Ufficio

Importanza dell`identità digitale e nuove linee guida

La gestione documentale: il ciclo di vita dei documenti informatici e la loro efficacia probatoria

La gestione documentale: il ciclo di vita dei documenti informatici e la loro efficacia probatoria

Sommario:

Anonim

I sistemi di identità digitali sono una questione di grande importanza quando si tratta di definire se stessi nel mondo digitale, che è reale quanto il mondo fisico e in realtà ci colpisce in modo molto diretto. Questo è il motivo per cui la costruzione di autenticazione digitale e autenticazione identità digitale non è più un problema opzionale. Negli Stati Uniti esiste un ampio consenso sul fatto che l`identità e l`autenticazione digitali siano la base della sicurezza online e stanno rapidamente diventando una priorità per la sicurezza nazionale. Le versioni principianti di tali servizi attualmente disponibili forniscono servizi di garanzia dell`identità che vengono utilizzati da vari sistemi al fine di fornire una qualche forma di autorizzazione (fisica o logica).

Che cos`è l`identità digitale

Un`identità digitale è l`informazione su un persona o un`organizzazione utilizzata dai sistemi informatici per rappresentarla nel cyberspazio. In parole semplici, è l`equivalente online della vera identità della persona o dell`organizzazione.

Leggi : Furto di identità online: prevenzione e protezione.

Linee guida per l`identità digitale

l`Istituto nazionale degli standard e della tecnologia (NIST) è da tempo riconosciuta come una fonte autorevole di riferimento per quanto riguarda la garanzia di autenticazione.

Il NIST ha rilasciato di recente il NIST SP 800-63, ora chiamato Digital Identity Guidelines dopo mesi di recensione pubblica. Questa suite di quattro volumi fornisce linee guida tecniche per le organizzazioni che utilizzano servizi di identità digitale. Il nuovo documento aggiorna gli standard precedenti e li espande per affrontare l`identità e l`autenticazione come un servizio, offrendo i concetti e il linguaggio fondamentali per un`adeguata cura e alimentazione delle identità digitali - qualcosa che la maggior parte degli esperti del settore chiama una spesa prudente dei dollari dei contribuenti.

Pubblicato per la prima volta nel 2003, SP 800-63 è il famoso documento del NIST che ha introdotto i quattro livelli di linee guida dell`identità digitale (LOA) - LOA 1, 2, 3 e 4 - come specificato dal M- 04-04, Guida di autenticazione elettronica per le agenzie federali.

Lo scopo principale di questa nuova edizione di 800-63, la sua terza iterazione, è di risolvere gli errori degli LOA per trasformare il concetto in qualcosa di più significativo con l`aiuto dei moderni processi di identità per entrambi, il settore privato e governativo.

In breve, il nuovo documento ha introdotto le seguenti modifiche principali:

Il nuovo documento ha disaccoppiato i LOAS in gran parte in componenti, per garantire che qualsiasi iniziativa di autenticazione co uld essere classificato come 1, 2 o 3 per un aspetto e un grado completamente diverso per l`altro, invece di un numero di copertina come LOA 3. In breve, il nuovo SP 800-63 interrompe lo schema di classificazione in tre segmenti:

  1. Registrazione e Identity Proofing (SP 800-63A)
  2. Autenticazione e gestione del ciclo di vita (SP 800-63B)
  3. Federazione e asserzioni (SP 800-63C)

Con il nuovo 800-63-3, come proposto, verranno assegnati fondamentalmente 3 gradi: FAL (Federation Assurance Level), Authentication Assurance Level (AAL) e Identity Assurance Level (IAL).

Digital Identity Assurance Levels (IAL):

  • IAL1 - Self asserted; non è necessario collegare il richiedente a nessuna particolare identità di vita reale.
  • IAL2 - l`esistenza della vita reale dell`identità dichiarata è supportata da prove; prova di identità fisicamente presente o remota.
  • 4ILA3 - La verifica dell`identità richiede una presenza fisica. Un rappresentante addestrato e autorizzato dovrebbe identificare gli attributi.

Livello di garanzia dell`autenticazione (AAL):

  • AAL1 - Offre tutta l`assicurazione che il richiedente effettivo ha il controllo dell`autenticatore; richiede almeno un`autenticazione a fattore singolo.
  • AAL2 - Offre una forte sicurezza sul controllo degli autenticatori da parte del richiedente; richiede due diversi fattori di autenticazione; richiede tecniche crittografiche approvate.
  • AAL3 - Offre una fiducia estremamente forte sul controllo degli autenticatori da parte del richiedente; una prova di avere una chiave tramite protocollo crittografico è necessaria per l`autenticazione; ha bisogno anche di un autenticatore crittografico "duro".

FAL1:

  • FAL1 - Permette l`abilitazione dell`RP da parte dell`abbonato per ricevere un`asserzione al portatore.
  • FAL2 - Implica la condizione che l`asserzione deve essere crittografata in modo che l`unica parte in grado di decrittografarlo sia l`RP.
  • FAL3 - Richiede che l`abbonato presenti la prova di controllo della chiave crittografica a cui fa riferimento l`asserzione e l`asserzione artefatto.

Le principali modifiche rispetto a SP 800-63A:

  1. Il processo di verifica dell`identità consentita è stato rinnovato.
  2. Le opzioni di correzione personale sono state ampliate.

SP 800-63B

  • Guida per la password
  • Gli autenticatori non sicuri sono stati rimossi.
  • l`uso consentito di dati biometrici è stato ampliato.

SP 800-63C

  • Sono stati aggiunti nuovi consigli e richieste federali.
  • I cookie come tipo di asserzione sono stati rimosso.

I dettagli completi possono essere trovati a nist.gov .