):

• AAL1 - Oferece qualquer garantia de que o reclamante está sob controle do autenticador; precisa no mínimo de uma autenticação de fator único.
• AAL2 - Oferece forte confiança sobre o controle dos autenticadores pelo requerente; exige dois fatores de autenticação diferentes; exige técnicas criptográficas aprovadas.
• AAL3 - Oferece uma confiança extremamente forte sobre o controle dos autenticadores pelo reclamante; uma evidência de ter uma chave via protocolo criptográfico é necessária para autenticação; também precisa de um autenticador criptográfico “duro”.

Nível de garantia da Federação (FAL):

• FAL1 - Permite a habilitação do RP pelo assinante para receber uma declaração de portador.
• FAL2 - Impõe a condição de que a afirmação deve ser criptografada de forma que a única parte que pode descriptografá-la seja a RP.
• FAL3 - Exige que o assinante apresente a prova de controle da chave criptográfica que é referenciada na asserção, bem como a declaração artefato.

As principais alterações em relação à SP 800-63A:

1. O processo de verificação de identidade permissível foi renovado.
2. Opções de verificação presencial são expandidas.

SP 800-63B

• Orientação por senha foi reformulado.
• Os autenticadores não seguros são removidos.
• O uso permitido de dados biométricos é expandido.

SP 800-63C

• Novas recomendações e demandas de federação são adicionadas.
• Cookies como tipo de declaração foram adicionados. removido.

Os detalhes completos podem ser obtidos em nist.gov .