Controllo della protezione Opinioni su identità, parte 2
Jesper M. Johansson
Contenuto
Essere indipendente di piattaforma
Finestra di lavoro con Framework cognitivo dell'utente
Garanzia di identificazione bidirezionale
Consentire all'utente per fornire attestazioni con un livello di controllo appropriato per il servizio fornito
Concentrarsi sulla coerenza di attestazioni di invece di un'identità canonica
Non confondere il livelli di attendibilità
Non violazione di leggi o Regulations, o le aspettative
Consentire a tutti gli attributi utente rivolta per essere modificato o eliminato
Riepilogo
Praticamente novità si è il mese scorso, imbarcato sull'attività piuttosto complessa di descrizione dei sistemi di identità e, in particolare, perché è ancora don’t hanno un settore uno standard. Innanzitutto, si defi ned quale identità è effettivamente e perché è importante sulle identità in sistemi digitali. Quindi ho parlato i problemi con identità, in particolare, il fatto che tutti abbiamo non solo una identità, ma molti. Quindi spiegato che se si non ritiene di che avere sufficiente, è possibile sempre creare o acquistare, più alcuni.
Come illustrato, questo crea un problema con l'autenticazione perché è in genere di identità come un'identità ontological, ovvero una rappresentazione di una persona reale, fisica. La maggior parte dei sistemi, tale relazione risulta una complicazione non necessari. La maggior parte delle identità dover essere rappresentativo dell'entità reali che identificare o anche identificare qualsiasi entità reali affatto, infatti, è spesso auspicabile per poter eseguire questa operazione.
Infine, ho parlato di come funziona l'autenticazione, in particolare, che la parte davvero interessante si verifica nel sistema socio-tecnici in cui il consumer di alcuni servizi fornisce la prova dell'identità. Ho notato che un esito positivo identità digitale deve soddisfare determinati criteri e conforme a un insieme di principi di base. In parte I, ho parlato i primi due tali principi: "il provider di identità è almeno sensibile come componente riservati" e "Consenti dell'organizzazione per proteggere le relazioni cliente e per il proprietario e le informazioni che ritiene come aziendali riservata del controllo". In questo caso, in parte II, concludere la serie da coprire ulteriori principi che devono soddisfare i sistemi di identità digitale corretta.
Essere indipendente di piattaforma
Perché sono in ufficio per denaro, la società verranno soddisfare ai propri clienti. Verrà cercare di ridurre la quantità di "semplice" necessari per il cliente a mano tramite i dollari rigido ottenuto. Qualsiasi azienda smart verrà evitare requisiti dei clienti che riduce probabilità che del cliente un cliente di rimanere, né qualsiasi requisito che riduce la base di clienti. Che significa che non aziendali principali verranno utilizzare una soluzione di identità che consente di escludere alcuni dei propri clienti dal riuscire a spendere denaro all'azienda. Allo stesso modo, non razionale business verrà per implementare una soluzione di identità che richiede ai clienti passare alla lunghezza aggiuntiva per installare nuovo software o i componenti per essere utilizzato.
Verrà effettuata una decisione di implementazione simile per una soluzione identità che funziona solo un sottoinsieme di clienti. Si supponga che una soluzione di tali costi 5 milioni di dollari per implementare. Si supponga inoltre che per l'azienda flusso di cassa libero, ovvero la proporzione dei ricavi relativi non sono earmarked per qualsiasi progetto di sviluppo corrente, è % di 7 del relativo ricavi lordi. In questo caso, la società sarebbe necessario generare un ulteriore 71.5 milioni in ricavi dalla soluzione solo per coprire il costo di implementazione. Che è un numero notevole, soprattutto se fornisce solo una soluzione migliorata in modo incrementale per un sottoinsieme di clienti. Vi dovrà essere un impatto measureable per la protezione di tali clienti per giustificare tale. Soluzioni per alcuni, se presente, identità soddisferà i requisiti.
Finestra di lavoro con Framework cognitivo dell'utente
In definitiva, un sistema di identità che utilizzo deve collaborare all'interno il framework lo risorse umano. Sorprendente quanto possa sembrare, in quanto potrebbe fare un utente non si evolvono per gestire i sistemi di identità digitali. Né sembrerebbe, sono particolarmente intelligente progettati per eseguire questa operazione. Molti scholars nella scienza cognitive richiedere che il cablaggio fondamentale di quanto potrebbe fare un utente è stato progettato per affrontare la vita di un cave foraging per generi alimentari (e mates) e tenta di sopravvivere attacchi da toothed-saber gatti. Indubbiamente, mankind ha trascorso molto più lungo di vivere in caves più in postazioni e a molto più la comunicazione con segnali smoke più electrons. Nella vita cave, abbiamo dovuto utilizzare minimo per le identità digitali e, di conseguenza, si non si evolvono con cavi relativi in modo specifico per comprendere tali.
Di conseguenza, il nostro modello mentale del mondo non include Gestione centinaia di identità digitali per proteggere le transazioni elettroniche. Tuttavia, è perfettamente ragionevole presupporre che gli utenti era necessario utilizzare parole di codice in caves. Alcune parole che probabilmente dovevano significato speciale e ottenuto risultati speciali. " "Probabilmente ha un tipo di si tratta dello stadio preliminare parlare in caveman, solo per segnalare uno.
Non sono che informa che l'utilizzo parole di codice o l'equivalente di corrente, le password, è il modo ragionevole solo per l'autenticazione di un'identità digitale. Sta indicante che se maggior parte degli utenti di accettare il sistema di identità digitali, non deve richiedere loro di modificare il relativo modello lo del mondo. Modelli gli sono in gran parte cablati. È certamente possibile gestire sistemi che non rientrano con modelli gli, ma si presenta così un costo: test di stress, frustrazione e rabbia. Utilizzando tali un sistema dovrebbe includere un vantaggio che supera il costo di tali fattori. Al contrario, è necessario che un evidente in modo intuitivo sistema riceverà maggiori livelli di adozione anche se fornisce un numero inferiore di altri vantaggi.
Garanzia di identificazione bidirezionale
Tra gli aspetti più importanti di un sistema di identità digitali e uno che, purtroppo, non è compresa dagli utenti di tali sistemi, è l'identificazione del provider di identità per gli utenti finali e/o il componente. Il componente, o più comunemente, il provider del servizio, spesso in modo implicito è attendibile per gli utenti finali. Ecco perché gli attacchi di phishing, furto, un'identità da determinando come un'entità attendibile, in modo incredibilmente correttamente. Non occorrere molto per ingannare un numero sufficiente di utenti a rivelare i segreti.
Un sistema di identità digitali corretto deve consentire tutte le parti di autenticarsi in modo da adattarla il modello lo dell'utente del sistema. Sfortunatamente, questo aspetto fondamentale del sistema spesso viene ignorato dai provider di servizi. La serie di "protezione è su password e carte di credito", illustrato come una società di carte di credito comune Rifiuta attivamente per identificarsi all'utente prima di autenticare a esso. In questo articolo non fornisce me corretta al report che ricerca ancora Rifiuta per visualizzare un'identità digitale di un utente prima di richiedere l'utente da autenticare. Se si passa al sito Web scheda di ricerca, verrà essere reindirizzato e viene richiesto il nome utente e la password senza la possibilità di verificare che si non inviare le credenziali a un sito di phishing. Uno solo possibile chiedersi quante gli account di ricerca siano state compromesse quanto è stato cardholders conditioned al provider di nomi utente e la password a chiunque richiesto del loro.
D'altra parte, è possibile sostenere che SSL è stato un componente corretto dei sistemi di identità digitali. Il fatto che consente l'autenticazione dell'utente è praticamente sconosciuto, almeno per gli utenti. Il fatto che è principalmente progettata per l'identità del server viene ignorato da molti provider di servizi. Al contrario, SSL viene utilizzato come meccanismo di scambio di chiavi costoso e come una fonte primaria di ricavi per le società che emettono i certificati che nessuno esserci per analizzare. Attualmente è implementato, SSL non funziona correttamente come componente nei sistemi di identità digitali. Non funziona con lo modelli l'utente e mentre consente il provider di servizi per identificare se stessi, questa identificazione viene visualizzata agli utenti finali male che la maggior parte non imparare a utilizzare tale.
Un sistema di identità digitale end-to-end corretto deve essere identificazione di entrambe le parti della transazione una parte integrante del flusso di lavoro l'autenticazione. Tuttavia, di un sistema di identità digitali deve anzitutto risolvere il problema di identità digitali. Gestione delle identità digitali, l'aggiornamento di identità digitali, archiviare le identità digitali, la trasmissione di attestazioni attestazione di identità digitali, la verifica delle identità digitali e la concessione dell'accesso appropriato alle identità digitali sono tutti i problemi sono difficili autonomamente. Se un sistema di identità digitale può essere utilizzato per risolvere altri problemi oltre, ecco un premio, ma non dovrebbe essere tra gli obiettivi di progettazione del sistema.
Un esempio perfetto è phishing. Phishing è un problema risorse umano, non un digital-identità uno. Phishing attacchi quanto potrebbe fare un utente, non le tecnologie. In definitiva, l'unica soluzione per phishing sarà consentono agli utenti più "intelligente" decisioni di protezione. Un sistema di identità possibile certamente che, ma non a scapito dello scopo di base di un sistema che gli utenti della Guida in linea e il servizio provider di identificano reciprocamente.
Consentire all'utente per fornire attestazioni con un livello di controllo appropriato per il servizio fornito
La maggior parte delle utenti utilizzare molti servizi di informazioni diverse. Alcuni servizi forniscono informazioni estremamente riservate, ad esempio conti correnti bancari o pensionistico, risparmio account. Alcuni forniscono informazioni che potrebbero essere riservate in alcuni casi, ad esempio la posta elettronica. Altri forniscono informazioni di valore alla reputazione degli utenti, ad esempio siti reti sociali. Ancora altri forniscono informazioni che non sono affatto riservate, ad esempio sito supporto tecnico di un fornitore di software.
Tuttavia, nonostante i diversi livelli di riservatezza con questi servizi, molti provare a utilizzare la stessa identità. Ad esempio, la stessa identità che possibile utilizzare per la posta elettronica di accedere a è richiesto ogni volta che si tenta di ottenere informazioni di prodotto dal fornitore del software; se sceglie di eseguire questa operazione, è possibile potrebbe gestire le informazioni bancarie con la stessa identità. Credo che la posta elettronica ha valore significativo; le informazioni bancarie avviene in modo definito. Informazioni sui prodotti software? Non molte. Poiché può facilmente passare un agente per la stampa non e anche unità 30 miglia per fornire tutto, È necessario considerare tali informazioni per non avere tutto praticamente alcun valore.
Questo tipo di overload utilizzo delle credenziali è endemic ai sistemi di identità. Viene chiamato "single Sign-on." In alcuni aspetti, è un concetto interessante single Sign-on. In un ambiente aziendale, con valore ideali per le aziende e, se non è già disponibile, deve essere aggiunto all'agenda subito. Di fuori dell'organizzazione, in cui affrontare informazioni di un valore molto diverse, single Sign-on è pericoloso. Se esaminato per l'edicola e l'agente chiesto due forme di identità sono state consentire acquistare della carta di mattina, sarebbe sicuramente di oggetto, ma la stessa richiesta prima che è possibile rifiutare € 2.000 dal conto corrente bancario o unità stoccaggio in una nuova auto non genera il eyebrows.
La stessa separazione di attestazioni deve essere supportata da un sistema di identità digitale corretto. Gli utenti deve essere in grado di presentare una serie di credenziali appropriate per il livello di rischio rappresentato dai dati o servizi arerequesting.
Single Sign-On non appropriato in sistemi di identità digitali ampiamente utilizzati. È certamente accettabile utilizzare single Sign-on per accedere al sistema stesso, ma le credenziali effettive presentato al componente, il provider del servizio, devono essere adeguati con il servizio sta ricevendo l'utente. Per questo motivo, è altamente probabile che, accetta qualsiasi modulo di un sistema di identità digitali esito positivo, supportare un sistema di livello due identità: un livello per accedere al sistema di identità digitali stesso e un altro per effettivamente identificare l'utente alla parte componente. Un sistema che fornisce questa funzionalità si rivelano molto utili utilizzate è sistema InfoCard Microsoft.
Ancora meglio, un buon sistema di identità digitale deve rendono facilmente all'utente di inviare una serie di attestazioni definito per un servizio per tale servizio, ma avvisare l'utente quando il loro invio a un altro servizio. In altre parole, il sistema di identità digitali deve consentono agli utenti di identificare il provider di servizi che sta tentando di accedere.
Concentrarsi sulla coerenza di attestazioni di invece di un'identità canonica
Un sistema di identità digitale corretto deve rispettare da destra a privacy dell'individuo. Sebbene nella previsione esatta di privacy presenta notevoli differenze tra le impostazioni cultura, il desiderio complessiva di risorse umano per la privacy, tuttavia è definito, è indisputable. È anche possibile chiamare un'esigenza di risorse umana innate privacy. Si può facilmente essere considerata la necessità di protezione, nella gerarchia di Abraham Maslow esigenze illustrato nella Figura 1 . Maslow, la scrittura in pre-Internet volte, potrebbe essere semplicemente sono escluse, perché privacy non è più di un problema in 1943.
Nella figura 1 gerarchia di ’s Maslow di esigenze
Se si accetta di privacy come la necessità di risorse umana o almeno un desiderio, è possibile discutere tale necessità nel contesto di un sistema di identità digitali. Si consideri, ad esempio, un sistema ad esempio un'area discussioni sul tuo hobby preferito. La maggior parte delle quali aree discussioni richiedono l'autenticazione in altre parole, implementano un sistema di identità digitali. Quale identità viene utilizzata per tale scheda? Si utilizza il nome reale oppure è passare da un moniker, ad esempio "13 Deep Diver"? La maggior parte di noi utilizza un tipo di nome alternativo. Richiesta di registrazione di un numero di telefono valido e l'indirizzo di casa per tali uno scopo viene probabilmente considerato una violazione della privacy. Richiesta di utilizzare un'identità digitale che viene associato a nostro persona fisica e che viene associato anche a nostra disposizione dello stato, quasi certamente verrà considerato una violazione della privacy.
Ho spesso è detto che, per la maggior parte degli scopi, sistemi di identità digitali necessario solo se un utente può rientrare in modo coerente che si occupano. Un utente non dispone associare la propria identità digitale di un determinato sistema a un'identità fisica o anche a un'identità digitale utilizzata in un altro sistema. È possibile nascondere le proprie identità true e nascondere collegamenti ad altri sistemi, se il livello di riservatezza stesso o altri quelli utilizzando diverse identità digitali.
Il sistema, in sostanza, deve concentrarsi sulla coerenza delle attestazioni presentate da un utente, anziché sull'associazione di tali attestazioni a un'identità canonica, in genere ontological. Fino a quando viene visualizzato lo stesso set di attestazioni, l'utente dovrà essere accettata e per la maggior parte degli scopi, che è tutto il sistema richiede. Richiedere un sito Web vendita al dettaglio, ad esempio. Il rivenditore effettivamente non è necessario interessano che un utente effettivamente è, a meno che non richiedono le leggi che regolano la transazione. Il rivenditore deve occupa solo se gli utenti possono presentare la stesse risiede oggi come quando si imposta gli account e se i metodi di pagamento continuano a funzionare. Nella maggior parte dei casi, che è sufficiente per eseguire una transazione esito positivo. Molti sistemi di identità overdo la parte "identità" e tentano di associare l'identità a una persona, a differenza di un utente.
Forse ancora più importante da fornire all'utente la possibilità di proteggere la propria identità ontological è la capacità per facilitare la produzione di identità. Un sistema di identità digitale è, dopotutto, solo software. Molto semplice potrebbe essere utile agli utenti di gestire le identità per ottimizzare la tutela della privacy. Un sistema di identità digitale che implementa questa funzionalità sostituisce una molto migliori probabilità di successo quella che lo ignora.
Non confondere il livelli di attendibilità
Una funzionalità interessante dei sistemi di identità digitali è che richiede spesso di utilizzo di un provider di identità che differisce dal provider del servizio. Se il trust per l'utente posiziona nel provider di servizio non corrisponde a livello di affidabilità nel provider di identità, c'è discord ovvio. Se l'utente considera attendibile il provider del servizio, ma non il provider di identità che utilizza il provider di servizi, l'utente potrebbe essere riluttanti di utilizzare il provider di servizi per questo motivo molto. Un esempio di interessante in cui questo problema può verificarsi è Expedia.com. In precedenza una filiale di Microsoft Expedia utilizza Microsoft Passport, ora Windows Live ID, per l'autenticazione, come illustrato nella Figura 2 .
Nella figura 2 supporta Expedia Sign-in con Windows Live ID.
A questo punto si supponga che un utente trust Expedia, ma non da Microsoft. Se Expedia necessario l'utilizzo di Windows Live ID (che in caso contrario) utente sarebbe disposto a utilizzare affatto Expedia? Forse. Forse no. A seconda di quale caso potrebbe essere, l'utente è possibile utilizzare un'identità di Expedia Expedia, a differenza di un Windows Live ID uno e possibile che alcuni utenti.
Lo stesso problema trust passa, ovviamente, l'altro modo. Se un utente considera attendibile da Microsoft ma non di Expedia, l'utente potrebbe essere impossibile utilizzare Expedia se richiede l'utilizzo di Windows Live ID. Ad esempio l'utente ha utilizzato Windows Live ID per scopi riservati, ad esempio la protezione delle informazioni conto corrente bancario tramite MSN Money. In questo caso, alcuni utenti potrebbero essere riluttanti di utilizzare lo stesso Windows Live ID che protegge le informazioni del conto bancario con prenotazioni viaggi Rubrica.
Questa proprietà di un sistema è molto simile in linea con l'elemento precedente su richiesta di attestazioni in conformità con la distinzione delle informazioni da essi protetti. In poche parole, l'utente deve considerare attendibile determinate parti in qualsiasi transazione, ma può differire l'entità a cui tali parti vengono considerati attendibili. Sono stati mescolati trust livelli è probabile che per motivi per cui il sistema di distrust fornire agli utenti.
Non violazione di leggi o Regulations, o le aspettative
Alcuni problemi nella gestione della protezione delle informazioni sono oggi come vexing come conformità legali e normativi. Mentre molti professionisti della protezione probabilmente non desidera pensare legali come loro amici migliori, avvocati stanno diventando indispensabile per la causa. Privacy è una questione di leggi e normative e tali leggi e normative si differenziano per diversi uffici competenti.
Questo genera un problema interessante. Si supponga che un particolare sistema di identità digitali è assunzione attivamente le parti componente. Le richieste di identità ottenere prelevate da un componente che fornisce informazioni che non sia molto sensibili, ad esempio l'accesso a un forum di discussione. Componente fornisce un livello di protezione per le richieste di identità adeguate con la distinzione delle informazioni vengono utilizzati, in altre parole, poco. A questo punto si supponga che il provider di identità firma un contratto con un'agenzia di report di credito e modifica di conseguenza il pacchetto di attestazioni includono un numero ID nazionale o alcuni rappresentazione di esso. Questa nuova attestazione improvvisamente viene trasmessi all'area discussioni. Protocolli di protezione dell'area discussioni non forniscono il livello di protezione richiesto per tali informazioni, in modo che potrebbe violare vari leggi e alle disposizione vigenti in materia di controllo.
Questi sono in genere semplici problemi per risolvere e se sono seguiti i principi rimanenti, è improbabile che questo viene violato, ma è comunque un fattore importante. Analogamente, nei sistemi di identità digitale che vengono utilizzati attraverso bordi nazionali devono essere sensibili alle regole diverse. Richiesta di una particolare porzione di informazioni di identificazione può essere perfettamente valido in una giurisdizione; richiede lo stesso informazioni altrove possono essere non valido o soggetti a normative.
Ad esempio, viene chiesto di validità come parte di un sistema di identità digitali rende il provider identità soggette a Online Privacy Protection Act dei nomi dei figli negli Stati Uniti e leggi simile in altri uffici competenti. Se un provider di identità rende tali informazioni disponibile qualsiasi componente che non è richiesta, il requisito di compatibilità viene trasferito tale componente anche nel se in non desidera che le informazioni. Ovviamente, è critico che un sistema di identità digitale è in grado di rispettare tali tipi di leggi e alle disposizione vigenti in materia di controllo e non tutti gli utenti in violazione.
Consentire a tutti gli attributi utente rivolta per essere modificato o eliminato
Infine, un sistema di identità digitali necessario inserire gli utenti controllare i propri dati. Questo è forse più controversi dei tutti i principi. I provider di identità consente di visualizzare spesso le informazioni della che raccolti come dati di business. Gli utenti, al contrario, considerare i nomi, indirizzi e altre informazioni le proprietà personali da utilizzare come adattarlo, che può includere la revoca di un utente giusto fare in modo che.
Ovviamente, le procedure correnti rifiutare già i diritti degli utenti per controllare completamente l'accesso alle informazioni; chiunque ha tentato di ottenere uno dei tre stati Uniti agenzie di credito segnalazione per eliminare le informazioni personali possono confermare al seguente. Anche se tali informazioni sono documentate come non corretto, agenzie di credito segnalazione sono in genere felice di mantenere di vendita. Precisione e l'approvazione per l'oggetto dei dati è irrilevante. Illustrare il ethics di un sistema in cui un altro utente è consentito profitto dalle informazioni di identificazione senza il consenso dell'utente è oltre l'ambito di questo articolo, ma per un sistema essere ampiamente accettato da parte degli utenti, in un sistema di identità digitali non deve inserire informazioni degli utenti oltre al controllo.
Questo significa che tutte le informazioni devono essere modificabile, inclusi gli aspetti, ad esempio nomi utente. Un tipo di nome utente molto comune è un indirizzo di posta elettronica. Nonostante di fatto che l'utilizzo di un indirizzo di posta elettronica come identificatore può violare alcuni dei principi separazione illustrati in precedenza, è anche opportuno da utilizzare un indirizzo di posta elettronica come un identificatore, in quanto è garantito che essere univoco. Tuttavia, è anche un'entità modificabile e un altro utente spesso viene concesso un indirizzo di posta elettronica utilizzato in precedenza. Che significa che il sistema di identità non deve solo consentano un utente può modificare il proprio ID utente, se si tratta di un indirizzo di posta elettronica, ma anche che il sistema deve risolvere problemi che si verificano quando nuovi utenti prelevati da indirizzi precedenti. Ciò che accade se un nuovo utente ha tentato la funzionalità di password di dimenticata e ricevuto accesso alle informazioni account di un altro utente? Probabilmente non è ottimale. Eliminazione di un indirizzo di posta elettronica tratta di un utilizzo-caso perfettamente valido. Il sistema di identità digitali deve gestire con questo tipo di emergenza nonché con altre modifiche nelle informazioni quali i nomi.
Riepilogo
Ovviamente, i sistemi di identità digitali sono piuttosto complessi. Non solo sono complicato per la creazione, la sapevamo già, ma i principi da conforme ampiamente riesca sono anche complesse. È possibile disegnare due conclusioni da questa discussione. Sistemi di identità digitali, devono essere semplificati. È stato impiegato per diversi anni cercando di progettare sistemi di risolvere gli utenti, non tramite gli utenti. Sistemi di identità digitali specificare gli utenti con le informazioni di controllo senza effettuare inutili richieste. Nella parte estrema deve supportare gli utenti che desiderano essere anonima. Allo stesso modo, non deve richiedere alle aziende di compiere più sull'implementazione del sistema non vale la pena il sistema.
Sistemi di secondo, l'identità digitale è necessario fornire servizi di identificazione che sono appropriati per il modo in che cui sono utilizzate. Deve fornire per richiesti il più livelli di attestazioni per supportare il livello di garanzia per i sistemi; il che tali attestazioni sono in uso per l'autenticazione. In altre parole, su Internet nel suo complesso, single Sign-on probabilmente sarà appropriato solo per il sistema utilizzato per gestire le identità, non sarà l'identità stessa.
Se si vedrà mai un singolo, sistema di grande successo che soddisfi tutti questi principi rimane per essere visualizzato. La maggior parte delle persone concordano che non siamo esiste ancora.
Jesper m. Johansson è Principal Security Architect per una società Fortune 200 nota, lavorando alla protezione basata sui rischi visione e strategia di protezione. È anche TechNet Magazine in qualità di redattore. Il suo lavoro è costituito da garantire la protezione di alcuni dei sistemi più grandi, più distribuiti in tutto il mondo. Contiene un Ph.d. Nella finestra di gestione dei sistemi informatici, ha più di 20 anni esperienza nella protezione ed è un Microsoft Most Valuable sicurezza in ambiente aziendale. Il suo libro più recente è la Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).