Кризис идентичности (управления) (часть 1): эволюция концепций идентичности
- Кризис идентификации (управления) (часть 4): выбор комплексного решения для управления идентификацией
Введение
Кража личных данных, управление идентификацией, защита идентификационных данных — идентификация является важнейшим элементом большинства механизмов компьютерной безопасности. Средства управления доступом зависят от идентификации пользователей или устройств, которым разрешено просматривать или использовать ресурсы, и недопущения посторонних. Нас просят «подтвердить» свою личность каждый раз, когда мы садимся в самолет, регистрируемся в гостинице, совершаем покупку с помощью чека или кредитной карты или заходим на компьютер или на защищенный веб-сайт. Но стандарт доказательства часто очень низок, и в мире ИТ у нас, похоже, неправильное представление о том, что такое идентичность на самом деле, а что нет.
В этой статье, состоящей из трех частей, я сначала рассмотрю, как развивалась концепция идентичности, особенно в правовой и технологической сферах. Во второй части мы покажем вам, почему все, что, как вам кажется, вы знаете об идентичности, неверно. Затем, в части 3, мы рассмотрим распространенные решения для управления ИТ-идентификацией, где они несовершенны и как их можно улучшить.
Идентичность: что это на самом деле означает?
«Идентичность» имеет разные значения в зависимости от контекста, в котором оно используется. Это философская концепция, психологическая концепция, юридическая концепция, даже религиозная концепция — и еще то, как мы используем ее в ИТ. В философских терминах это просто относится ко всему, что делает сущность узнаваемой и отличимой от других сущностей. В психологии речь идет об образе человека, социальных ролях и характеристиках личности, и существует множество теорий и моделей, начиная от фрейдистского разделения психики на ид, эго и суперэго и заканчивая эриксоновской структурой, разделяющей личную и социальную или культурную идентичность.. В теологии речь идет о душе.
Это все очень интересно, но я оставлю эти обсуждения людям, которые обучены этим дисциплинам. Для тех из нас, кто занимается киберпреступностью, более важным является то, что идентичность означает в юридическом смысле, и как мир ИТ видит и пытается «управлять» идентичностью. Тем не менее, краткий взгляд на историю и эволюцию определений идентичности в обществе полезен для понимания законодательства и современной практики использования ИТ.
История и эволюция идентичности
Когда вы вступаете в отношения с кем-то — деловые или личные — важно знать, с кем вы имеете дело. Люди различаются по многим параметрам. Мы можем предположить, что до того, как развился язык, люди идентифицировали других людей по тому, как они выглядели, вели себя, издавали звуки (низкое мычание или высокое?), даже по их запаху. Мы знаем, что многие современные животные, такие как собаки, полагаются на свой нос, чтобы интерпретировать мир, и это включает в себя распознавание людей и других животных по их запаху.
С устным и письменным словом пришла практика давать имена предметам и людям. В небольшой популяции имена могли быть уникальными, поэтому, когда вы говорили о «Джоне Смите», все знали, о ком вы говорите. Ранние популяции, как правило, были менее мобильны, поэтому все в деревне не только знали, кто такой Джон, — они знали его с рождения и были знакомы со всеми характеристиками, определяющими «Джона», такими как его голос, походка, забавные жесты. он сделал своими руками и своим общим поведением. Людей часто идентифицировали не только по именам и характеристикам, но и по их происхождению: например, Джон Смит, сын Роберта и Мэри Смит.
По мере того, как население росло и становилось более мобильным, имена дублировались, и люди переезжали в город и из него, а также через него. Иногда их идентифицировали по местам происхождения: например, Джо Джонс из Риверсайда. Но по мере того, как в город приезжало все больше и больше незнакомцев, у нас не было никакой истории с ними и не было никакого способа идентифицировать их, кроме как по именам и другой информации, которую они предоставили, которые могли быть, а могли и не быть их «настоящими» именами. Таким образом, у нас возникла потребность в идентификационных данных.
Когда-то верительными грамотами могло быть что угодно, от рекомендательного письма от кого-то, кто знал вас в течение значительного времени, до записи в семейной Библии. Но правительства превратились в бюрократию, а бюрократы любят вести учет, поэтому документы, удостоверяющие личность, стали обычным явлением, а затем обязательными. Свидетельства о рождении содержали письменную запись имени, места/даты/времени рождения, происхождения. Когда большинство детей рождались дома, у многих людей не было свидетельств о рождении, но по мере того, как процесс родов переместился в учреждения (больницы), правительствам стало легче следить за рождаемостью.
Появление автомобиля имело непредвиденные последствия создания стандартного официального документа, удостоверяющего личность, водительских прав. Этот документ превратился из листа бумаги с вашим именем, датой рождения, адресом и подписью в пластиковую карточку с фотографией, и теперь во многих юрисдикциях включает в себя отпечаток пальца, магнитную полосу с закодированной информацией, голографические отпечатки и/или передатчики RFID.
Сегодня у нас есть множество удостоверений личности. В дополнение к вездесущим водительским правам (или государственному удостоверению личности для тех, кто не водит машину), мы должны получить карточку социального обеспечения для наших детей задолго до того, как они получат право на работу, и даже несмотря на то, что закон изначально специально запрещал его использование в качестве удостоверения личности стало де-факто удостоверением личности, которое мы должны предоставить не только для получения государственных пособий и уплаты налогов, но и для посещения занятий, подачи заявки на получение кредита или даже (в некоторых случаях) подписки на кабельное телевидение или телефон. оказание услуг. Те, кто работает в крупных компаниях, имеют служебные удостоверения. Если мы принадлежим к какой-либо организации, у нас есть членские билеты. Для выезда за пределы страны нам нужны загранпаспорта.
Мы тонем в море идентификационных данных.
Достоверность учетных данных
Не все идентификационные данные одинаковы. Выданные государством удостоверения личности обычно считаются лучшим подтверждением личности, но так ли это на самом деле? Штаты ужесточили свои процедуры, но всего несколько лет назад (до 11 сентября) во многих юрисдикциях было не так уж сложно получить водительские права на любое имя. Я помню, как я женился в 1990-х и пошел в DMV, чтобы сменить имя. У меня не спрашивали свидетельство о браке или какие-либо другие документы об изменении имени; Я просто сказал им новое имя, и они послушно ввели его в систему и выдали мне в ней новую лицензию. Конечно, тогда было совершенно законно изменить свое имя в Техасе по общему праву, то есть просто приняв и используя новое имя. Постановления суда не требовалось (если только вы не являетесь несовершеннолетним).
Сегодня вам нужно пройти еще несколько испытаний, чтобы получить лицензию или изменить свое имя, но это не значит, что они проводят тщательную проверку биографических данных. Добавление отпечатка пальца в базу данных водительских прав немного усложняет вам подделку вашей личности в DMV — если у вас когда-либо брали отпечатки пальцев и этот отпечаток есть в файле. Тем не менее, многие люди, если только они не служили в армии, не были арестованы, не работали в правоохранительных органах или на должности с допуском к секретным службам, не получали лицензию на скрытое ношение оружия и т. д. Однажды, вероятно, все будут брать отпечатки пальцев в детстве; на данный момент это все еще необязательно, но поощряется многими программами безопасности школьников.
Мы думаем, что сегодняшние высокотехнологичные методы идентификации людей превосходят методы прошлых лет, но так ли это на самом деле? Как мы уже упоминали, основой проверки личности до всех этих причудливых карт и научных методов была аттестация — кто-то, кто знал вас, поручился за вас. Интересно, что мы возвращаемся к тому, чтобы увидеть ценность этого в мире, где бумажные, пластиковые и электронные документы можно легко подделать.
ИТ-подход к идентификации
Если вы достигли совершеннолетия, когда IBM PC был королем, и освоили вычислительную технику на какой-нибудь разновидности DOS, вы, вероятно, помните, как загружали свою операционную систему и приступали к работе. Вам не нужно было идентифицировать себя в системе (если для этого не было загружено специальное программное обеспечение). Первые домашние компьютеры обычно использовались всеми членами семьи, и ни у кого не было отдельных учетных записей пользователей.
Но в бизнес-среде было важно определить, кто использует компьютер, хотя бы для того, чтобы знать, кто несет ответственность в случае неправомерного использования системы. Этого удалось добиться путем создания отдельных учетных записей пользователей, но если пользователям не нужно было подтверждать свою личность при открытии своих учетных записей, любой мог использовать чужую учетную запись (что часто и происходило). Таким образом, требуется предоставить учетные данные, чтобы доказать, что вы действительно являетесь пользователем, которому принадлежит эта учетная запись.
Использование паролей (или «секретных кодов») для подтверждения личности существует намного дольше, чем компьютеры. Таким образом, было логично (и просто) использовать систему паролей для аутентификации пользователей компьютеров. PIN-коды — это просто числовой эквивалент буквенных паролей. Однако проблемы с паролями и PIN-кодами как механизмом аутентификации ходят легенды. Если пароли короткие и простые, их легко взломать методом грубой силы. Если они длинные и сложные, пользователи забывают их и/или записывают. Парольные фразы усложняют задачу, хотя их относительно легко запомнить, но они не решают проблему полностью.
Потребность в улучшенном механизме аутентификации привела к концепции многофакторной аутентификации. В дополнение к «что-то, что вы знаете» (пин-код, пароль или фраза-пароль), от пользователей может потребоваться предоставить что-то, что у них есть: смарт-карту или токен, или сотовый телефон, который идентифицирует себя уникальным серийным номером или сигналом, генерируемым программным обеспечением.. Однако система карт / жетонов имеет свои недостатки; физические учетные данные могут быть оставлены дома, потеряны или украдены.
Биометрическая информация считается Святым Граалем аутентификации, поскольку считается, что она основана на «чем-то, чем вы являетесь» — физиологических или поведенческих характеристиках, которые считаются уникальными для конкретного человека и неизменны. Однако даже биометрия не предлагает надежного способа подтверждения личности. Отпечатки пальцев могут быть воспроизведены с помощью слепков (или, в более драматической голливудской манере, плохой парень может просто отрезать палец и использовать его, чтобы получить доступ). Болезни и травмы могут вызывать изменения физиологических характеристик — отпечатков пальцев, узоров сетчатки, голоса, походки и т. д. Существует незначительная, но реальная возможность дублирования, по крайней мере, в той степени, которая используется для объявления соответствия в базе данных. Например, датчик отпечатков пальцев, как и любое электронное оборудование, может выйти из строя. Программное обеспечение, используемое для обработки распечатки и сравнения ее с другими в базе данных, может иметь ошибки. Возможны ложные срабатывания. То же самое верно и для других биометрических методов.
Резюме
Не существует идеальных, безошибочных средств аутентификации личности пользователя. И это осложняется факторами, которые мы обсудим в Части 2: Все, что вы (думаете, что вы) знаете об идентичности, неверно.
- Кризис идентификации (управления) (часть 4): выбор комплексного решения для управления идентификацией