Systèmes d'identité numérique sont d’une importance capitale pour définir notre identité dans le monde numérique, aussi réel que le monde physique et qui nous affecte de manière très directe. C’est la raison pour laquelle la construction de vérification d'identité numérique et authentification d'identité numérique les services ne sont plus une question facultative. Aux États-Unis, il est largement admis que l’identité et l’authentification numériques sont la fondement de la sécurité en ligne et deviennent rapidement une priorité de la sécurité nationale. Les versions de départ de ces services actuellement disponibles fournissent des services de garantie d'identité qui sont utilisés par différents systèmes afin de fournir une forme d'autorisation (physique ou logique).
Qu'est-ce que l'identité numérique?
Une identité numérique est l'information sur une personne ou une organisation utilisée par les systèmes informatiques pour la représenter dans le cyberespace. En termes simples, c’est l’équivalent en ligne de la véritable identité de la personne ou de l’organisateur.
Lis: Vol d'identité en ligne: prévention et protection.
Directives sur l'identité numérique
L’Institut national des normes et de la technologie (NIST) est depuis longtemps reconnu comme une source de référence faisant autorité en ce qui concerne les directives relatives à la garantie de l’authentification.
Le NIST a récemment publié le NIST SP 800-63, maintenant appelé Directives sur l'identité numérique après des mois d'examen public. Cette suite en quatre volumes fournit des directives techniques aux organisations qui utilisent des services d’identité numérique. Le nouveau document met à jour les normes précédentes et les étend pour traiter l'identité et l'authentification en tant que service, en proposant les concepts et le langage indispensables au soin et à l'alimentation des identités numériques - ce que la plupart des experts du secteur appellent une dépense prudente dollars des contribuables.
Publié pour la première fois en 2003, le SP 800-63 est le célèbre document du NIST qui a introduit les quatre niveaux de directives sur l’identité numérique (LOA) - LOA 1, 2, 3 & 4 - comme spécifié dans le Guide d’authentification E-Authentification de la OMB, M-04-04. pour les agences fédérales.
Le principal objectif de cette nouvelle édition du 800-63, sa troisième itération, est de résoudre les erreurs des lettres d'accord afin de transformer le concept en quelque chose de plus significatif à l'aide de processus d'identité modernes, tant pour le secteur privé que pour le secteur gouvernemental.
En bref, le nouveau document introduit les principaux changements suivants:
Le nouveau document découplait en grande partie les LOAS en éléments constitutifs, de manière à ce que toute initiative d'authentification puisse être classée dans les catégories 1, 2 ou 3 pour une facette et complètement différente pour l'autre facette, au lieu d'un numéro général comme LOA 3. Bref, le nouveau SP 800-63 divise le classement en trois segments:
- Inscription et vérification de l'identité (SP 800-63A)
- Authentification et gestion du cycle de vie (SP 800-63B)
- Fédération et assertions (SP 800-63C)
Conformément au nouveau 800-63-3 proposé, trois rangs sont attribués: le niveau de garantie de fédération (FAL), le niveau de garantie d’authentification (AAL) et le niveau de garantie d’identité (IAL).
Niveaux d'assurance de l'identité numérique (IAL):
- IAL1 - auto affirmée; Il n'est pas nécessaire de relier le demandeur à une identité réelle de la vie.
- IAL2 - L’existence réelle de l’identité revendiquée est étayée par des preuves; présence physique ou vérification de l'identité à distance.
- 4ILA3 - La vérification de l'identité requiert une présence physique. Un représentant formé et autorisé doit identifier les attributs.
Niveau d'assurance d'authentification (AAL):
- AAL1 - offre toute assurance que le demandeur réel contrôle l'authentificateur; nécessite au minimum une authentification à facteur unique.
- AAL2 - Offre une grande confiance dans le contrôle des authentifiants par le demandeur; exige deux facteurs d'authentification différents; exige des techniques cryptographiques approuvées.
- AAL3 - Offre une confiance extrêmement forte en ce qui concerne le contrôle des authentifiants par le demandeur; une preuve de la présence d'une clé via un protocole cryptographique est nécessaire pour l'authentification; nécessite également un authentificateur cryptographique «dur».
Niveau d'assurance de la fédération (FAL):
- FAL1 - Autorisations permettant à l'abonné d'activer le RP afin de recevoir une assertion de support.
- FAL2 - Impose la condition selon laquelle l'assertion doit être chiffrée de manière à ce que la seule partie capable de le déchiffrer soit le RP.
- FAL3 - Demande à l'abonné de présenter la preuve de contrôle de la clé cryptographique référencée dans l'assertion, ainsi que l'artefact d'assertion.
Les principaux changements par rapport à SP 800-63A:
- Le processus de vérification d'identité autorisé est réorganisé.
- Les options de vérification en personne sont étendues.
SP 800-63B
- Le guidage par mot de passe a été révisé.
- Les authentifiants non sécurisés sont supprimés.
- L'utilisation permise de la biométrie est étendue.
SP 800-63C
- Les nouvelles recommandations et demandes de la fédération sont ajoutées.
- Les cookies en tant que type d'assertion ont été supprimés.
Les détails complets peuvent être obtenus à nist.gov.
