Кризис идентичности (управления) (часть 3): решение проблемы идентичности
Введение
В первой части этой серии мы рассмотрели эволюцию понятия «идентичность» и его значение как внутри ИТ, так и за его пределами. Во второй части мы обсудили, что все, что, как вы думаете, вы знаете об идентичности, и особенно идея о том, что учетные данные равны идентичности, ошибочно. В этой части 3 мы начнем обсуждение некоторых текущих решений по управлению идентификацией, а также новых способов реализации старых методов проверки личности.
Подпись как удостоверение личности
В доэлектронные времена написанное от руки имя служило юридическим представлением личности и намерений человека в контракте или другом документе. Поскольку почерк, как правило, более или менее уникален от одного человека к другому, подпись служит доказательством того, что указанное лицо создало и/или прочитало и согласилось с содержанием документа.
Однако подписи могут быть подделаны (подделаны). Подделка документов является уголовным преступлением, но, вопреки распространенному мнению, простое подписание чужим именем обычно не является подлогом по закону. Например, человек может на законных основаниях дать другому лицу разрешение расписаться от своего имени либо вручную, либо с помощью штампа для подписи или машины; это обычная практика в бизнес-офисах и государственных учреждениях, где человек, чья подпись требуется на огромном количестве документов, не может потратить все время, необходимое для их личной подписи. Чтобы считаться подделкой, подписание чужого имени, как правило, должно быть совершено с мошеннической целью, то есть с целью обмана кого-либо и/или получения выгоды за чужой счет (конкретные элементы преступления будут изложены в законодательных актах, которые квалифицируют его как преступление)., и может отличаться от одной правовой юрисдикции к другой).
Чтобы убедиться, что подпись действительно сделана лицом, чье имя она представляет, подпись может быть нотариально заверена. Нотариус — это государственное должностное лицо, которому правительство поручает наблюдать за подписанием документов (среди прочего) и удостоверять личность подписывающего лица, обычно путем изучения документов, удостоверяющих личность, таких как водительские права или паспорт. Нотариус ставит свою подпись и печать, чтобы удостовериться, что подписывающее лицо является тем, за кого себя выдает.
Цифровые подписи
В мире информационных технологий у нас есть цифровые подписи, которые служат той же цели, выступая в качестве доказательства того, что электронное сообщение или документ были созданы или отправлены физическим или юридическим лицом, от которого оно, по-видимому, исходит. Цифровые подписи могут пойти еще дальше и подтвердить, что сообщение или документ не были изменены каким-либо образом с момента его подписания.
Цифровые подписи существуют, по крайней мере, в концепции, с 1970-х годов (Диффи и Хеллман) и доступны в коммерческом программном обеспечении с конца 1980-х годов (Lotus Notes). Сейчас цифровые подписи становятся все более распространенным явлением, многие правительственные учреждения используют их для публикации официальных документов, и во многих юрисдикциях цифровые подписи имеют юридическую силу, как и собственноручные подписи.
Цифровые подписи используют схему пары открытого и закрытого ключей и поэтому полагаются на инфраструктуру открытых ключей (PKI) для выдачи цифровых сертификатов, содержащих эти ключи для подписи электронных документов. Роль удостоверяющего центра в чем-то похожа на роль нотариуса — это доверенная третья сторона, которая ставит свою «печать одобрения» подписывающей стороне. Закрытый ключ привязан только к этому конкретному лицу, и его использование для подписи документа указывает на то, что это лицо, и никто другой, не подписал. Цифровые сертификаты используются не только для идентификации людей, но и для таких машин, как веб-серверы.
Ключ к доверию к подписи — будь то рукописной или электронной — в качестве подтверждения личности зависит от вашего доверия к третьей стороне — нотариусу или CA — которая поручится за это. Если нотариус небрежно требует документ, удостоверяющий личность, или не знает, как определить, действительно ли удостоверение личности, подлинность подписи может быть поставлена под сомнение. Если CA выдает сертификаты любому, кто запрашивает, под любым именем, без какой-либо проверки того, что запрашивающий использует свою настоящую личность, цифровая подпись бесполезна.
Сертификаты расширенной проверки (EV) намного дороже, чем другие цифровые сертификаты, потому что они требуют более тщательной проверки биографических данных для подтверждения юридической личности объекта. Они существуют с 2007 года, когда были ратифицированы правила их выпуска, и используются для идентификации безопасных веб-сайтов.
При собственноручной подписи каждое отдельное подписание должно быть засвидетельствовано нотариусом. При использовании электронных подписей ЦС выдает сертификат, который затем можно использовать для множества различных подписей. Таким образом, крайне важно, чтобы закрытый ключ хранился в секрете. Если он становится известен кому-либо, кроме назначенного и проверенного подписавшего, он становится бесполезным. Закрытый ключ хранится в файле, который можно хранить на жестком диске компьютера, на съемном диске, например на USB-накопителе, или на смарт-карте.
Помимо подписи
Поскольку подписи можно копировать или подделывать, для подтверждения личности при подписании особо важных документов часто требуется нечто большее. Агентства по выдаче водительских удостоверений, некоторые банки и другие организации могут сфотографировать человека и / или потребовать, чтобы он / она предоставил отпечаток пальца вместе с подписью.
В мире ИТ биометрическая аутентификация выходит за рамки цифровой подписи, которую может украсть хитрый хакер. Как мы обсуждали в части 1, даже биометрия не является надежным способом проверки личности, но она может добавить еще один уровень в процесс проверки. Если у вас есть правильный закрытый ключ, ваш отпечаток пальца совпадает с тем, который хранится для вас в базе данных, вы знаете пароль и можете ответить на некоторые неясные вопросы/ответы с правильной информацией, весьма вероятно, что вы действительно тот человек, за которого ты себя выдаешь. Таким образом, точно так же, как мы ищем решение «глубокой защиты» для защиты наших систем от атак, лучшим выбором для проверки личности является стратегия «глубокой аутентификации».
В чем проблема с этим? С точки зрения администратора безопасности его нет. Но пользователи будут ненавидеть это. И даже мы, профессионалы в области безопасности, если быть честными, немного раздражаемся, когда наши банковские сайты просят нас изменить наши пароли, повторно ввести номер телефона, связанный с нашими учетными записями, и ввести имя собаки тети нашего первого парня перед это позволит нам проверить наши балансы.
Хорошая система управления идентификацией должна быть прозрачной для пользователя, так же как хороший общий план безопасности не может жертвовать удобством использования, иначе он в конечном итоге потерпит неудачу, как намекнул Брюс Шнайер, когда сказал: «Чем более безопасным вы что-то делаете, тем менее безопасным оно становится». становится».
На пути к комплексному решению для управления идентификацией
Управление идентификацией — это больше, чем просто аутентификация личности, хотя аутентификация является важным компонентом. Система управления идентификацией должна сначала установить личности лиц или объектов (таких как компьютеры), а затем использовать эту информацию для управления доступом к ресурсам в системе. Звучит просто, но реализовать это эффективно может быть очень сложно.
В современном ИТ-мире все зависит от EaaS — все как услуга. Система управления идентификацией должна быть интегрирована для беспрепятственного предоставления этих услуг пользователям по запросу, при этом определяя, кто получает доступ к каким услугам и в какой степени. И это идет в обоих направлениях; пользователи также должны иметь возможность проверять личность поставщиков услуг.
Сегодня даже домашние сети требуют некоторой системы управления идентификацией. Родительский контроль основан на аутентификации личности, чтобы дать родителям возможность ограничивать, в какие игры могут играть их дети, на какие веб-сайты они могут заходить, как долго они могут оставаться в сети и так далее.
В части 4 этой серии мы более подробно рассмотрим критерии выбора комплексного решения для управления идентификацией для организации, федеративное управление идентификацией и влияние облака на проблемы идентификации в ИТ. Затем мы кратко обсудим будущее идентичности.
- Кризис идентификации (управления) (часть 4): выбор комплексного решения для управления идентификацией