Pentingnya Identitas Digital dan Pedoman Baru

Sistem Identitas Digital adalah masalah yang sangat penting ketika menyangkut mendefinisikan diri sendiri di dunia digital, yang nyata seperti dunia fisik dan benar-benar mempengaruhi kita dengan cara yang sangat langsung. Inilah alasan mengapa pembangunan pemeriksaan identitas digital dan otentikasi identitas digital layanan tidak lagi menjadi masalah opsional. Ada konsensus luas di AS bahwa identitas digital dan otentikasi adalah dasar keamanan online dan dengan cepat menjadi prioritas keamanan nasional. Versi awal dari layanan tersebut saat ini tersedia menyediakan layanan jaminan identitas yang digunakan oleh berbagai sistem untuk menyediakan beberapa bentuk otorisasi (fisik atau logis).

Apa itu Identitas Digital

Identitas Digital adalah informasi tentang orang atau organisasi yang digunakan oleh sistem komputer untuk mewakilinya ke dunia maya. Sederhananya, itu adalah online setara dengan identitas asli orang atau organisasi.

Baca : Pencurian Identitas Online: Pencegahan dan Perlindungan.

Panduan Identitas Digital

Institut Standar dan Teknologi Nasional (NIST) telah lama diakui sebagai sumber referensi otoritatif mengenai panduan jaminan otentikasi.

NIST baru-baru ini merilis NIST SP 800-63, sekarang disebut Digital Identity Guidelines setelah berbulan-bulan ulasan publik. Suite empat jilid ini menyediakan panduan teknis untuk organisasi yang menggunakan layanan identitas digital. Dokumen baru memperbarui standar sebelumnya dan memperluasnya untuk mengidentifikasi identitas dan otentikasi sebagai layanan, menawarkan konsep dan bahasa yang penting untuk perawatan yang tepat dan memberi makan identitas digital - sesuatu yang paling ahli di industri ini memanggil pengeluaran yang bijaksana dari dolar pembayar pajak.

Pertama kali dirilis pada tahun 2003, SP 800-63 adalah dokumen terkenal NIST yang memperkenalkan empat tingkat panduan identitas digital (LOA) - LOA 1, 2, 3 & 4 - sebagaimana ditentukan oleh OMB`s M- 04-04, Panduan E-Otentikasi untuk Lembaga Federal.

Tujuan utama edisi baru ini 800-63, iterasi ketiganya, adalah untuk menyelesaikan kesalahan LOA untuk mengubah konsep menjadi sesuatu yang lebih berarti dengan bantuan proses identitas modern untuk keduanya, sektor swasta dan pemerintah.

Singkatnya, dokumen baru ini memperkenalkan perubahan besar berikut:

Dokumen baru memisahkan LOAS sebagian besar menjadi bagian-bagian komponen, untuk memastikan bahwa setiap inisiatif otentikasi bersama uld dinilai sebagai 1, 2 atau 3 untuk satu segi dan nilai yang benar-benar berbeda untuk segi yang lain, bukan nomor selimut seperti LOA 3. Singkatnya, SP 800-63 yang baru melanggar skema peringkat menjadi tiga segmen:

1. Pendaftaran dan Identitas Proofing (SP 800-63A)
2. Manajemen Otentikasi dan Siklus Hidup (SP 800-63B)
3. Federasi dan Asersi (SP 800-63C)

Di bawah 800-63-3 baru, seperti yang diusulkan, pada dasarnya 3 peringkat akan diberikan: Federasi Tingkat Jaminan (FAL), Tingkat Jaminan Otentikasi (AAL) dan Tingkat Jaminan Identitas (IAL).

Tingkat Jaminan Identitas Digital (IAL):

• IAL1 - Self menegaskan; menghubungkan pemohon dengan identitas kehidupan nyata tertentu tidak diperlukan.
• IAL2 - Keberadaan kehidupan nyata dari identitas yang diklaim didukung oleh bukti; baik secara fisik maupun yang jauh dari pemeriksaan identitas.
• 4ILA3 - Pemeriksaan identitas menuntut kehadiran fisik. Perwakilan yang terlatih dan berwenang harus mengidentifikasi atribut.

Tingkat Jaminan Otentikasi (AAL):

• AAL1 - Menawarkan jaminan apa pun bahwa penuntut yang sebenarnya memegang kendali atas authenticator; membutuhkan minimal otentikasi satu faktor.
• AAL2 - Menawarkan kepercayaan yang kuat tentang kontrol kreditur pengadu; menuntut dua faktor otentikasi yang berbeda; menuntut teknik kriptografi yang disetujui.
• AAL3 - Menawarkan kepercayaan yang sangat kuat tentang kontrol kreditur pihak yang mengklaim; bukti memiliki kunci melalui protokol kriptografi diperlukan untuk otentikasi; membutuhkan otentikator kriptografis "keras" juga.

Federasi Tingkat Jaminan (FAL):

• FAL1 - Izin memungkinkan RP oleh pelanggan untuk menerima penegasan penegakan.
• FAL2 - Mengenakan syarat bahwa pernyataan harus dienkripsi dengan cara bahwa satu-satunya pihak yang dapat mendekripsi itu harus RP.
• FAL3 - Menuntut bahwa pelanggan menyajikan bukti kontrol kunci kriptografis yang direferensikan dalam pernyataan serta pernyataan artefak.

Perubahan utama berkaitan dengan SP 800-63A:

1. Proses pemeriksaan identitas yang dibolehkan dirubah.
2. Opsi pemeriksaan dalam-orang diperluas.

SP 800-63B

• Panduan kata sandi telah dirombak.
• Otentikator yang tidak aman dihapus.
• Penggunaan biometrik yang diizinkan diperluas.

SP 800-63C

• Rekomendasi dan permintaan federasi baru ditambahkan.
• Cookie sebagai tipe penegasan telah dihapus.

Detail lengkapnya bisa didapat di nist.gov .