Digitale Identitätssysteme sind von großer Bedeutung, wenn es darum geht, sich in der digitalen Welt zu definieren, die genauso real ist wie die physische Welt und uns tatsächlich sehr direkt betrifft. Dies ist der Grund, warum der Bau von digitale Identitätsprüfung und digitale Identitätsauthentifizierung Dienstleistungen sind keine optionale Angelegenheit mehr. In den USA besteht ein breiter Konsens darüber, dass digitale Identität und Authentifizierung die Fundament der Online-Sicherheit und werden schnell zu einer nationalen Sicherheitspriorität. Die derzeit verfügbaren Starterversionen solcher Dienste stellen Identitätssicherungsdienste bereit, die von verschiedenen Systemen verwendet werden, um eine Art Autorisierung (physisch oder logisch) bereitzustellen.

Was ist digitale Identität

Eine digitale Identität ist die Information über eine Person oder eine Organisation, die von Computersystemen verwendet wird, um sie im Cyberspace darzustellen. Einfach ausgedrückt ist es das Online-Äquivalent der realen Identität der Person oder Organisation.

Lesen Online-Identitätsdiebstahl: Prävention und Schutz.

Richtlinien zur digitalen Identität

Das National Institute of Standards and Technology (NIST) ist seit langem als maßgebliche Referenzquelle für Leitlinien zur Authentifizierungssicherung anerkannt.

NIST veröffentlichte kürzlich die NIST-SP 800-63jetzt genannt Richtlinien zur digitalen Identität nach Monaten der öffentlichen Überprüfung. Diese vierbändige Suite enthält technische Richtlinien für Organisationen, die digitale Identitätsdienste einsetzen. Das neue Dokument aktualisiert die vorherigen Standards und erweitert sie, um Identität und Authentifizierung als Service zu adressieren, und bietet die Konzepte und die Sprache, die für die ordnungsgemäße Pflege und Fütterung digitaler Identitäten unerlässlich sind – etwas, das die meisten Experten der Branche als a bezeichnen umsichtige Ausgaben von Steuergeldern.

Erstmals im Jahr 2003 veröffentlicht, ist SP 800-63 das berühmte Dokument von NIST, das die vier Ebenen der Richtlinien für digitale Identitäten (LOA) – LOA 1, 2, 3 und 4 – einführte, wie in M-04-04, E-Authentication Guidance des OMB, angegeben für die Bundesbehörden.

Der Hauptzweck dieser neuen Ausgabe von 800-63, seiner dritten Iteration, besteht darin, die Fehler von LOAs zu beheben, um das Konzept mit Hilfe moderner Identitätsprozesse sowohl für den privaten als auch für den staatlichen Sektor in etwas Sinnvolleres zu verwandeln.

Kurz gesagt, das neue Dokument führte die folgenden wesentlichen Änderungen ein:

Das neue Dokument entkoppelte die LOASs weitgehend in Komponenten, um sicherzustellen, dass jede Authentifizierungsinitiative für eine Facette mit 1, 2 oder 3 und für die andere Facette mit einer völlig anderen Note bewertet werden kann, anstatt mit einer pauschalen Zahl wie LOA 3. In Kurz gesagt, der neue SP 800-63 bricht das Ranking-Schema in drei Segmente:

1. Registrierung und Identitätsnachweis (SP 800-63A)
2. Authentifizierung und Lebenszyklusverwaltung (SP 800-63B)
3. Föderation und Behauptungen (SP 800-63C)

Unter dem neuen 800-63-3 werden, wie vorgeschlagen, grundsätzlich 3 Ränge vergeben: Federation Assurance Level (FAL), Authentication Assurance Level (AAL) und Identity Assurance Level (IAL).

Digital Identity Assurance Levels (IAL):

• IAL1 – Selbstbehauptet; Eine Verknüpfung des Antragstellers mit einer bestimmten realen Identität ist nicht erforderlich.
• IAL2 – Die tatsächliche Existenz der behaupteten Identität wird durch Beweise gestützt; entweder physisch anwesend oder Remote-Identitätsnachweis.
• 4ILA3 – Identitätsnachweis erfordert eine physische Präsenz. Ein geschulter und autorisierter Vertreter sollte die Attribute identifizieren.

Authentifizierungssicherheitsstufe (AAL):

• AAL1 – Bietet jegliche Zusicherung, dass der eigentliche Antragsteller die Kontrolle über den Authentifikator hat; benötigt mindestens eine Ein-Faktor-Authentifizierung.
• AAL2 – Bietet starkes Vertrauen in die Kontrolle des Antragstellers über Authentifikatoren; fordert zwei verschiedene Authentifizierungsfaktoren; erfordert bewährte kryptographische Techniken.
• AAL3 – Bietet extrem starkes Vertrauen in die Kontrolle des Antragstellers über Authentifikatoren; Für die Authentifizierung ist der Nachweis eines Schlüssels über ein kryptografisches Protokoll erforderlich. benötigt auch einen „harten“ kryptografischen Authentifikator.

Federation Assurance Level (FAL):

• FAL1 – Erlaubt die Aktivierung des RP durch den Abonnenten, um eine Trägerzusicherung zu erhalten.
• FAL2 – Erlegt die Bedingung auf, dass die Behauptung so verschlüsselt werden sollte, dass die einzige Partei, die sie entschlüsseln kann, der RP sein sollte.
• FAL3 – Verlangt, dass der Abonnent den Kontrollnachweis über den kryptografischen Schlüssel, auf den in der Assertion verwiesen wird, sowie das Assertionsartefakt vorlegt.

Die wichtigsten Änderungen gegenüber SP 800-63A:

1. Der zulässige Identitätsnachweis wird überarbeitet.
2. Die Optionen für den persönlichen Proof werden erweitert.

SP800-63B

• Die Passwortführung wurde überarbeitet.
• Unsichere Authentifikatoren werden entfernt.
• Die zulässige Verwendung von Biometrie wird erweitert.

SP800-63C

• Neue Verbandsempfehlungen und -forderungen werden hinzugefügt.
• Cookies als Behauptungstyp wurden entfernt.

Die vollständigen Details finden Sie unter nist.gov.

Was sind die vier Funktionen der digitalen Identität?

Die digitale Identität hat vier Funktionen: Anmeldeinformationen, Benutzerinformationen, Charakterinformationen und Reputation. Die Tracking-Methode kann auf Fotos zurückverfolgt werden, die Sie in soziale Medien hochladen, Beiträge, die Sie erstellen, Ihr Online-Bankkonto, Ihren Suchmaschinenverlauf und mehr.

Wie entsteht eine digitale Identität?

Digitale IDs werden in drei Schritten erstellt: Erfassen von Attributen, Verifizieren und Digitalisieren. Es kann ferner Name, Adresse, Sozialversicherungsnummer und andere verwandte Informationen enthalten, die den Ruf ausmachen können.