安全监视 第 2 部分的身份的想法
Jesper M. Johansson
内容
是不可知的平台
与用户的认知框架
保证双向标识
允许用户具有适用于服务提供的保证级别提供声明
专注于与一个规范的标识而不是声明的一致性
不要混合信任级别
不违反法律或法规,或期望
允许所有面向用户的修改或删除属性
摘要
我 embarked 有点令人生畏任务描述身份识别系统的最后一个月,并且,特别,为什么我们仍然 don’t 具有行业标准的一个。 第一个,我 defi ned 什么标识真正,为什么我们关心标识在数字系统。 然后我将介绍标识问题 — 事实所有有不只是一个值得注意的是,标识,但很多。 然后我指出如果您不相信您有足够,可以始终创建,或购买,几个更多。
讨论,这将创建一个问题在身份验证因为我们通常认为作为 ontological 身份标识的 — — 一个真实的物理的人的表示形式。 在大多数的系统中的关系是一个不必要的复杂证明。 大多数的标识不需要是代表实际的实体不识别或甚至根本识别任何实际的实体的 — — 事实上,通常很不需要为他们这样做。
最后,我介绍身份验证的工作原理 — — 特别,真正感兴趣的部分其中的某些服务使用者提供身份证明 socio 技术的系统中发生。 我记录成功的数字标识的系统必须满足某些条件,并且符合基本原则的一组。 在部件我,我将介绍这前两个原则:"的标识提供程序为最敏感的依赖方至少敏感"和"允许企业保护其客户的关系,并可拥有和控制它认为作为业务机密的信息。" 此处,在部分 II,我认为系列通过覆盖其他成功的数字标识系统必须满足的原则。
是不可知的平台
因为它们将资金的企业中,公司将满足客户的需要。 它们将 endeavor 以减少所需的客户交付通过其硬盘盈余分析美元的矛盾。 任何智能业务将避免进行降低的保持客户,客户的可能性及其客户的要求也减少了客户群的任何要求。 这意味着没有主流业务将排除某些数字的客户能够花在业务的资金的标识解决方案。 同样,将没有有理业务实现需要转到额外的线圈以安装新软件或组件中使用该客户的标识解决方案。
标识解决方案适合只有一个客户的子集会类似的实现决定。 假设这样一种解决方案的成本 5 万美元来实现。 此外假设可用的现金流负责业务 — — 它不 earmarked 的任何当前开发项目的收入的比例 — — 是 7%的总的收入。 在这种情况下该公司需要从解决方案只包括实施成本的收入中生成的其他 71.5 万美元。 是一个重要的数字,尤其是当它为客户的一个子集提供了仅一个逐渐改进的解决方案。 那里必须是一个 measureable 影响这些客户证明它的安全性。 几个,如果任何,标识解决方案满足这些要求。
与用户的认知框架
最终,人们使用的身份识别系统必须人类的认知框架内工作。 在意外可能看起来,人类没有发展为可处理的数字标识系统。 也可以它好像它们特别智能旨在执行此操作。 cognitive 科学中的许多 scholars 声称人类的基本配线旨在处理生命周期中一个 cave,foraging 食品 (和 mates),可以攻击经受得住 toothed saber 的猫的尝试。 肯定,人类所花费很长的生活 caves 比隔间中的和很长时间与通信冒烟信号比 electrons。 在 cave 生命,我们很少用于数字的标识,并因此,我们没有发展布线特别适合了解它们与。
因此,我们世界上的精神的模型不包含管理数百个来保护电子交易记录的数字标识。 但是,它是假定用户不得不时居住在 caves 使用代码的单词非常合理的。 确保单词可能有特殊的含义并得到了特殊的结果。 " 请"可能有某种 forerunner 在 caveman 说话,只需说一。
我不说使用或当前相当的代码的单词密码) 是只是合理的方法进行身份验证数字标识。 我并说是否大部分用户接受您的数字标识的系统,它必须不要求他们更改它们的认知模型在世界。 认知的模型是很大程度上硬连线的。 我们当然可以处理不适合使用认知模型的系统,操作因此方面的成本,但: 压力、 失败和 anger。 使用这样一个系统必须包括一个比更重要的因素的成本的好处。 相反的直观地明显的系统都将收到采用更高级别,即使它提供了较少的其他好处。
保证双向标识
之间的数字标识的系统最重要方面),遗憾的是,不充分了解的这类系统的用户的另一个 — — 是依赖方和/或最终用户标识提供者的标识。 依赖方或更常见的服务提供商 — — 通常是隐式受最终用户。 这就是为什么仿冒攻击 — 也就通过伪装成受信方窃取身份,这样令人难以置信的成功。 它会以欺骗足够数量的用户,以显示其机密的很多。
成功的数字标识的系统必须允许所有方验证自身身份适合认知系统用户的模型的方式。 遗憾的是,系统的此重要方面是通常由服务提供程序忽略。 我"安全是关于密码和信用卡卡"系列中,我阐释如何受欢迎的信用卡公司积极地拒绝您对其进行身份验证之前要标识自身。 在撰写本文时它给我没有 pleasure 发现仍拒绝向用户数字标识之前要求用户进行身份验证的报表。 请转到在发现卡网站如果您将被重定向,要求您的用户名和密码没有任何可以验证您不能向一个仿冒站点发送您的凭据。 一个可以只想知道因为 cardholders 有多少发现帐户已被破坏可调提供程序,他们的用户名和密码要求的任何人。
而在另一方面,很难认为 SSL 已成功的数字标识的系统组件。 这一事实它允许用户身份验证是几乎未知,至少用户。 许多服务提供商将忽略这一事实它主要用于证明服务器标识。 而是,使用 SSL,作为一种昂贵的密钥交换机制以及颁发证书的检查没有人厌烦的公司的收入的主要源。 当前实现,SSL 作为组件发生故障的数字标识系统中。 它不能与用户的认知模型并时,它允许服务提供商进行自我标识,此标识提供给最终用户因此差的最不了解如何使用它。
成功的端到端的数字标识的系统必须对这两个参与方的标识交易记录身份验证工作流的组成部分。 但是,数字标识的系统必须首先并确定后,数字标识的问题解决了。 管理刷新存储数字的标识的数字标识的数字标识传输证明数字标识、 验证数字的标识和授予适当的访问权限将数字标识的声明是很难在他们自己的所有问题。 如果数字标识的系统可用于解决其他问题也的奖金,但不应在系统的设计目标是。
一个很好的示例是网络仿冒。 仿冒网站是一个人的问题,不是数字的标识一个。 仿冒攻击人类不技术。 最终,仿冒到唯一的解决方案将帮助用户做出更明智的安全决策。 一个标识系统可以肯定这样,但不是代价是帮助用户和服务的系统的核心目的提供程序识别本身彼此。
允许用户具有适用于服务提供的保证级别提供声明
大多数用户使用许多不同的信息服务。 某些服务提供了如银行帐户或退休的存款帐户的高敏感度信息。 某些提供了可能在某些情况下作为电子邮件等敏感信息。 其他人提供信息,如社交网络网站的用户的声誉的值。 仍然其他人提供不如软件供应商的技术支持网站所有敏感的信息。
还,区分大小写与这些服务所涉及的不同级别,尽管许多尝试使用相同的标识。 渚嬪的方式 每次试图从我的软件供应商获取产品信息请求相同的标识用于访问我的电子邮件 ; 濡傛我閫夋嫨涓烘 锛岃可以管理具有相同标识我银行的信息。 我认为我的电子邮件有很大的值 ; 我的银行信息明确。 软件产品的信息? 不如此。 因为我可以轻松地打印出和即使驱动器 30 英里提供所有销售员,我认为有几乎没有值的信息。
这种类型的重载使用是凭据的 endemic 标识系统。 它称为"单一登录"。 一些的方法单一登录是一个更具吸引力的概念。 在一个企业环境中有很好的商业价值,如果没有可用的它应被添加到议程现在。 外,我们将处理非常不同的信息的在企业单个符号的是值的危险的。 如果您向上遍历到您 newsstand,销售人员要求您为标识的两个窗体之前允许您已购买您早上纸张,了肯定会对象,但同一请求之前,您可以取消 2,000 美元计算从您的银行帐户或离开中新汽车的驱动器不会引发您眉毛。
成功的数字标识的系统必须支持相同的声明分离。 用户应当能够提供一组凭据适用于由该数据的风险的级别,或者它们服务 arerequesting。
单一登录不适广泛使用的数字标识的系统。 当然可以接受使用单一登录,来访问系统本身,但实际的凭据提供给依赖方服务提供程序 — 必须与接收用户服务等。 原因很可能,采用任何窗体的成功的数字标识的系统,它将支持两层标识系统高度: 一层,它本身与另一个用于实际标识到依赖方用户登录到系统中的数字标识。 Microsoft 的 InfoCard 系统一个很好地提供此功能的系统。
更好地仍,良好的数字标识的系统应使其便于用户提交一组声明定义为服务到该的服务,但将它们提交到另一个服务时警告用户。 换而言数字标识的系统应帮助标识服务提供程序试图访问的用户。
专注于与一个规范的标识而不是声明的一致性
成功的数字标识的系统必须遵守个人的从右到隐私。 隐私的确切希望与大大不同区域性之间的隐私,在总体人需要但它定义当 indisputable。 您甚至可能调用隐私的固有的人需要。 它可以很容易地被视为 Abraham Maslow 的层次结构 图 1 所示的需求的下一个安全需要。 Maslow,编写 pre-Internet 的时间可能只具有排除它,因为隐私的问题中没有 1943年。
图 1 Maslow 已经层次结构的需要
如果我们接受为人需要,或至少需要隐私,我们讨论的数字标识的系统的上下文中需要。 渚嬪的方式 请考虑一个系统 (如有关您最喜爱的爱好讨论板。 大多数类讨论板要求身份验证 ; 换而言,它们实现的数字标识系统。 您使用该板什么身份? 您执行使用您的真实名称,或者您转由一个名字对象,如"详细 Diver 13"吗? 我们的大多数可能会使用某种类型的别名。 我们这一目的注册一个有效的电话号码和住宅地址要求将可能被视为与隐私的冲突。 需要我们可以使用数字标识的映射给我们物理的人,并这还将映射到我们的运行状况记录几乎肯定将被视为与隐私的冲突。
我通常所说的,大多数用于数字的标识系统需要只能关心是否可以一直位于用户。 用户不一定要绑定到一个物理标识或甚至另一个系统中使用数字标识他或她的数字标识给定的系统。 用户应该能够隐藏其真正的身份,并隐藏链接到其他的系统是否相同的敏感度级别或其他的使用不同的数字标识。
在实质的方式上系统,必须集中提供的用户,声明的一致性而非绑定到规范,通常 ontological,标识这些声明。 只要显示相同的声明集,用户应该接受,大多数进行的所有系统要求。 以零售网站为例。 零售商实际上不需要关心谁用户实际上是,除非法律控制事务需要它。 零售商需要大约只关心用户是否可以显示在同一所在现在为它们设置他们的帐户时,是否付款的方法仍然正常工作。 在大多数情况下,足以使一个成功的事务。 许多身份识别系统过度"标识"部分,并尝试将用户,而不是与用户的标识。
比提供能够保护用户甚至更重要他或她 ontological 标识是能够很容易地制造标识。 毕竟,数字标识的系统是只是软件。 它可能非常轻松地帮助用户管理标识最大化用户隐私。 实现此功能的数字标识的系统代表一个多更好地成功的可能性比忽略它。
不要混合信任级别
数字标识的系统的一个有趣的功能是它们通常需要使用一个标识提供者与服务提供程序不同。 如果的信任该用户将服务提供程序中不匹配的放置在标识提供程序的信任级别,还有明显 discord。 如果用户信任,则服务提供程序会,但是不标识提供程序服务提供商使用,用户可能使用服务提供程序,因此非常不愿意。 这可能会发生有趣示例是 Expedia.com。 以前一的 Microsoft 子公司导航使用 Microsoft Passport,现在 Windows Live ID,进行身份验证,如 图 2 所示。
图 2 导航支持签入与 Windows Live ID。
现在让我们假设用户信任导航,但不是 Microsoft。 如果导航所需的 Windows Live ID (不是) 使用该用户会愿意在所有使用导航吗? 可能。 您可能不会。 以这种情况可能,用户能够使用上一,Windows Live ID 与相对导航导航标识,某些用户可能希望的。
当然的信任问题进入其他方式。 如果用户信任 Microsoft,但不是导航,用户可能会使用导航,如果它需要使用 Windows Live ID。 可能是用户具有用于 Windows Live ID 如不是保护通过 MSN Money 银行帐户信息等高度敏感目的。 在这种情况下某些用户可能不愿意使用同一 Windows Live ID 保护簿旅行预订的银行帐户信息。
系统的此属性是信息的很多行与上一项有关需要依照它们保护的敏感性的声明中。 在一个简单地说用户必须信任某些方在任何的事务,但可能不同,这些参与方是受信任程度。 混合信任级别很可能向用户提供怀疑系统的原因。
不违反法律或法规,或期望
在信息安全管理中的几个问题现在是为 vexing 作为法律和法规遵从性。 虽然很多安全专业人员可能不希望考虑为其最佳的朋友的律师,律师越来越绝对必要的原因。 隐私的法律和法规,并且这些法律和法规的不同区域的不同。
这将引发一个有趣的问题。 假设一个特定的数字标识的系统主动招聘依赖方。 标识声明获取选取依赖方提供的不如访问论坛非常敏感的信息。 依赖方的标识声明相当敏感度的信息与他们提供中提供的安全级别,换而言非常小。 现在假设标识提供程序对合同的信用报告代理机构进行签名和因此修改声明数据包包含国家 (地区) 的 ID 号或它的一些表示形式。 此新的声明突然正在传输到讨论板。 讨论板的安全协议没有提供所需的这样的信息,因此它可能会违反法律和法规的各种安全级别。
这些是瑕佽 В 鍐虫,通常简单的问题,如果剩余的原则后面紧跟不太可能将违反此,但它仍然是重要的考虑因素。 同样,国家 (地区) 的边框内使用的数字标识的系统必须是不同的规则对敏感的。 要求特定的一条标识信息可能在一个区域中完全合法 ; 要求与其他位置的信息可能非法或遵守法规。
渚嬪的方式 询问年龄的数字标识的系统的一部分将属于孩子的联机隐私保护法案标识提供程序中在美国和其他区域类似法律。 如果标识提供程序使该信息可供不请求它的任何依赖方,遵从性要求传输到该依赖方即使它不需要的信息。 很明显,很关键的数字标识的系统能够针对这些类型的法律和法规和不将任何人都放在冲突中。
允许所有面向用户的修改或删除属性
最后,数字标识系统必须将用户放在他们自己的数据的控件中。 这可能是所有原则最有争议。 标识提供程序通常查看它们作为业务数据收集的信息。 用户,相反,考虑他们的姓名、 地址和其他信息使用,因为其查看适合其个人属性,使其包括吊销的人可能的。
清楚地,当前操作已经拒绝用户的权限完全控制对其信息的访问 ; 试图获取三个美国之一的任何人 若要删除个人信息的信用报告机构可以证明此。 即使作为正确记录该信息,在信用报告的代理都将被保留销售它通常高兴。 准确性和数据的主体的审批是不相关。 讨论在系统中其他人允许从您的标识信息未经您的同意,我们的利润的道德超出了范围本文的但一个荤粺被广泛接受的用户的数字标识系统必须不将超出其控制范围的用户的信息。
这意味着,必须修改包括方面,如用户名的所有信息。 用户名的常见类型是电子邮件地址。 不论使用的电子邮件地址作为标识符可能会违反分离原则前面讨论的某些事实也最好作为标识符中使用的电子邮件地址,因为它的保证是唯一的。 但是,它也是一个可变的实体,另一个人通常被授予一个以前使用过的电子邮件地址。 标识系统必须不只允许用户修改他或她的用户 ID (如果它是一个电子邮件地址但还意味着系统必须处理旧地址选取新用户时出现的问题。 如果新用户尝试忘记的密码功能,并且收到另一用户的帐户信息的访问,则会发生什么情况? 这可能不是最佳。 停止使用电子邮件地址是一个非常有效使用的情况。 数字标识系统需要等的信息处理与此应急以及其他更改。
摘要
清楚地,数字标识的系统非常复杂。 不只是它们生成复杂,我们已经知道但需要遵守广泛成功原则也复杂。 从讨论,我们可以绘制两个结论。 首先,数字标识系统必须被简化。 我们已花费多年试图设计解决不是通过用户的用户的系统。 数字标识的系统必须提供其信息的控件的用户无须不当的请求。 极端末尾它们必须支持要将匿名用户。 同样,它们必须不要求企业系统比值得实现系统上多花费。
第二个、 数字标识的系统必须提供标识服务的适用于它们的使用的方式。 它们必须提供的多个级别声明以支持保证级别的需要的系统这些声明被用来验证。 换而言,Internet 整体上单一登录的可能要仅适合用来管理标识系统 — 它不会标识自身。
我们以往任何时候都将看到一个,是否满足所有这些原则非常成功系统保持查看。 大多数人同意我们并不存在还。
Jesper 拨 Johansson 是基于风险的安全构思和安全策略在已知强 200 公司主要安全架构师。 他也是一个特约 TechNet Magazine。 自己的工作包括确保某些世界上最大,大多数分布式系统的安全。 他拥有一个女士 在管理信息系统,20 多年安全方面的经验,在 Microsoft 最有价值专家企业安全。 他最新简介册 Windows Server 2008 Security Resource Kit (微软出版社,2008年)。