.png "Przegląd bezpieczeństwa: Uwagi na temat tożsamości, część 1"){kind=icon}
.png "Windows Server 2008")
Przegląd bezpieczeństwa: uwagi na temat tożsamości, część 2 .png "Udostępnij na: Facebook")
Autor: Jesper M. Johansson
Opublikowano: 11 sierpnia 2009
Zawartość strony
.gif){kind=icon} |
Niezależność od platformy |
|
Dobra współpraca z poznawczymi strukturami klientów |
|
Gwarancja dwustronnej identyfikacji |
|
Trzeba pozwolić użytkownikowi podawać żądania na poziomie pewności odpowiednim do dostarczanych usług |
|
Skupienie się na spójności żądań jako przeciwieństwo kanonicznej tożsamości |
|
Nie mieszajmy poziomów zaufania |
|
Nie naruszajmy praw i regulacji – lub oczekiwań |
|
Pozwolenie na modyfikację lub usunięcie atrybutów użytkownika |
|
Podsumowanie |
W części pierwszej rozpocząłem pracę nad dość zniechęcającym zadaniem, polegającym na opisie systemów identyfikacji, a w szczególności stwierdzenia, dlaczego nie mamy tu nadal obowiązującego standardu. Najpierw zdefiniowałem, czym naprawdę jest tożsamość i czemu ma znaczenie w systemach cyfrowych. Następnie opisałem problemy dotyczące tożsamości – zwłaszcza fakt, że nie mamy jednej tożsamości, lecz mamy ich wiele. Dalej wskazałem, że jeśli stwierdzimy, że mamy za mało tożsamości, zawsze możemy utworzyć lub kupić jeszcze kilka.
Jak widać, sprawia to problemy przy uwierzytelnianiu, gdyż zwykle myślimy o tożsamości jako o tożsamości ontologicznej – reprezentacji rzeczywistej, fizycznej osoby. W większości systemów związek taki okazuje się zbędna komplikacją. Większość tożsamości nie musi być reprezentowana w świecie rzeczywistym przez jednostkę, którą identyfikują, a nawet nie musi identyfikować żadnej rzeczywistej jednostki – w zasadzie często taka sytuacja jest pożądana.
Wreszcie opisałem, jak działa tożsamość – konkretnie, że to, co jest naprawdę interesujące, ma miejsce w systemie socjo-technicznym, gdzie konsument usługi podaje dowód tożsamości. Wskazałem, że udany cyfrowy system identyfikacji musi spełniać określone kryteria i stosować się do podstawowych zasad. W części I opisałem dwie takie zasady: „Dostawca tożsamości jest co najmniej tak wrażliwy, jak najbardziej wrażliwa strona zabezpieczana” oraz „Trzeba zezwolić firmie na ochronę swoich związków z klientem i na posiadanie i kontrolowanie informacji, którą uważa za poufną z punktu widzenia biznesu”. Tu, w części II, kończę cykl opisując dodatkowe zasady, które muszą spełniać udane systemy cyfrowej tożsamości.
Niezależność od platformy
Firmy prowadzą biznes, aby zarabiać, więc dbają o klientów. Będą chciały zmniejszyć ilość „tarć” potrzebnych, aby klient przekazał im swoje ciężko zarobione dolary. Każdy rozsądny biznes będzie unikać stawiania klientom wymagań, które zmniejszają prawdopodobieństwo, że klient zostanie klientem, oraz wymagań zmniejszających bazę klientów. Oznacza to, że żaden większy biznes nie będzie używał rozwiązań dotyczących tożsamości, które uniemożliwiają jakiejś liczbie klientów wydanie pieniędzy w ich biznesie. Podobnie żaden rozsądny biznes nie będzie implementował rozwiązań związanych z tożsamością, wymagających od klienta dodatkowego czasu na zainstalowanie nowego oprogramowania lub komponentów, które umożliwiają ich stosowanie.
Podobne decyzje dotyczące implementacji rozwiązań związanych z tożsamością będą podejmowane także dla podzbiorów klientów. Przypuśćmy, że implementacja rozwiązania kosztuje 5 milionów dolarów. Przyjmijmy także, że wolny przepływ gotówki w firmie – procent dochodu, który nie pochodzi z bieżącego projektu – stanowi 7 procent dochodu brutto. W takim przypadku firma będzie musiała wygenerować dodatkowe 71,5 miliona dolarów dochodu z danego rozwiązania, aby pokryć koszty implementacji. Jest to znacząca wartość, zwłaszcza, jeśli w niewielkim stopniu wpływa na poprawę rozwiązania dla podzbioru klientów. Musiałby istnieć widoczny wpływ na bezpieczeństwo tych klientów, aby uzasadnić wydatek. Niewiele rozwiązań związanych z tożsamością, o ile w ogóle jakieś, spełnia takie wymagania.
.gif){kind=icon}
Do początku strony
Dobra współpraca z poznawczymi strukturami klientów
Ostatecznie używany przez ludzi system tożsamości musi działać w ludzkiej strukturze poznawczej. Choć wydaje się to zaskakujące, ludzie nie ewoluowali w kierunku posługiwania się systemami tożsamości cyfrowej. Nie są też zbyt inteligentnie zaprojektowani do tego celu. Wielu naukowców w naukach poznawczych twierdzi, że podstawowe „okablowanie” istot ludzkich zostało zaprojektowane do życia w jaskiniach, walkę o pożywienie (i partnerów) oraz próbę przetrwania ataków tygrysów szablozębych. Bez wątpienia ludzkość spędziła wiele więcej czasu żyjąc w jaskiniach niż w mieszkaniach i dłużej porozumiewała się sygnałami dymnymi niż elektroniką. W życiu jaskiniowym nie mieliśmy zastosowania dla tożsamości cyfrowych, a w konsekwencji nie ewoluowaliśmy w kierunku przystosowanym do ich zrozumienia.
W wyniku tego nasz poznawczy model świata nie obejmuje zarządzania setkami cyfrowych tożsamości chroniących nasze elektroniczne transakcje. Jednak założenie, że ludzie żyjąc w jaskiniach musieli używać słów kodowych, jest w pełni uzasadnione. Określone słowa miały specjalne znaczenie i dawały określony efekt. Podając jeden przykład – „Proszę” - było zapewne elementem startowym w mowie jaskiniowca.
Nie mówię, że używanie słów kodowych – czy ich dzisiejszego odpowiednika, jakim są hasła – jest jedynym sensownym sposobem autoryzowania tożsamości cyfrowej. Mówię tylko, że jeśli większość użytkowników akceptuje system tożsamości cyfrowej, nie musi to oznaczać zmiany ich poznawczego modelu świata. Modele poznawcze są zwykle ustalone. Możemy radzić sobie z systemami, które do nich nie pasują, ale niesie to za sobą koszty: stres, frustrację i złość. Używanie takiego systemu musi obejmować korzyści przeważające nad tymi czynnikami kosztów. Przeciwnie, system intuicyjnie oczywisty otrzyma większy poziom akceptacji, nawet jeśli oferuje mniej innych korzyści.
Do początku strony
Gwarancja dwustronnej identyfikacji
Wśród najważniejszych aspektów systemu tożsamości cyfrowej, tym, który niestety nie jest dobrze zrozumiany przez użytkowników takich systemów, jest identyfikacja wobec użytkowników końcowych strony polegającej na tożsamości lub/i jej dostawcy. Korzystający z tożsamości, a częściej dostawca tożsamości, jest dla użytkowników końcowych z definicji stroną zaufaną. Dlatego ataki typu phishing – czyli kradzież tożsamości dzięki udawaniu strony zaufanej – odnosi takie sukcesy. Nie jest trudno oszukać wielu użytkowników, aby ujawnili oni swoje sekrety.
Udany system tożsamości cyfrowej musi dopuszczać wzajemne uwierzytelnianie wszystkich stron w sposób pasujący do modelu poznawczego użytkownika systemu. Niestety ten kluczowy aspekt systemu jest często ignorowany przez dostawców usługi. W mojej serii artykułów „Security is About Passwords and Credit Cards” (Bezpieczeństwo dotyczy haseł i kart kredytowych) pokazałem, jak popularna firma zajmująca się kartami kredytowymi aktywnie odmawia użytkownikowi dokonania identyfikacji, zanim użytkownik nie wierzytelni się względem nich. Nie sprawia mi żadnej przyjemności, że w tym artykule mogę poinformować, iż Discover nadal odmawia pokazania użytkownikowi tożsamości cyfrowej przed żądaniem uwierzytelnienia. Jeśli wejdziemy na witrynę Discover, Card, zostaniemy przekierowani i zapytani o nazwę użytkownika i hasło bez możliwości zweryfikowania, czy nie wysyłamy swoich uprawnień do witryny zajmującej się phishingiem. Można tylko zastanawiać się, jak wiele kont Discover zostało ujawnionych dlatego, że właściciele kart są zmuszani przez dostawcę do podawania nazwy użytkownika i hasła każdemu, kto o to poprosi.
Z drugiej strony nie można zaprzeczyć, że SSL jest udanym komponentem systemów tożsamości cyfrowej. Fakt, że pozwala na uwierzytelnienie użytkownika, jest w zasadzie nieznany, przynajmniej użytkownikom. Jest zaprojektowany przede wszystkim w celu udowodnienia tożsamości serwera, co uchodzi uwadze wielu dostawców usługi. Zamiast tego SSL jest używany jako drogi mechanizm wymiany klucza i jako podstawowe źródło zysku dla firm, które wydają certyfikaty, których potem nikt nie sprawdza. Zgodnie z obecną implementacją, SSL zawodzi jako komponent systemów tożsamości cyfrowej. Nie współdziała z poznawczymi modelami użytkowników i choć pozwala na zidentyfikowanie się dostawcom tożsamości, identyfikacja jest prezentowana użytkownikom końcowym tak słabo, że większość nie rozumie, jak z niej korzystać.
Udany system tożsamości cyfrowej obu stron musi identyfikować obie strony transakcji jako integralną część przepływu zadań autoryzacji. Jednak system tożsamości cyfrowej musi przede wszystkim rozwiązywać problem tożsamości cyfrowej. Zarządzanie tożsamością cyfrową, odświeżanie tożsamości cyfrowych, przechowywanie tożsamości cyfrowych, transmisja dowodów poświadczających tożsamości cyfrowe, weryfikacja tożsamości cyfrowych oraz przyznawanie odpowiedniego dostępu do tożsamości cyfrowych stanowią problemy, które same w sobie są dostatecznie trudne. Jeśli system tożsamości cyfrowej można zastosować do ich rozwiązania, stanowi to bonus – ale nie powinno stanowić celów projektowych systemu.
Najlepszym przykładem jest tu phishing. Phishing jest problemem ludzi, a nie jednostek cyfrowych. Phishing to atak na ludzi, nie na technologie. Wreszcie jedynym lekarstwem na phishing jest pomoc w podejmowaniu przez ludzi bardziej inteligentnych decyzji w sprawach bezpieczeństwa. System tożsamości może to zrealizować, ale nie kosztem podstawowego celu systemu, który ma pomagać użytkownikom i dostawcom usług we wzajemnej identyfikacji.
Do początku strony
Trzeba pozwolić użytkownikowi podawać żądania na poziomie pewności odpowiednim do dostarczanych usług
Większość użytkowników korzysta z wielu różnych usług informacyjnych. Niektóre usługi dostarczają bardzo poufnych informacji, jak dane z kont bankowych czy funduszy emerytalnych. Niektóre podają informacje, jak poczta elektroniczna, które mogą być poufne w niektórych przypadkach. Inni dostarczają informacje, które mają znaczenie dla reputacji użytkownika, czego przykładem są serwisy społecznościowe. Inni zaś z kolei przekazują informacje, które w ogóle nie są poufne, jak w przypadku witryn obsługi technicznej oprogramowania.
Jednak, niezależnie od różnych poziomów poufności, z którymi mamy do czynienia w tych usługach, wiele z nich próbuje korzystać z tej samej tożsamości. Na przykład ta sama tożsamość, której używam, aby dostać się do swojej poczty, jest żądana za każdym razem, gdy chcę dostać informacje o produkcie od mojego dostawcy oprogramowania; gdybym chciał, mógłbym zarządzać informacjami bankowymi z tej samej tożsamości. Wydaje mi się, że moja poczta elektroniczna ma znaczną wartość; moje informacje bankowe zdecydowanie ją mają. A informacja o oprogramowaniu? Nie za bardzo. Bez problemu mogę poprosić pracownika działu sprzedaży o wydrukowanie tych danych, a nawet przywiezienie mi ich na odległość 50 km. Uważam, że te informacje nie mają żadnej Wartości.
Ten rodzaj nadmiarowego używania uprawnień jest powszechny w systemach tożsamościowych. Określa się to jako „pojedyncze zgłoszenie” (single sign-on). W pewien sposób jest to koncepcja ponętna. W środowisku przedsiębiorstwa ma duże znaczenie biznesowe i, jeśli nie jest jeszcze dostępna, powinna być szybko dodana. Poza przedsiębiorstwem, gdzie mamy od czynienia z informacjami o bardzo zróżnicowanej wartości, pojedyncze zgłoszenie jest niebezpieczne. Jeśli pójdziemy do kiosku, a sprzedawca zapyta nas o podanie dwóch rodzajów tożsamości, zanim sprzeda nam gazetę, z pewnością zaprotestujemy, ale to samo żądanie przed pobraniem 2000 dolarów z konta bankowego lub odjechaniem nowym samochodem z salonu nie wzbudzi żadnego zdziwienia.
Taka sama separacja żądań musi być obsługiwana przez udany system tożsamości cyfrowej. Użytkownicy powinni mieć możliwość przedstawiania uprawnień odpowiednich do poziomu ryzyka, jakie reprezentują dane lub usługi, których żądają.
Pojedyncze zgłoszenie jest nieodpowiednie w szeroko stosowanych systemach tożsamości cyfrowej. Z pewnością akceptowalne jest korzystanie z pojedynczego zgłoszenia w celu dostępu do samego systemu, ale konkretne uprawnienia prezentowane stronie polegającej na nich – dostawcy usługi – muszą być odpowiednie do usługi otrzymywanej przez użytkownika. Dlatego jest bardzo prawdopodobne, że niezależnie od formy, jaką przyjmie udany system tożsamości cyfrowej, będzie on obsługiwał system dwuwarstwowej tożsamości: jedną warstwę do zarejestrowania tożsamości cyfrowej i drugą do zidentyfikowania użytkownika względem drugiej strony. System, który odpowiednio zapewnia takie możliwości, to system Microsoft InfoCard.
Jeszcze lepiej, gdy dobry system tożsamości cyfrowej będzie ułatwiał użytkownikowi podawanie usłudze zbioru żądań zdefiniowanych dla tej usługi, ostrzegając go przed podaniem ich innej usłudze. Innymi słowy, system tożsamości cyfrowej powinien pomagać użytkownikom w identyfikacji dostawcy usług, do którego chcą uzyskać dostęp.
Do początku strony
Skupienie się na spójności żądań jako przeciwieństwo kanonicznej tożsamości
Udany system tożsamości cyfrowej musi respektować prawo jednostki do prywatności. Wprawdzie dokładne oczekiwania co do prywatności bardzo się różnią pomiędzy kulturami, ogólna chęć zachowania przez ludzi prywatności jest, niezależnie od definicji, poza dyskusją. Można ją nawet określić jako potrzebę bezpieczeństwa, zgodnie z hierarchią potrzeb Maslowa pokazaną na rysunku 1. Maslow, pisząc w czasach sprzed Internetu, nie uwzględnił prywatności, gdyż w 1943 roku nie stanowiło to specjalnego problemu.
.jpg)
Rysunek 1: Hierarchia potrzeb Maslowa (od góry): samodoskonalenie, szacunek, miłość/przynależność, bezpieczeństwo, fizjologia.
Jeśli przyjmiemy, że prywatność jest jedną z potrzeb człowieka, a przynajmniej jego pragnieniem, możemy omawiać tę potrzebę w kontekście systemu tożsamości cyfrowej. Rozważmy, na przykład, system w postaci forum dyskusyjnego dotyczącego naszego ulubionego hobby. Większość takich forów dyskusyjnych wymaga uwierzytelnienia: innymi słowy implementują one system cyfrowej tożsamości. Jakiej tożsamości użyjemy na tym forum? Czy użyjemy prawdziwego imienia, czy też użyjemy przydomku w rodzaju „Deep Diver 13"? Większość z nas użyje zapewnie jakiegoś przydomku. Wymaganie zarejestrowania się w tym celu za pomocą poprawnego numeru telefonu lub adresu domowego byłoby zapewne uznane za pogwałcenie prywatności. Wymaganie od nas użycia tożsamości cyfrowej, która przekłada się na naszą osobę fizyczną, a także na nasze dane o zdrowiu, zostanie z pewnością uznane za pogwałcenie prywatności.
Często wyrażałem opinię, że dla większości celów systemy tożsamości cyfrowej muszą zajmować się jedynie tym, czy użytkownik potrafi konsekwentnie kłamać. Użytkownik nie musi wiązać swojej tożsamości cyfrowej w danym systemie z tożsamością fizyczną, a nawet z tożsamością cyfrową używaną w innym systemie. Korzystając z różnych tożsamości cyfrowych użytkownicy powinni mieć możliwość tworzenia swoich prawdziwych tożsamości i ukrywania połączeń z innymi systemami, na tym samym lub na innym poziomie wrażliwości.
W swej istocie system musi skupiać się na spójności prezentowanych przez użytkownika żądań, a nie na łączeniu tych żądań z kanoniczną, zwykle ontologiczną, tożsamością. Dopóki prezentowany jest ten sam zbiór żądań, użytkownik powinien zostać zaakceptowany i dla większości celów system nie potrzebuje nic więcej. Popatrzmy na witrynę detaliczną w sieci Web. Dla sprzedawcy detalicznego nie ma żadnego znaczenia, kim jest użytkownik, o ile prawa dotyczące zawieranej transakcji tego nie wymagają. Sprzedawca dba tylko o to, czy użytkownik przedstawia dziś te same kłamstwa co wtedy, gdy zakładał konto i czy jego sposób płatności nadal funkcjonuje. W większości przypadków wystarcza to do zawarcia udanej transakcji. Wiele systemów tożsamościowych nadmiernie rozbudowuje część dotyczącą tożsamości i próbuje powiązać ją z osobą, a nie z użytkownikiem.
Być może znacznie ważniejszy od zapewnienia użytkownikowi możliwości ochrony swojej tożsamości ontologicznej jest prosty sposób tworzenia tożsamości. System tożsamości cyfrowej jest w końcu tylko programem. Może bez problemu pomagać użytkownikom w zarządzaniu tożsamościami w sposób maksymalizujący jego prywatność. System tożsamości cyfrowej, który implementuje takie możliwości, ma znacznie większą szansę na sukces niż ten, który to ignoruje.
Do początku strony
Nie mieszajmy poziomów zaufania
Interesującą cechą systemów tożsamości cyfrowej jest fakt, że często wymagają one wykorzystania innego dostawcy tożsamości niż dostawca usługi. Jeśli zaufanie, jakie użytkownik ma do dostawcy usługi, nie jest zgodne z poziomem zaufania dla dostawcy tożsamości, mamy do czynienia z oczywistym rozdźwiękiem. Jeśli użytkownik ufa dostawcy usługi, ale nie ufa dostawcy tożsamości, z którego korzysta dostawca usługi, użytkownik będzie się wahał, czy skorzystać z tego dostawcy usługi. Interesującym przykładem, gdzie może to wystąpić, jest Expedia.com. Ta dawna firma, zależna od firmy Microsoft, korzysta do uwierzytelniania z Microsoft Passport, obecnie zwanego Windows Live ID, co pokazano na rysunku 2.
.jpg)
Rysunek 2: Expedia obsługuje zgłoszenie do systemu za pomocą Windows Live ID.
Przyjmijmy teraz, że użytkownik ufa firmie Expedia, ale nie ma zaufania do firmy Microsoft. Jeśli Expedia będzie wymagała skorzystania z Windows Live ID (czego nie robi), to czy ten użytkownik będzie w ogóle chciał korzystać z Expedii? Może tak. Może nie. Niezależnie od konkretnego przypadku, użytkownik może użyć tożsamości Expedii na witrynie Expedii, zamiast tej z Windows Live ID, i niektórzy użytkownicy będą woleli tak właśnie postąpić.
Oczywiście ten sam problem z zaufaniem może działać w drugą stronę. Jeśli użytkownik ma zaufanie do firmy Microsoft, ale nie ma zaufania do Expedii, może nie chcieć korzystać z serwisu Expedii, jeśli wymaga ona użycia Windows Live ID. Może użytkownik ten korzystał z Windows Live ID do bardzo wrażliwych działań, jak ochrona informacji bankowych za pośrednictwem MSN Money. W takim przypadku niektórzy użytkownicy będą niechętnie korzystać do rezerwacji podróżnych z tego samego identyfikatora Windows Live ID, który chroni informacje o ich koncie bankowym.
Ta właściwość systemu jest zgodna z poprzednim elementem dotyczącym zgodności żądań z wrażliwością chronionych informacji. Krótko mówiąc, użytkownik musi mieć zaufanie do określonych stron transakcji, ale różny może być stopień zaufania do różnych stron. Mieszanie poziomów zaufania może łatwo prowadzić do utraty zaufania do systemu przez użytkowników.
Do początku strony
Nie naruszajmy praw i regulacji – lub oczekiwań
Kilka zagadnień związanych z zarządzaniem bezpieczeństwem informacji jest dziś irytujących z uwagi na wymagania prawne i regulacyjne. Choć wielu specjalistów od bezpieczeństwa nie będzie uważać prawników za swoich najlepszych przyjaciół, stają się oni absolutnie niezbędni w tych sprawach. Prywatność jest podmiotem prawa i regulacji, a te różnią się zależnie od jurysdykcji.
Stawia to interesujące zagadnienie. Przypuśćmy, że określony system tożsamości cyfrowej aktywnie rekrutuje podmioty na nim polegające. Żądania tożsamości są wybierane przez podmiot polegający na tożsamości zapewniający informacje, które nie są bardzo wrażliwe, jak dostęp do forum dyskusyjnego. Strona polegająca na tożsamości zapewnia poziom bezpieczeństwa dla żądań tożsamości współmierny z wrażliwością dostarczanych informacji – innymi słowy niewielki. Przypuśćmy teraz, że dostawca tożsamości podpisuje umowę z agencją dostarczającą informacje kredytowe i konsekwentnie modyfikuje pakiet żądań tak, aby włączyć do niego numer identyfikacyjny (na przykład Pesel) lub coś podobnego. Te nowe żądania zostają nagle przekazane do forum dyskusyjnego. Protokoły bezpieczeństwa forum dyskusyjnego nie zapewniają poziomu zabezpieczeń wymaganego dla takich informacji, co może pogwałcić różne prawa i regulacje.
Jest to zwykle proste zagadnienie do obejścia i, jeśli pozostałe zasady są przestrzegane, ta zapewne nie zostanie pogwałcona. Podobnie systemy tożsamości cyfrowej, które są używane w różnych krajach, muszą być wrażliwe na różnice w przepisach. Żądanie określonego elementu tożsamości może być w pełni uzasadnione w jednym systemie prawnym, zaś żądanie tej samej informacji gdzieś indziej może być nielegalne lub podlegać określonym regulacjom.
Na przykład żądanie podania wieku jako części systemu tożsamości cyfrowej sprawia, że dostawca tożsamości podlega w USA prawu ochrony prywatności dzieci, Children's Online Privacy Protection Act, oraz podobnym przepisom w innych systemach prawnych. Jeśli jakikolwiek dostawca tożsamości pozwoli na dostęp do tych informacji podmiotowi, który tego nie wymaga, wymaganie zgodności jest przekazywane do podmiotu polegającego na tożsamości, nawet jeśli tamten nie chce tej informacji. Oczywiście dla systemu tożsamości cyfrowej jest sprawą decydującą, aby potrafił przestrzegać tego rodzaju praw i regulacji nie doprowadzając od łamania ich przez kogokolwiek.
Do początku strony
Pozwolenie na modyfikację lub usunięcie atrybutów użytkownika
System tożsamości cyfrowej musi wreszcie dać użytkownikom możliwość kontroli nad ich danymi. Jest to zapewne najbardziej kontrowersyjna ze wszystkich podanych tu zasad. Dostawcy tożsamości bardzo często uważają zebrane przez siebie informacje za dane biznesowe. Z kolei użytkownicy, przeciwnie, uważają nazwiska, adresy i inne informacje za swoją osobistą własność, której mogą używać, jak chcą, co prowadzi do możliwości odmówienia innym ich posiadania.
Obecne praktyki odmawiają użytkownikom prawa do pełnej kontroli dostępu do swoich informacji. Każdy, kto próbował zmusić jedną z trzech amerykańskich agencji tworzących raporty kredytowe do usunięcia osobistych informacji, podpisze się pod tym stwierdzeniem. Nawet jeśli posiadane informacje są nieprawdziwe, agencje nadal będą je ochoczo sprzedawać. Dokładność i aprobata przez podmiot danych jest dla nich bez znaczenia. Dyskusja na temat etyki systemu, gdzie ktoś może korzystać z informacji o naszej tożsamości bez naszej zgody, wykracza poza zakres tego artykułu, ale aby system tożsamości cyfrowej był szeroko akceptowany przez użytkowników, nie może umieszczać informacji o użytkownikach poza ich kontrolą.
Oznacza to, że musi istnieć możliwość zmiany wszystkich informacji, wraz z elementem, takim jak nazwa użytkownika. Bardzo częstą nazwą użytkownika jest adres poczty elektronicznej. Pomijając fakt, że używanie takiego adresu jako identyfikatora może naruszać niektóre z zasad podziału omawiane wcześniej, to używanie go jako identyfikatora ma sens, ponieważ mamy gwarancję, że jest on unikatowy. Jednak jest to także element zmienny i ktoś może otrzymać adres pocztowy, który był wcześniej używany. Oznacza to, że system tożsamości musi nie tylko pozwolić użytkownikowi na modyfikację swego identyfikatora użytkownika, jeśli jest to adres poczty elektronicznej, ale także system musi umieć poradzić sobie z problemami pojawiającymi się, gdy nowy użytkownik przejmuje stary adres. Co stanie się, jeśli nowy użytkownik będzie chciał skorzystać z funkcji zapomnianego hasła i otrzyma dostęp do informacji z czyjegoś innego konta? Nie jest to sytuacja optymalna. Usunięcie adresu pocztowego jest w pełni uzasadnionym przypadkiem. System tożsamości cyfrowej musi poradzić sobie z tą ewentualnością, a także z innymi zmianami informacji, jak na przykład nazwiska.
Do początku strony
Podsumowanie
Widać jasno, że systemy tożsamości cyfrowej są dość skomplikowane. Nie tylko trudno je zbudować, co już wiemy, ale zasady, z którymi muszą być zgodne, aby odnieść szeroki sukces, są także skomplikowane. Z tej dyskusji możemy wyciągnąć dwa wnioski. Pierwszy – że systemy cyfrowej tożsamości muszą zostać uproszczone. Spędziliśmy kilka lat próbując opracować systemy, które pracują dla użytkowników, a nie przez użytkowników. Systemy tożsamości cyfrowej muszą zapewniać użytkownikom kontrolę nad ich informacjami, bez wyłączania możliwości ich żądania. Z drugiej strony muszą obsługiwać użytkowników, którzy pragną pozostać anonimowi. Ponadto nie mogą wymagać od biznesu wydawania na system więcej, niż implementacja systemu jest dla tego biznesu warta.
Po drugie systemy tożsamości cyfrowej muszą zapewniać usługi identyfikacyjne odpowiednie do sposobu ich użytkowania. Muszą zapewniać wiele poziomów żądań, aby obsłużyć poziom pewności wymagany dla systemów, w których żądania te używane są do uwierzytelnienia. Innymi słowy, w Internecie jako całości, pojedyncze zgłoszenie będzie zapewne odpowiednie tylko w systemach zarządzania tożsamościami – nie będzie chodzić o samą tożsamość.
Zobaczymy, czy kiedykolwiek pojawi się jeden, bardzo udany system, który będzie spełniał wszystkie opisane zasady. Większość ludzi jest zgodna, że jeszcze nie doszliśmy do tego punktu.
O autorze
Jesper M. Johansson jest głównym architektem zabezpieczeń w znanej firmie z listy Fortune 200, pracującym nad wizją zabezpieczeń opartych na ryzyku i nad strategiami bezpieczeństwa. Jest także współpracującym wydawcą magazynu TechNet Magazine. Jego praca polega na zapewnieniu bezpieczeństwa w największych i szeroko dostępnych na świecie systemach. Ma doktorat z zarządzania systemami informacyjnymi, ponad 20 lat doświadczeń w dziedzinie bezpieczeństwa i tytuł MVP (Microsoft Most Valuable Professional) w dziedzinie bezpieczeństwa firm ( Enterprise Security). Jego najnowsza książka to Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).
| Do początku strony |