Partager via


Vigilance sécurité Réflexions sur identité, partie 2

Jesper M. Johansson

Contenu

Être indépendant de la plate-forme
Fonctionne bien avec Framework Cognitif de l'utilisateur
Garantie identification bidirectionnelle
Autoriser l'utilisateur à fournir les déclarations avec un niveau de contrôle approprié pour le service fourni
Se concentrer sur la cohérence de déclarations par opposition à une identité standard
Ne pas mélanger des niveaux de confiance
Ne violent lois ou des réglementations, ou attentes
Autoriser tous les attributs utilisateur côté pour être modifiés ou supprimés
Résumé

Le mois dernier, entrepris sur la tâche un peu complexe de décrire des systèmes d'identité et, en particulier, pourquoi nous avons toujours don’t qu'un protocole standard. Tout d'abord, je defi ned quelle identité agit et pourquoi nous intéressent identités dans les systèmes numériques. Puis j'ai abordé les problèmes avec l'identité, particulier, le fait que nous avons tous pas une identité, mais plusieurs. Puis je l'ai dit que si vous ne pensez que vous avez assez, vous pouvez toujours créer ou acheter, plus quelques.

Comme nous l'avons vu, cela crée un problème dans l'authentification, car nous pensons que généralement de l'identité comme identité ontological — une représentation d'une personne réelle, physique. Dans la plupart des systèmes, cette relation avère pour être une complication inutile. La plupart des identités inutile d'être représentatif de l'entité réels qu'ils identifient ou même à tous les identifient une entité réelle, en fait, il est souvent indésirable pour pouvoir le faire.

Enfin, j'ai abordé comment fonctionne l'authentification, en particulier, que la partie vraiment intéressante se trouve dans le système socio technique où le consommateur d'un service fournit la preuve d'identité. J'ai noté qu'un système d'identité numérique réussi doit répondre à certains critères et conformes à un ensemble de principes de base. Dans la première partie, j'ai abordé les deux premières ces principes: «le fournisseur d'identité est au moins sensible que la partie utilisatrice plus sensible» et «autoriser l'entreprise pour protéger ses relations client et de propriétaire et contrôler les informations qu'il juge entreprise confidentiel». Ici, dans la partie II, je conclure la série en couvrant les principes supplémentaires auxquels les systèmes d'identité numérique réussies doivent répondre.

Être indépendant de la plate-forme

Parce qu'ils sont dans l'entreprise pour que Microsoft money, sociétés seront quant à leurs clients. Ils vous efforcer réduire le «problème» requis pour le client pour transmettre via leurs dollars dur des coûts. Toute entreprise active est évitez besoins de ses clients qui réduisent risque le client de rester un client, ni de besoin qui réduit la base des clients. Cela signifie que non commerciale standard utilise une solution d'identité qui exclut un nombre de ses clients à dépenser à l'entreprise. Aucune entreprise rationnelle ne va de même, pour implémenter une solution d'identité requiert ses clients accéder aux longueurs supplémentaires installer nouveau logiciel ou des composants à utiliser.

Une décision de mise en œuvre similaire sera effectuée pour une solution identité qui fonctionne pour uniquement un sous-ensemble de clients. Supposons qu'une telle solution coûte 5 millions de dollars pour mettre en œuvre. Supposons également que flux de trésorerie libre pour l'entreprise, la proportion de son revenu pas prévu pour n'importe quel projet de développement en cours — est 7 % de ses revenus bruts. Dans ce cas, la société devrait générer un million de 71.5 USD supplémentaires dans les produits de la solution pour couvrir le coût d'implémentation. Qui est un nombre significatif, surtout si elle offre uniquement une solution progressivement améliorée pour un sous-ensemble de clients. Il devrait être un impact measureable à la sécurité de ces clients pour justifier il. Quelques cas échéant, solutions d'identité répond à ces besoins.

Fonctionne bien avec Framework Cognitif de l'utilisateur

Enfin, un système d'identité utiliser les personnes doit travailler dans le cadre cognitives humain. Surprenant telle qu'elle peut sembler, les êtres humains n'a pas évoluer pour traiter les systèmes d'identité numérique. Ou, il semble qu'ils particulièrement intelligemment conçues pour le faire. Nombreux scholars dans science cognitive prétendent que le câblage fondamental des êtres humains a été conçu pour traiter les vie dans des cavernes, foraging pour aliments (et mates) et essayez de survivre aux attaques par dentées saber chats. Sans aucun doute, humanité a passé beaucoup plus courantes dans caves que dans les emplacements de bureau et beaucoup plus communiquer avec les signaux de détection de fumée qu'electrons. Dans la vie cavernes, nous avons peu d'utilité pour les identités numériques et, par conséquent, nous n'avez pas évoluer avec câblage spécifiquement conçu pour comprendre les.

Par conséquent, notre modèle mental du monde ne comprendre la gestion des centaines d'identités numériques pour protéger les transactions électroniques. Toutefois, il est parfaitement raisonnable de supposer que personnes devaient utiliser code mots lors vivant dans caves. Certains mots probables avaient une signification particulière et a obtenu résultats spéciales. " Veuillez"probablement avait un type d'étape préliminaire parler dans caveman, juste pour mentionner une.

Je dis pas que l'utilisation code mots ou l'équivalent en cours, les mots de passe, est la méthode uniquement raisonnable pour authentifier une identité numérique. Je dis que si une majorité des utilisateurs est d'accepter votre système d'identité numérique, il doit requiert pas à modifier leur modèle cognitifs du monde. Les modèles de cognitifs sont largement câblés. Nous peuvent certainement traiter avec les systèmes qui ne tiennent pas avec les modèles cognitifs, mais cela a donc un coût : stress et de frustration colère. Utilisation d'un tel système devrait inclure un avantage qui dépasse le coût de ces facteurs. En revanche, un système intuitivement évident recevrez niveaux supérieurs d'adoption même si elle fournit moins autres avantages.

Garantie identification bidirectionnelle

Parmi les principaux aspects d'un système identité numérique — et l'autre, malheureusement, n'est pas bien compris par les utilisateurs de ces systèmes, l'identification de la partie utilisatrice et/ou de fournisseur d'identité pour les utilisateurs finaux. La partie utilisatrice, ou plus souvent, le fournisseur de services, est souvent implicitement approuvé par les utilisateurs finaux. C'est pourquoi les attaques par phishing — c'est-à-dire voler une identité en posant comme une partie de confiance, sont donc incroyablement réussies. Il ne prend pas beaucoup à simulent un nombre suffisant d'utilisateurs à révéler leurs secrets.

Un système d'identité numérique réussi doit autoriser toutes les parties à s'authentifier de manière à ajuster le modèle cognitifs de l'utilisateur du système. Malheureusement, cet aspect essentiel du système est souvent ignoré par les fournisseurs de services. Dans ma série «sécurité est sur les mots de passe et cartes de crédit», j'ai illustré comment une société de crédit populaire refuse activement pour s'identifier à vous avant de vous authentifiez. À cette écriture, il me ne donne aucun plaisir à état Discover refuse toujours pour afficher un utilisateur une identité numérique avant de demander à authentifier l'utilisateur. Si vous ouvrez le site carte découverte, vous allez être redirigé et demandé votre nom d'utilisateur et mot de passe sans si vous permet de vérifier que vous ne sont pas envoyer vos informations d'identification à un site d'hameçonnage. Un peut demander uniquement Découvrez combien de comptes ont été compromises car cardholders ont été conditioned au fournisseur leur noms d'utilisateur et leur mot de passe à toute personne qui vous demande.

En revanche, il est impossible à prétendent que SSL a été un composant réussi de systèmes d'identité numérique. Le fait qu'il permet l'authentification de l'utilisateur est quasiment inconnu, au moins pour les utilisateurs. Le fait qu'il est principalement conçu pour prouver l'identité du serveur est ignoré par de nombreux fournisseurs de services. Au lieu de cela, SSL est utilisé comme un mécanisme d'échange de clés coûteux et comme une source principale de revenus aux entreprises qui délivre des certificats personne souhaitez les supprimer pour inspecter. Actuellement implémenté, SSL échoue en tant que composant dans les systèmes d'identité numérique. Il ne fonctionne pas avec modèles cognitifs de l'utilisateur et lorsqu'il autorise les fournisseurs de services pour s'identifier, cette identification est mal que la plupart ne pas comprendre comment utiliser il présentée aux utilisateurs finaux.

Un système d'identité numérique de bout en bout pour réussi doit apporter identification de deux parties à la transaction partie intégrante du flux de travail d'authentification. Toutefois, un système d'identité numérique doit tout d'abord résoudre l'identité numérique problème. Gestion des identités numériques, l'actualisation des identités numériques, stockage d'identités numériques, transmission de déclarations prouver son identité numérique, vérification des identités numériques et accorder l'accès approprié aux identités numériques est tous les problèmes qui sont assez difficiles sur leur propre. Si un système d'identité numérique peut être utilisé pour résoudre les autres problèmes ainsi, c'est une prime, mais il ne doit pas être parmi les objectifs de conception du système.

Phishing est un exemple parfait. Phishing est un problème humain, pas un numérique-identity une. Les attaques phishing par les êtres humains, pas les technologies. Enfin, la solution uniquement au phishing sera pour aider les gens décisions de sécurité plus intelligentes. Un système d'identité peut certainement qui, mais pas au détriment de l'objectif principal de tel un système qui aident les utilisateurs et service fournisseurs s'identifient à l'autre.

Autoriser l'utilisateur à fournir les déclarations avec un niveau de contrôle approprié pour le service fourni

La plupart des utilisateurs utiliser de nombreux services d'informations différents. Certains services fournissent des informations hautement sensibles, telles que les comptes épargne retraite ou de comptes bancaires. Certains fournissent des informations peuvent être sensibles dans certains cas, telles que messages électroniques. D'autres fournissent des informations de valeur de réputation d'utilisateurs, tels que sites de mise en réseau sociale. Toujours d'autres fournissent des informations n'est pas du tout la casse, tel que de support technique site d'un fournisseur logiciel.

Pourtant, malgré les différents niveaux de sensibilité impliquée dans ces services, plusieurs essayez d'utiliser la même identité. Par exemple, la même identité que j'utilise pour accéder à mon courrier électronique est demandée chaque fois vous essayez d'obtenir des informations produit à partir de mon fournisseur de logiciel ; si vous avez choisi de faire, je peut gérer mon informations bancaires avec la même identité. Je pense que mon adresse de messagerie a valeur significative ; mes informations bancaires sont définitivement. Informations sur le logiciel produit ? Pas bien. Parce que je pourrais obtenir facilement un vendeur pour imprimer en et même lecteur 30 kilomètres remettre tout, vous considérez qu'informations n'ont pratiquement aucune valeur à tous les.

Ce type d'utilisation surchargé d'informations d'identification est endemic aux systèmes d'identité. Elle est appelée "single sign-on." Une certaine manière, single sign-on est un concept attrayant. Dans un environnement d'entreprise, il a valeur de grande entreprise, et si elle n'est pas déjà disponible, il doit être ajouté à l'ordre du jour maintenant. En dehors de l'entreprise, où nous traitent des informations de valeur très disparates, single sign-on est dangereux. Si vous passé à votre kiosque et le vendeur vous demande de deux formulaires de l'identité avant que vous a été autorisé à acheter votre papier matin, vous aimeriez certainement objet, mais la même demande effectuée avant que vous pouvez retirer 2 000 $ de votre compte bancaire ou de votre lecteur absent dans une nouvelle voiture ne seraient pas déclencher votre eyebrows.

La même séparation des déclarations doit être prise en charge par un système numérique identité réussi. Les utilisateurs doivent être en mesure de présenter un ensemble d'informations d'identification appropriées pour le niveau de risque représenté par les données ou services qu'ils arerequesting.

Single sign-on est inapproprié dans les systèmes numériques identité largement utilisées. Il est certainement pouvez l'utiliser, single sign-on pour accéder au système lui-même, mais les informations d'identification réelles présenté à la partie utilisatrice, le fournisseur de services, doit être en rapport avec le service de l'utilisateur reçoit. Pour cette raison, il est très probable que, quel que soit former un système numérique identité réussi prend, il prend en charge un système de couche deux identités : une couche pour signer dans le système d'identité numérique elle-même et une autre pour en identifier l'utilisateur à la partie utilisatrice. Un système qui fournit cette fonctionnalité parfaitement est système InfoCard de Microsoft.

Mieux encore, un bon système identité numérique doit il facile pour l'utilisateur d'envoyer un ensemble de déclarations défini pour un service à ce service, mais avertir l'utilisateur lorsque vous les envoyez à un autre service. En d'autres termes, le système d'identité numérique doit permettent identifier les fournisseurs de service qu'ils tentent d'accéder.

Se concentrer sur la cohérence de déclarations par opposition à une identité standard

Un système d'identité numérique réussi doit respecter droit à la confidentialité de la personne. Bien que l'attente exacte de confidentialité diffère considérablement entre les cultures, le désir humain global pour la confidentialité, mais elle est définie, est indisputable. Vous pouvez même appeler confidentialité un besoin humaine innate. Il peut facilement être considéré comme un besoin de sécurité, sous hiérarchie de Abraham Maslow de besoins illustré figure 1 . Maslow, écrire dans pre-Internet fois, peut simplement ont exclues il parce confidentialité n'avait pas autant d'un problème dans 1943.

fig01.gif

La figure 1 hiérarchie ’s Maslow de besoins

Si nous accepte un besoin humain ou au moins un désir de confidentialité de données, nous pouvez discuter que nécessaire dans le contexte d'un système d'identité numérique. Prenons, par exemple, un système comme un forum de discussion à propos de votre passe-temps favori. La plupart des ces forums de discussion requiert l'authentification ; en d'autres termes, elles implémentent un système d'identité numérique. Quelle identité utilisez-vous pour cette carte ? Vous utilisez votre vrai nom ou vous accéder en un moniker comme «Deep Diver 13» ? La plupart d'entre nous serait probablement utiliser certains type de surnom. Nous enregistrer un numéro de téléphone valide et le domicile à des fins nécessitant probablement sont considérés comme une violation de confidentialité. Demander à utiliser une identité numérique qui correspond à notre personne physique, et qui correspond également à nos informations d'état, va certainement pour être considéré comme une violation de confidentialité.

Vous avez dit souvent que, dans la plupart des cas, systèmes d'identité numérique doivent uniquement vous préoccuper si un utilisateur peut se situer constamment. Un utilisateur ne doit pas lier son identité numérique un système donné à une identité physique ou même à une identité numérique utilisée dans un autre système. Les utilisateurs doivent pouvoir masquer leurs identités trues et masquer des liens vers les autres systèmes, si au niveau de sensibilité à la même ou autres, en utilisant différentes identités numériques.

Le système doit en gros, se concentrer sur la cohérence de déclarations présentées par l'utilisateur, plutôt que sur la liaison ces déclarations à une identité canonique, généralement ontological. Tant que le même jeu de déclarations présenté, l'utilisateur doit être accepté et pour la plupart des cas, c'est tout le système a besoin. Prenez un site de vente au détail, par exemple. Le détaillant réellement ne deviez intéressent ayant un utilisateur en réalité est, à moins que les lois régissant la transaction de besoin. Le distributeur doit occupe seulement si les utilisateurs peuvent présenter le même se trouve aujourd'hui que lorsque ils configurer leurs comptes et si leurs méthodes de paiement fonctionnent toujours. Dans la plupart des cas, qui est suffisant pour effectuer une transaction réussie. De nombreux systèmes d'identité overdo la partie «identité» et essayez de lier l'identité à une personne, par opposition à un utilisateur.

Peut-être encore plus important que de fournir l'utilisateur la possibilité de protéger son identité ontological est la possibilité pour faciliter la fabrication des identités. Un système d'identité numérique est après tout, tout logiciel. Il peut très facilement aident les utilisateurs gérer les identités pour optimiser le respect de la confidentialité de l'utilisateur. Un système d'identité numérique qui implémente cette possibilité signifie beaucoup chances de réussite celle qui l'ignore.

Ne pas mélanger des niveaux de confiance

Une fonctionnalité intéressante des systèmes d'identité numérique est qu'elles nécessitent souvent l'utilisation de fournisseur d'identité qui diffère par le fournisseur de services. Si l'approbation de l'utilisateur place dans le fournisseur de services ne correspond pas au niveau de confiance placé dans le fournisseur d'identité, il est évident discord. Si l'utilisateur approuve le fournisseur de service, mais pas le fournisseur d'identité qui utilise le fournisseur de services, l'utilisateur peut-être être réticents à utiliser le fournisseur de service pour cette raison. Expedia.com est un exemple intéressant où cela peut se produire. Anciennement une filiale, Expedia utilise Microsoft Passport, maintenant Windows Live ID, pour l'authentification, comme illustré figure 2 .

fig02.gif

La figure 2 prend en charge de Expedia signe complémentaire à Windows Live ID.

Maintenant supposons qu'un utilisateur approuve Expedia, mais pas de Microsoft. Si Expedia nécessaire l'utilisation de Windows Live ID (il n'est pas) utilisateur serait prêt à utiliser tout Expedia ? Peut-être. Peut-être pas. Selon le cas peut être, l'utilisateur peut utiliser une identité Expedia sur Expedia par opposition à un identifiant Windows Live ID une, et certains utilisateurs peuvent qui.

Bien entendu, le même problème de confiance passe l'autre sens. Si un utilisateur fait confiance Microsoft mais pas Expedia, l'utilisateur peut être incapable d'utiliser Expedia si elle requiert l'utilisation de Windows Live ID. L'utilisateur a peut-être utilisé Windows Live ID pour raisons très sensibles, telles que protéger les informations compte bancaire à MSN Finances. Dans ce cas, certains utilisateurs peuvent être réticents utiliser le même Windows Live ID qui protège leurs informations de compte bancaire sur les réservations de voyage du carnet de.

Cette propriété d'un système est très similaire à l'élément précédent sur nécessitant des déclarations conformément à la casse les informations dont ils protègent. En bref, l'utilisateur doit faire confiance à certaines parties de toute transaction, mais l'étendue à laquelle ces parties peuvent approuvés peut-être différer. Mélange de confiance niveaux est susceptible de fournir aux utilisateurs raisons méfier du système.

Ne violent lois ou des réglementations, ou attentes

Quelques problèmes de gestion des informations de sécurité sont aujourd'hui comme ennuyeuses en tant que la conformité juridique ou réglementaire. Lors de nombreux professionnels de sécurité le probablement souhaitez considérer avocats que leurs meilleurs amis, avocats sont devenus indispensables à la cause. Confidentialité consiste à la réglementation et la réglementation et les lois et la réglementation diffèrent dans différentes juridictions.

Cela déclenche un problème intéressant. Supposons qu'un système d'identité numérique spécifique est activement recrutement parties. Les déclarations d'identité obtenir récupérées par une partie utilisatrice qui fournit des informations qui n'est pas très sensibles, telles que l'accès à un forum de discussion. La partie utilisatrice offre un niveau de sécurité pour les déclarations d'identité rapport avec la sensibilité des informations qu'ils servent, en d'autres termes, très peu. Maintenant supposons que le fournisseur d'identité signe un contrat avec une agence de rapports de crédit et modifie en conséquence le paquet de revendications à inclure un numéro national ou une représentation du. Cette nouvelle revendication est soudainement transmise au forum de discussion. Protocoles de sécurité du forum de discussion ne fournissent pas le niveau de sécurité requis pour ce type d'informations, afin qu'il peut enfreindre différentes lois et réglementations en vigueur.

Il s'agit généralement simples problèmes à résoudre et si les principes restants sont suivies, il est peu probable que celui-ci est enfreinte, mais il toujours un point important à prendre en compte. De même, les systèmes d'identité numérique utilisés entre les frontières nationales doivent être sensibles à différentes règles. Demander des informations d'identification particulières peut-être être parfaitement légitime dans une juridiction ; demander les mêmes informations ailleurs peuvent être ou non soumis à la réglementation.

Par exemple, demander âge cadre d'un système d'identité numérique est le fournisseur d'identité soumis à Online Privacy Protection Act l'enfant les États-Unis et les lois similaires dans d'autres juridictions. Si un fournisseur d'identité met ces informations disponibles à n'importe quelle partie utilisatrice qui n'est pas la demande, l'exigence de conformité est transféré à cette partie utilisatrice même si elle n'a pas souhaitez que les informations. Évidemment, il est essentiel qu'un système d'identité numérique est capable de respecter ces types de lois et réglementations et placez pas toute violation.

Autoriser tous les attributs utilisateur côté pour être modifiés ou supprimés

Enfin, un système d'identité numérique doit placer les utilisateurs de contrôler leurs propres données. Cela est peut-être plus controversés les principes. Les fournisseurs d'identité permet d'afficher souvent les informations collectées que les données métier. Les utilisateurs, en revanche, considérez leurs noms, adresses et d'autres informations leur personnel propriété à utiliser comme ils vos besoins, qui peut inclure la révocation d'une personne de droite pour qu'il.

Clairement, les pratiques actuelles rejeter déjà droits des utilisateurs pour contrôler complètement l'accès à leurs informations ; toute personne qui a tenté d'obtenir un des trois aux États-Unis agences de rapports de crédit supprimer les informations personnelles peuvent attester à ce. Même si ces informations sont documentées comme étant incorrect, les agences de rapports de crédit sont généralement heureux de conserver de la vente. Précision et l'approbation par l'objet de données est sans importance. Abordez l'éthique d'un système où quelqu'un est autorisé à bénéficier de vos informations d'identification sans votre consentement est abordée dans cet article, mais pour un système d'être largement adoptée par les utilisateurs, un système d'identité numérique doit placez pas les informations des utilisateurs au-delà de leur contrôle.

Cela signifie que toutes les informations doivent être modifiables, y compris les aspects, tels que noms d'utilisateurs. Un type courant de nom d'utilisateur est une adresse de messagerie. En dépit du fait utilisant une adresse de messagerie en tant qu'identificateur peut enfreindre certains des principes séparation nous l'avons vu précédemment, il est également judicieux d'utiliser une adresse de messagerie en tant qu'identificateur car il est garanti que doit être unique. Toutefois, il est également une entité mutable et une autre personne a souvent une adresse de messagerie utilisées précédemment. Que signifie que le système d'identité doit permet pas uniquement à un utilisateur de modifier son code utilisateur si c'est une adresse de messagerie, mais également que le système doit traiter les problèmes survenant lors de nouveaux utilisateurs prélever anciennes adresses. Que se passerait-il si un nouvel utilisateur a essayé de la fonctionnalité de mot de passe oublié et accès aux informations de compte d'un autre utilisateur a été ? C'est probablement pas optimale. Retrait d'une adresse de messagerie est un utilisation parfaitement valide-cas. Le système d'identité numérique doit traiter avec cette réserve ainsi qu'avec les autres modifications d'informations, telles que les noms.

Résumé

En clair, systèmes d'identité numérique sont très complexes. Non seulement sont ils compliqué de créer, nous savions déjà, mais les principes ils doivent se conformer aux largement réussisse ainsi sont complexes. Nous pouvez dessiner deux conclusions de cette discussion. Systèmes d'identité tout d'abord, numérique doivent être simplifiées. Nous avons avez passé plusieurs années, essayez de concevoir des systèmes contourner les utilisateurs, pas par les utilisateurs. Systèmes d'identité numérique doivent fournir aux utilisateurs avec contrôle de leurs informations sans apporter d'ignorer demandes. À la fin extrême, ils doivent prennent en charge les utilisateurs qui souhaitent être anonyme. De même, ils doivent inutile aux entreprises d'étendre plus sur l'implémentation du système que le système est important de.

Systèmes deuxième identité numérique doivent fournir des services identification qui sont appropriées à la façon dont elles sont utilisées. Ils doivent fournir pour plusieurs niveaux de déclarations pour prendre en charge le niveau d'assurance requis pour les systèmes que ces déclarations sont utilisées pour authentifier. En d'autres termes, sur Internet dans son ensemble, single sign-on probablement va être uniquement le système utilisé pour gérer les identités, il ne sera pas l'identité de lui-même.

Si nous le verrons jamais une seule, système très réussie qui répond à ces principes reste considéré. La plupart des gens reconnaissez que nous ne sommes pas il encore.

Jesper M. Johansson est architecte de sécurité principal d'une société Fortune 200 connue, travailler sur la vision de sécurité basée sur les risques et la stratégie de sécurité. Il est également à l'élaboration de TechNet Magazine. Son travail se compose de sécurité de certains systèmes plus grands, plus distribués dans le monde. Il possède un doctorat en systèmes d'information de gestion, comporte plus de 20 ans d'expérience dans le domaine de la sécurité et un plus Valuable Professionals Microsoft dans la sécurité d'entreprise. Son dernier livre est Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).