Vigilancia de seguridad Ideas sobre la identidad, parte 2
Jesper M. Johansson
Contenido
Ser independiente de plataforma
Trabajar bien con Framework Cognoscitivo del usuario
Garantía de identificación bidireccional
Permitir que el usuario para proporcionar notificaciones con un nivel de control apropiado al servicio proporcionado
Centrarse en la coherencia de notificaciones en oposición a una identidad canónico
No mezcle niveles de confianza
No infringen leyes o normas, o las expectativas
Permitir todos los atributos de cara al usuario para ser modificados o eliminados
Resumen
El mes pasado, embarked en la tarea algo desalentadora de descripción de los sistemas de identidad y, en concreto, por qué se sigue don’t tienen una industria uno estándar. En primer lugar, se defi ned qué identidad es realmente y por qué nos importa identidades en sistemas digitales. A continuación, tratan los problemas con la identidad, especialmente, el hecho de que todos tenemos no sólo una identidad, pero muchos. A continuación, señalar que si no crees que tienes suficientes, puede siempre crear o comprar unos más.
Como se explicó, esto crea un problema en la autenticación porque pensamos normalmente de identidad como una identidad ontological: una representación de una persona real, física. En la mayoría de los sistemas, esa relación resulta para ser una complicación innecesaria. La mayoría de las identidades no necesita ser representativos de la entidad real que identifican o incluso identifican cualquier entidad del mundo real en absoluto, de hecho, es a menudo no deseado para poder hacerlo.
Por último, trata cómo funciona la autenticación, en concreto, que realmente interesante sucede en el sistema de socio técnico donde el consumidor de algún servicio proporciona la prueba de identidad. He indicado que un sistema de identidad digital correcto debe satisfacer determinados criterios y se ajustan a un conjunto de principios básicos. En la parte I, tratan los dos primeros principios tales: "el proveedor de identidad es al menos como confidencial como la parte más sensible confiar" y "permitir la empresa para proteger sus relaciones de cliente y para el propietario y controlar información que estime como negocio confidencial." Aquí, en la parte II, concluir la serie por cobertura adicionales principios que deben cumplir los sistemas de identidad digital correcta.
Ser independiente de plataforma
Ya que son de empresa para que money, las empresas se satisfacer a sus clientes. Tendrá centrar sus esfuerzos reducir la cantidad de "Fricción" necesario para que el cliente de lado a través de sus dólares duro acumulado. Cualquier empresa inteligente evita los requisitos de sus clientes que reducen la probabilidad del cliente de mantener a un cliente, ni ningún requisito que reduce la base de clientes. Que significa que no empresariales convencionales utilizará una solución de identidad que excluye varios de sus clientes puedan gastar dinero en la empresa. Asimismo, no racional empresariales se va a implementar una solución de identidad requiere sus clientes ir a longitudes adicionales desea instalar software nuevo o los componentes para poder utilizarlo.
Una decisión de implementación similar se realizarán para una solución de identidad que funciona para sólo un subconjunto de los clientes. Supongamos que una solución costos 5 millones de dólares a implementar. También suponga que el efectivo libre flujo de la empresa, la proporción de sus ingresos que no se marcadas para cualquier proyecto de desarrollo actual, es por ciento de 7 de sus ingresos brutos. En este caso, la empresa tendría que generar un adicionales 71.5 millones en ingresos de la solución sólo para cubrir el costo de implementación. Que es un número considerable, especialmente si proporciona sólo una solución mejorada de forma incremental para un subconjunto de los clientes. Hay tendría que ser un impacto para la seguridad de los clientes para justificar measureable. Algunos, si hay alguna, soluciones de identidad cumpliría estos requisitos.
Trabajar bien con Framework Cognoscitivo del usuario
En última instancia, un sistema de identidad personas uso debe trabajar dentro del marco cognitivas humano. Puede parecer sorprendente tal, los seres humanos no evolucionar para tratar con sistemas de identidades digitales. Ni podría parecer inteligente especialmente diseñadas para ello. Muchos scholars en ciencia cognitiva afirman que el cableado fundamental de los seres humanos fue diseñado para tratar con la vida en Cueva, foraging para comida (y compañeros) e intentar sobrevivir a los ataques por gatos dentada especialistas. Sin duda, humanidad ha dedicado cotidianos mucho más en cuevas que en cubículos y mucho más comunicarse humo señales que electrons. En la vida de cueva, teníamos poco uso de identidades digitales y, por lo tanto, nos no evolucionar con cableado dirigido específicamente para comprenderlos.
Por tanto, nuestro modelo mental del mundo no incluye administrar cientos de identidades digitales para proteger las transacciones electrónicas. Sin embargo, es perfectamente razonable suponer que las personas tenían que utilizar código palabras mientras viven en cuevas. Ciertas palabras que es probable que tenían un significado especial y obtuvo resultados especiales. " Por favor,"probablemente tenía algún tipo de precursor de hablar de caveman, sólo uno.
No estoy diciendo que el uso palabras de código o el equivalente actual, las contraseñas, es la forma razonable sólo para autenticar una identidad digital. Digo que si una mayoría de los usuarios se acepte el sistema de identidad digital, debe no requiere que cambien su modelo cognitivas del mundo. Modelos cognitivas son en gran medida cableados. Sin duda se puede tratar con sistemas que no caben con modelos cognitivas, pero hacerlo así tiene un costo: Ira, frustración y esfuerzo. Con tal un sistema tendría que incluir una ventaja que supera el costo de esos factores. Por el contrario, un sistema intuitivamente obvio recibirá mayores niveles de adopción incluso si proporciona menos otras ventajas.
Garantía de identificación bidireccional
Entre los aspectos más importantes de un sistema de identidad digital y que, Desgraciadamente, no comprenden bien los usuarios de estos sistemas, es la identificación de la fiesta confiar o el proveedor de identidades a los usuarios finales. La entidad que confía, o más, el proveedor de servicio, los usuarios finales es de confianza a menudo implícitamente. Por eso los ataques de suplantación de identidad, es decir, robar una identidad haciéndose pasar por una entidad de confianza, son tan increíblemente correctas. No tiene mucho para engañar a un número suficiente de usuarios para mostrar sus secretos.
Un sistema de identidad digital correcto debe permitir todas las partes para autenticarse en formas que ajustan el modelo cognitivas de usuario del sistema. Por desgracia, los proveedores de servicios a menudo omiten este aspecto crucial del sistema. En mi serie "seguridad es acerca de contraseñas y la tarjetas de crédito", ilustra cómo una compañía de tarjeta de crédito popular rechaza activamente para identificarse a usted antes de autenticar a él. Al escribir este artículo no ofrece me placer informe que descubra rechaza mostrar una identidad digital de un usuario antes de pedir al usuario para autenticar. Si ir al sitio Descubra Web ficha, le se redirige y le solicitará su nombre de usuario y contraseña sin cualquier oportunidad para comprobar que no envían sus credenciales a un sitio de suplantación de identidad. Sólo uno puede saber cuántas cuentas de descubrimiento se han comprometido porque han cardholders preparan al proveedor de sus nombres de usuario y contraseñas a cualquier persona que le pide.
Por otro lado, es imposible argumentar que SSL ha sido un componente correcto de sistemas de identidad digital. El hecho de que permite autenticación de usuario es prácticamente desconocido, al menos a los usuarios. Muchos proveedores de servicios omite el hecho de que está diseñado principalmente para demostrar la identidad del servidor. En su lugar, SSL se utiliza como mecanismo de intercambio de claves caro y como origen principal de ingresos a compañías que emiten los certificados que nadie molesta a inspeccionar. Como está implementado, actualmente falla SSL como un componente en sistemas de identidad digital. No funciona con modelos cognitivas del usuario y mientras permite identificarse los proveedores de servicio, esta identificación se presenta a los usuarios finales mal que la mayoría no sepan cómo utilizarlo.
Un sistema de identidad digital de extremo a extremo correcto debe realizar identificación de ambas partes en la transacción una parte integral de flujo de trabajo de autenticación. No obstante, un sistema de identidad digital debe en primer lugar y principalmente resolverá el identidad digital problema. Administrar identidades digitales, actualizar identidades digitales, almacenar identidades digitales, transmitir solicitudes demostrando identidades digitales, comprobar las identidades digitales y conceder acceso apropiado a identidades digitales son todos los problemas que son difíciles solos. Si un sistema de identidad digital puede utilizarse para resolver otros problemas así, es una bonificación, pero no debería ser entre los objetivos de diseño del sistema.
Un ejemplo perfecto es la suplantación de identidad. Suplantación de identidad es un problema humano, no un digital identidad uno. Los seres humanos, no las tecnologías de ataques de phishing. Finalmente, la única solución para la suplantación de identidad será ayudan a las personas tomar decisiones de seguridad más inteligentes. Un sistema de identidad sin duda puede hacerlo, pero no a costa del propósito principal de dicho sistema que ayuda a los usuarios y servicio proveedores identifican entre sí.
Permitir que el usuario para proporcionar notificaciones con un nivel de control apropiado al servicio proporcionado
La mayoría de los usuarios utilizan muchos servicios de información diferente. Algunos servicios proporcionan información muy confidencial, como cuentas de ahorros de jubilación o de cuentas bancarias. Algunos proporcionan información que puede ser sensible en algunos casos, como el correo electrónico. Otras proporcionan información del valor a la reputación de los usuarios, como sitios de red social. Todavía otros proporcionan información que no entre mayúsculas y en minúsculas, como sitio de soporte técnico del proveedor de software.
Aún, a pesar de los diferentes niveles de sensibilidad implica con estos servicios, muchos intente utilizar la misma identidad. Por ejemplo, se solicita la misma identidad que utilizo para tener acceso a mi correo electrónico cada vez que se intenta obtener información de producto de mi proveedor de software; si se decide hacerlo, podría administrar mi información de banca con la misma identidad. Creo que mi correo electrónico tiene un valor significativo; mi información de banca definitivamente. ¿Información de producto de software? No mucho. Dado que fácilmente podría llegar a un vendedor para imprimir lo y unidad incluso de 30 millas para entregar todo, considero esa información a no tener prácticamente ningún valor.
Este tipo de uso sobrecargado de credenciales es endemic a sistemas de identidad. Se llama "único inicio de sesión en." En algunos sentidos, inicio de sesión único es un concepto atractivo. En un entorno empresarial, tiene empresarial gran valor y, si ya no está disponible, debe agregarse a la agenda ahora. Fuera de la empresa, donde se tratan con información de valor muy dispar, inicio de sesión único es peligroso. Si recorre una de su newsstand y el vendedor pedido de dos formas de identidad antes de que se le permita comprar papel por la mañana, debería seguramente objeto, pero la misma solicitud antes de que puede retirar $ 2.000 de su cuenta bancaria o unidad fuera de un automóvil nuevo no provoca las eyebrows.
Debe admitir la misma separación de las reclamaciones por un sistema digital identidad correcto. Los usuarios debe ser capaces de presentar un conjunto de credenciales adecuados para el nivel de riesgo representado por los datos o servicios arerequesting.
Inicio de sesión único es inadecuada en sistemas de identidad digital ampliamente utilizados. Es ciertamente es aceptable utilizar inicio de sesión único para tener acceso el propio sistema, pero las credenciales reales presentan a la parte que confía, el proveedor de servicios, debe ser acorde con el servicio recibe el usuario. Por ese motivo, es muy probable que lo forman un sistema digital identidad correcto toma, admitirá un sistema de identidad de nivel dos: una capa de iniciar sesión en el sistema de identidad digital propio y otro para identificar realmente al usuario a la entidad confiar. Un sistema que proporciona esta utilidad perfectamente es sistema InfoCard de Microsoft.
Mejor aún, un buen sistema de identidad digital debe hacer fácil que el usuario enviar un conjunto de solicitudes definido para un servicio para ese servicio, pero advertir al usuario cuando se envía a otro servicio. En otras palabras, el sistema de identidad digital debe ayudar a identificar los proveedores de servicio que están intentando obtener acceso de usuarios.
Centrarse en la coherencia de notificaciones en oposición a una identidad canónico
Un sistema de identidad digital correcto debe respetar a la persona de derecha a privacidad. Aunque la intención exacta de privacidad difiere considerablemente entre referencias culturales, el general humano deseo de privacidad, sin embargo, se define, es imprescindible. Incluso puede llamar a una necesidad humana innatas de privacidad. Fácilmente se pueden considerar una necesidad de seguridad, bajo jerarquía de Abraham Maslow de necesidades que se muestra en la figura 1 . Maslow, escribir en pre-Internet veces, puede simplemente ha excluidos, porque privacidad no como parte de un problema en 1943.
Figura 1 jerarquía ’s Maslow de necesidades
Si se acepta privacidad como una necesidad humana o al menos un deseo, trataremos que necesitan en el contexto de un sistema de identidad digital. Considere, por ejemplo, un sistema como un panel de discusión sobre tu afición favorita. La mayoría de los estos paneles de discusión requieren autenticación; en otras palabras, implementan un sistema de identidad digital. ¿Qué identidad utiliza para ese panel? ¿Utiliza su nombre real o vaya por un moniker, como "Deep Diver 13"? La mayoría de nosotros probablemente utilizará algún tipo de alias. Requerir nos registrar un número de teléfono válido y una dirección principal para este fin probablemente se consideraría una infracción de privacidad. Requerir nos utilizar una identidad digital que se asigna a nuestro persona física y que también se asigna a nuestros registros de estado, seguramente se va a considerarse una infracción de privacidad.
A menudo ha dicho que, en la mayoría de los casos, sistemas de identidad digital necesitan sólo que preocuparse de si un usuario puede estar constantemente. Un usuario no tiene que enlazar identidad digital de un sistema determinado a una identidad física o incluso a una identidad digital utilizada en otro sistema. Los usuarios podrán ocultar sus identidades true y ocultar vínculos a otros sistemas, si se encuentra en el mismo nivel de sensibilidad o otros distintos, utilizando diferentes identidades digitales.
El sistema, en esencia, debe centrarse en la coherencia de las solicitudes presentadas por el usuario, en lugar de en esas solicitudes a una identidad canónica, normalmente ontological de enlace. Siempre y cuando se presenta el mismo conjunto de notificaciones, debe aceptarse el usuario y la mayoría de los casos, esto es todo el sistema requiere. Tomemos un sitio Web comercial, por ejemplo. El distribuidor realmente no es necesario preocuparse que un usuario realmente es, a menos que lo requieren las leyes que rigen la transacción. El distribuidor debe ocupa aproximadamente sólo si los usuarios pueden presentar los mismos archivos hoy como cuando configura sus cuentas y si siguen funcionan sus métodos de pago. En la mayoría de los casos, que es suficiente para realizar una transacción correcta. Muchos sistemas de identidad overdo la parte "identidad" e intenten vincular de identidad para una persona, en oposición a un usuario.
Incluso más importante que proporcionar al usuario la capacidad de proteger su identidad ontological es la capacidad de para facilitar la fabrica identidades. Después de todo, un sistema de identidad digital es sólo software. Muy fácilmente puede ayudar a los usuarios administrar identidades para maximizar la privacidad del usuario. Un sistema de identidad digital que implementa esta capacidad significa mucho más posibilidades de éxito que uno que se omite.
No mezcle niveles de confianza
Una característica interesante de los sistemas de identidad digital es que requieren a menudo el uso de un proveedor de identidades difiere el proveedor de servicios. Si la confianza que el usuario coloca en el proveedor de servicios no coincide con el nivel de confianza que se coloca en el proveedor de identidades, es obvio discord. Si el usuario confía el proveedor de servicio, pero no el proveedor de identidades que utiliza el proveedor de servicios, el usuario puede ser reacios a utilizar el proveedor de servicios por ese motivo muy. Un ejemplo interesante que esto puede ocurrir es Expedia.com. Anteriormente una subsidiaria de Microsoft Expedia utiliza Microsoft Passport, ahora Windows Live ID, para la autenticación, como se muestra en la figura 2 .
Figura 2 admite Expedia inicio de sesión en con Windows Live ID.
Ahora supongamos que un usuario confía Expedia, pero no Microsoft. ¿Si Expedia requiere el uso de Windows Live ID (que no es así) que el usuario sería dispuesto a utilizar Expedia en absoluto? Quizá. Quizá no. Lo que puede ser el caso, el usuario puede utilizar una identidad de Expedia de Expedia en oposición a un Windows Live ID uno, y algunos usuarios que prefiera.
Por supuesto, el mismo problema de confianza pasa la otra forma. Si un usuario confía Microsoft pero no de Expedia, el usuario puede ser no puede utilizar Expedia si requiere el uso de Windows Live ID. Quizás el usuario ha utilizado Windows Live ID fines muy confidencial, como proteger información de cuenta bancaria a través de MSN Money. En ese caso, algunos usuarios quizás reacios utilizar el mismo Windows Live ID que protege su información de cuenta bancaria para las reservas de viajes de libro.
Esta propiedad de un sistema es muy parecido en línea con el elemento anterior acerca de requerir reclamaciones de acuerdo con la confidencialidad de la información que protegen. En pocas palabras, el usuario debe confiar en determinadas partes de cualquier transacción, pero puede variar el alcance para que esas entidades son de confianza. Mezcla de niveles es probable que proporcionar razones para desconfiar del sistema a los usuarios de confianza.
No infringen leyes o normas, o las expectativas
Hoy en día algunos problemas de administración de seguridad de la información son como vexing como cumplimiento legal y las disposiciones legales. Mientras muchos profesionales de seguridad probablemente no desea considerar abogados como sus mejores amigos, abogados se están convirtiendo en absolutamente necesarios para la causa. Privacidad es una cuestión de legislación y normativa, y esos legislación y normativa difieren en distintas jurisdicciones.
Esto provoca un problema interesante. Supongamos que un determinado sistema identidad digital activamente es contratación partes confiar. Las notificaciones de identidad obtener recogidas por otro usuario de confianza que proporciona información que no es muy sensible, como el acceso a un foro de discusión. La entidad confiar proporciona un nivel de seguridad para la proporción con la confidencialidad de la información de reclamaciones de identidad sirven, en otras palabras, muy poco. Ahora supongamos que el proveedor de identidades firma un contrato con una agencia de informes de crédito y, por lo tanto, modifica el paquete de reclamaciones al incluir un número de identificación nacional o alguna representación de ella. Esta notificación nueva pronto se transmite en el panel de discusión. Protocolos de seguridad del panel de discusión no proporcionan el nivel de seguridad necesario para dicha información, por lo que puede infringir distintas leyes y regulaciones.
Estos son los problemas sencillos normalmente para evitar y si se siguen los principios restantes, es poco probable que éste se ha infringido, pero todavía es una consideración importante. Del mismo modo, los sistemas de identidad digital que se utilizan a través de bordes nacionales deben ser sensibles a reglas diferentes. Pide una parte determinada de información de identificación puede ser perfectamente legítimo en una jurisdicción; pedir el mismo puede ser información en otro lugar no válido o sujetos a la normativa.
Por ejemplo, pedir antigüedad como parte de un sistema de identidad digital permite que el identidad proveedor sujeto a la ley de protección privacidad en línea de los niños en los Estados Unidos y en las leyes similares en otras jurisdicciones. Si un proveedor de identidades hace que esa información esté disponible a cualquier parte confiar que no lo solicita, el requisito de cumplimiento se transfiere a esa parte confiar incluso si no desea la información. Obviamente, es muy importante que un sistema de identidad digital es capaz de respetar los tipos de las leyes y normativas y no cualquiera de infracción.
Permitir todos los atributos de cara al usuario para ser modificados o eliminados
Por último, un sistema de identidad digital debe colocar los usuarios en control de sus propios datos. Esto es quizás el más controvertido de todos los principios. Los proveedores de identidad suelen ver la información que recopilan como datos empresariales. Los usuarios, por el contrario, considere sus nombres, direcciones y otra información de su personal propiedad utilizar como convenga, que podría incluir revocar alguien del derecho que.
Claramente, prácticas recomendadas actuales rechazar ya derechos de usuarios para controlar completamente el acceso a su información; cualquier persona que ha intentado obtener uno de los tres Estados Unidos Esto pueden atestiguan agencias de informes de crédito para eliminar información personal. Incluso si esa información se documenta como incorrecto, las agencias de informes de crédito son normalmente felices mantener a vender. Precisión y la aprobación por el asunto de los datos es irrelevante. Explicar la ética de un sistema donde alguien se le permite beneficiarse de la información de identificación sin su consentimiento está fuera del alcance de este artículo, pero para que ser ampliamente aceptados por los usuarios un sistema, un sistema de identidad digital no debe incluir información de los usuarios más allá de su control.
Esto significa que toda la información debe ser modificable, incluyendo aspectos como nombres de usuario. Un tipo muy común de nombre de usuario es una dirección de correo electrónico. A pesar del hecho de que el uso de una dirección de correo electrónico como un identificador puede infringir algunos de los principios de separación que se explicó anteriormente, también tiene sentido utilizar una dirección de correo electrónico como un identificador porque se garantiza que ser únicos. Sin embargo, también es una entidad mutable y otra persona a menudo se concede una dirección de correo electrónico utilizado anteriormente. Que significa que el sistema de identidad no debe permitir sólo un usuario para modificar su identificador de usuario si es una dirección de correo electrónico, sino también que el sistema debe tratar con problemas producidos cuando nuevos usuarios recoger direcciones antiguas. ¿Qué sucedería si un nuevo usuario intentó la característica de contraseña olvidado y recibido acceso a información de cuenta otro usuario? Probablemente no es óptima. Retiro de una dirección de correo electrónico es un caso de uso perfectamente válido. El sistema de identidad digital necesita tratar con este contingencia, así como con otros cambios de información, como nombres.
Resumen
Claramente, sistemas de identidad digital son bastante complicados. No sólo son que complicado para generar, como ya sabíamos, pero los principios que necesitan para cumplir con tenga éxito ampliamente son complejas así. Se pueden dibujar dos conclusiones de este debate. Sistemas de identidad digital, primero deben ser simplificados. Hemos pasado años intentando diseñar sistemas que evitar a los usuarios, no a través de los usuarios. Sistemas de identidad digital deben proporcionar a los usuarios con control de su información sin realizar solicitudes indebidas de ellos. Al final de extremo, deben admitir los usuarios que desean ser anónimo. Del mismo modo, no debe requieren las empresas a hacer más en la implementación del sistema que el sistema merece la pena.
Sistemas de segundo, la identidad digital deben proporcionar servicios de identificación que son adecuados para la forma en que se utilizan. Debe proporcionar para varios niveles de notificaciones para admitir el nivel de seguridad necesitan para los sistemas que las solicitudes se utilizan para autenticar. En otras palabras, en Internet como un todo, inicio de sesión único en probablemente será apropiado sólo para el sistema utilizado para administrar identidades, no será la identidad.
Si alguna vez veremos una sola, sistema mucho éxito que cumpla todos estos principios permanece a verse. La mayoría de las personas de acuerdo que nos no aún existe.
Jesper M. Johansson es arquitecto de seguridad principal para una empresa Fortune 200 conocida, trabajando en la seguridad basada en riesgos visión y estrategia de seguridad. También es colabora como editor de TechNet Magazine. Su trabajo consiste en garantizar la seguridad en algunos de los sistemas más grandes, más distribuidos en el mundo. Contiene un Dr. en sistemas de información de administración, tiene más de 20 años de experiencia en seguridad y es un profesionales más valiosos de Microsoft en seguridad empresarial. Su último libro es el Windows Server 2008 Security Resource Kit (Microsoft Press, 2008).