Systèmes d’identité numérique sont d’une grande importance lorsqu’il s’agit de se définir dans le monde numérique, qui est aussi réel que le monde physique et nous affecte en fait de manière très directe. C’est la raison pour laquelle la construction de preuve d’identité numérique et authentification d’identité numérique les services ne sont plus une question facultative. Il existe un large consensus aux États-Unis sur le fait que l’identité et l’authentification numériques sont les fondement de la sécurité en ligne et deviennent rapidement une priorité de sécurité nationale. Les versions de démarrage de ces services actuellement disponibles fournissent des services d’assurance d’identité qui sont utilisés par divers systèmes afin de fournir une certaine forme d’autorisation (physique ou logique).
Qu’est-ce que l’identité numérique
Une identité numérique est l’information sur une personne ou une organisation utilisée par les systèmes informatiques pour la représenter dans le cyberespace. En termes simples, c’est l’équivalent en ligne de l’identité réelle de la personne ou de l’organisation.
Lis Vol d’identité en ligne : prévention et protection.
Lignes directrices sur l’identité numérique
Le National Institute of Standards and Technology (NIST) est reconnu depuis longtemps comme une source de référence faisant autorité en matière de conseils sur l’assurance de l’authentification.
Le NIST a récemment publié le NIST SP 800-63maintenant appelé Lignes directrices sur l’identité numérique après des mois d’examen public. Cette suite en quatre volumes fournit des directives techniques aux organisations qui utilisent des services d’identité numérique. Le nouveau document met à jour les normes précédentes et les étend pour aborder l’identité et l’authentification en tant que service, offrant les concepts et le langage essentiels pour le soin et l’alimentation appropriés des identités numériques – ce que la plupart des experts de l’industrie appellent un dépenses prudentes de l’argent des contribuables.
Publié pour la première fois en 2003, le SP 800-63 est le célèbre document du NIST qui a introduit les quatre niveaux de directives d’identité numérique (LOA) – LOA 1, 2, 3 et 4 – comme spécifié par le M-04-04 de l’OMB, E-Authentication Guidance pour les agences fédérales.
L’objectif principal de cette nouvelle édition de 800-63, sa troisième itération, est de résoudre les erreurs des LOA afin de transformer le concept en quelque chose de plus significatif à l’aide de processus d’identité modernes pour les secteurs privé et gouvernemental.
En bref, le nouveau document introduit les changements majeurs suivants :
Le nouveau document a découplé les LOAS en grande partie en composants, pour garantir que toute initiative d’authentification puisse être notée 1, 2 ou 3 pour une facette et une note complètement différente pour l’autre facette, au lieu d’un numéro général comme LOA 3. Dans En un mot, le nouveau SP 800-63 divise le système de classement en trois segments :
- Inscription et preuve d’identité (SP 800-63A)
- Authentification et gestion du cycle de vie (SP 800-63B)
- Fédération et assertions (SP 800-63C)
Dans le cadre du nouveau 800-63-3, tel que proposé, 3 niveaux seront accordés : le niveau d’assurance de la fédération (FAL), le niveau d’assurance de l’authentification (AAL) et le niveau d’assurance de l’identité (IAL).
Niveaux d’assurance de l’identité numérique (IAL) :
- IAL1 – auto-affirmé ; lier le demandeur à une identité réelle particulière n’est pas nécessaire.
- IAL2 – L’existence réelle de l’identité revendiquée est étayée par des preuves ; preuve d’identité physiquement présente ou à distance.
- 4ILA3 – La preuve d’identité exige une présence physique. Un représentant formé et autorisé doit identifier les attributs.
Niveau d’assurance d’authentification (AAL) :
- AAL1 – Offre toute assurance que le demandeur réel contrôle l’authentificateur ; nécessite au minimum une authentification à un seul facteur.
- AAL2 – Offre une grande confiance quant au contrôle des authentificateurs par le demandeur ; exige deux facteurs d’authentification différents ; exige des techniques cryptographiques approuvées.
- AAL3 – Offre une confiance extrêmement forte quant au contrôle des authentificateurs par le demandeur ; la preuve de la présence d’une clé via un protocole cryptographique est nécessaire pour l’authentification ; a également besoin d’un authentificateur cryptographique « hard ».
Niveau d’assurance de la fédération (FAL) :
- FAL1 – Autorise l’activation du RP par l’abonné afin de recevoir une assertion de support.
- FAL2 – Impose la condition selon laquelle l’assertion doit être chiffrée de manière à ce que la seule partie qui puisse la déchiffrer soit le RP.
- FAL3 – Exige que l’abonné présente la preuve de contrôle de la clé cryptographique référencée dans l’assertion ainsi que l’artefact d’assertion.
Les principaux changements par rapport au SP 800-63A :
- Le processus de vérification d’identité autorisé est remanié.
- Les options d’épreuvage en personne sont étendues.
SP 800-63B
- Les conseils de mot de passe ont été révisés.
- Les authentificateurs non sécurisés sont supprimés.
- L’utilisation autorisée de la biométrie est élargie.
SP 800-63C
- De nouvelles recommandations et demandes de la fédération sont ajoutées.
- Les cookies en tant que type d’assertion ont été supprimés.
Tous les détails peuvent être obtenus sur nist.gov.
Quelles sont les quatre fonctions de l’identité numérique ?
L’identité numérique a quatre fonctions : les informations d’identification, les informations sur l’utilisateur, les informations sur le personnage et la réputation. La méthode de suivi peut être attribuée aux photos que vous téléchargez sur les réseaux sociaux, aux publications que vous créez, à votre compte bancaire en ligne, à l’historique de votre moteur de recherche, etc.
Comment se crée l’identité numérique ?
Les identifications numériques sont créées en trois étapes : capture des attributs, vérification et numérisation. Il peut en outre inclure le nom, l’adresse, le numéro de sécurité sociale et d’autres informations connexes pouvant constituer la réputation.