Sistem Identitas Digital adalah hal yang sangat penting ketika mendefinisikan diri sendiri di dunia digital, yang nyata seperti dunia fisik dan benar-benar memengaruhi kita dengan cara yang sangat langsung. Inilah alasan mengapa pembangunan pemeriksaan identitas digital dan otentikasi identitas digital layanan tidak lagi merupakan masalah opsional. Ada konsensus luas di AS bahwa identitas digital dan otentikasi adalah landasan keamanan online dan cepat menjadi prioritas keamanan nasional. Versi awal dari layanan tersebut yang saat ini tersedia menyediakan layanan jaminan identitas yang digunakan oleh berbagai sistem untuk menyediakan beberapa bentuk otorisasi (fisik atau logis).
Apa itu Identitas Digital
Identitas Digital adalah informasi tentang seseorang atau organisasi yang digunakan oleh sistem komputer untuk mewakilinya ke dunia maya. Sederhananya, itu adalah setara online dengan identitas asli orang atau organisasi.
Baca baca: Pencurian Identitas Online: Pencegahan dan Perlindungan.
Pedoman Identitas Digital
Institut Nasional Standar dan Teknologi (NIST) telah lama diakui sebagai sumber referensi otoritatif mengenai panduan jaminan otentikasi.
NIST baru-baru ini merilis NIST SP 800-63, sekarang disebut Pedoman Identitas Digital setelah bulan ulasan publik. Suite empat jilid ini menyediakan panduan teknis untuk organisasi yang menggunakan layanan identitas digital. Dokumen baru ini memperbarui standar sebelumnya dan memperluasnya untuk mengatasi identitas dan otentikasi sebagai layanan, menawarkan konsep dan bahasa yang penting untuk perawatan yang tepat dan memberi makan identitas digital - sesuatu yang paling ahli di industri memanggil pengeluaran yang bijaksana dolar pembayar pajak.
Pertama kali dirilis pada tahun 2003, SP 800-63 adalah dokumen terkenal NIST yang memperkenalkan empat tingkat panduan identitas digital (LOA) - LOA 1, 2, 3 & 4 - sebagaimana ditentukan oleh OMB's M-04-04, Panduan E-Otentikasi untuk Agen Federal.
Tujuan utama dari edisi baru 800-63, iterasi ketiganya, adalah untuk menyelesaikan kesalahan LOA untuk mengubah konsep menjadi sesuatu yang lebih berarti dengan bantuan proses identitas modern untuk kedua sektor swasta dan pemerintah.
Secara singkat, dokumen baru ini memperkenalkan perubahan-perubahan besar berikut:
Dokumen baru memisahkan LOASs sebagian besar menjadi bagian-bagian komponen, untuk memastikan bahwa setiap inisiatif otentikasi dapat dinilai sebagai 1, 2 atau 3 untuk satu aspek dan nilai yang sama sekali berbeda untuk aspek lain, bukan nomor selimut seperti LOA 3. Dalam Singkatnya, SP 800-63 baru ini memecah skema peringkat menjadi tiga segmen:
- Pendaftaran dan Identitas Proofing (SP 800-63A)
- Otentikasi dan Manajemen Siklus Hidup (SP 800-63B)
- Federasi dan Asersi (SP 800-63C)
Di bawah 800-63-3 baru, seperti yang diusulkan, pada dasarnya 3 peringkat akan diberikan: Tingkat Jaminan Federasi (FAL), Tingkat Jaminan Otentikasi (AAL) dan Tingkat Jaminan Identitas (IAL).
Digital Identity Assurance Levels (IAL):
- IAL1 - Self menegaskan; menghubungkan pemohon dengan identitas kehidupan nyata tertentu tidak diperlukan.
- IAL2 - Keberadaan kehidupan nyata dari identitas yang diklaim didukung oleh bukti; baik pemeriksaan identitas secara fisik hadir atau jauh.
- 4ILA3 - Pemeriksaan identitas menuntut kehadiran fisik. Perwakilan yang terlatih dan berwenang harus mengidentifikasi atribut.
Authentication Assurance Level (AAL):
- AAL1 - Menawarkan jaminan apa pun bahwa penuntut yang sebenarnya memegang kendali atas authenticator; membutuhkan minimal otentikasi satu faktor.
- AAL2 - Menawarkan kepercayaan yang kuat tentang kontrol kreditur penggali; menuntut dua faktor otentikasi yang berbeda; menuntut teknik kriptografi yang disetujui.
- AAL3 - Menawarkan keyakinan yang sangat kuat tentang kontrol kreditur penggugat; bukti memiliki kunci melalui protokol kriptografi diperlukan untuk otentikasi; membutuhkan autentikator kriptografis "keras" juga.
Federasi Tingkat Jaminan (FAL):
- FAL1 - Izin memungkinkan RP oleh pelanggan untuk menerima pernyataan pembawa.
- FAL2 - Menerapkan syarat bahwa pernyataan harus dienkripsi dengan cara bahwa satu-satunya pihak yang dapat mendekripsi adalah RP.
- FAL3 - Menuntut bahwa pelanggan menyajikan bukti kontrol kunci kriptografi yang direferensikan dalam pernyataan serta artefak penegasan.
Perubahan utama berkaitan dengan SP 800-63A:
- Proses pemeriksaan identitas yang dibolehkan dirubah.
- Opsi pemeriksaan dalam-orang diperluas.
SP 800-63B
- Panduan kata sandi telah dirombak.
- Otentikator yang tidak aman dihapus.
- Penggunaan biometrik yang diizinkan diperluas.
SP 800-63C
- Rekomendasi dan permintaan federasi baru ditambahkan.
- Cookie sebagai tipe pernyataan telah dihapus.
Detail lengkapnya bisa didapat di nist.gov.
