Bu Help Net Security röportajında WatchGuard Technologies Kimlikten Sorumlu Başkan Yardımcısı Carla Roncato, şirketlerin dijital kimlik sistemlerinde gizlilik, güvenlik ve kullanılabilirliği nasıl dengeleyebileceklerini tartışıyor. Bilgiye dayalı kimlik doğrulama yöntemlerinin yerini alacak biyometri ve geçiş anahtarları gibi modern teknikleri vurguluyor ve merkezi olmayan kimlik çözümlerinde küresel standartlaştırma ihtiyacını vurguluyor.
Şirketler, özellikle finansal hizmetler ve sağlık hizmetleri gibi sektörlerde dijital kimlik sistemlerinde gizlilik, güvenlik ve kullanılabilirliği nasıl dengeleyebilir?
Tekniklerden biri bilgiye dayalı kullanıcı bilgilerini ortadan kaldırmaktır. Örnek olarak, bir kişinin kimliğini belirli bilgilere dayalı olarak doğrulamak için kullanılan bir yöntem olan Bilgi Tabanlı Kimlik Doğrulama (KBA), iki ana KBA türünden oluşur: statik ve dinamik.
Statik KBA, kullanıcının daha önce vermiş olduğu “annenizin kızlık soyadı nedir?” veya “ilk evcil hayvanınızın adı neydi?” gibi bilgilere dayanan soruları içerir.
Dinamik KBA, genellikle kamuya açık ve özel kayıtlardan elde edilen bilgilere dayanarak gerçek zamanlı sorular üretir. Örnekler arasında “arabaya yaptığınız son ödemenin tutarı ne kadardı?” yer alıyor. veya “aşağıdaki adreslerden hangisinde yaşadınız?”.
KBA ile ilgili bir diğer teknik, bir finansal hizmet veya sağlık hizmeti sağlayıcısı uygulamasına giriş yaparken gizli kelimeler veya kullanıcı (tüketici, hasta) tarafından ezberlenen bir ifade olan şifrelerin kullanımını ortadan kaldırmaktır. Her iki durumda da, bilgiye dayalı sorular ve ezberlenmiş şifreler, hassas, korumalı ve gizli bilgilere erişim talep eden kişinin kimliğinin doğrulanması veya doğrulanması amacıyla her iki tarafa da uygun güvenlik veya mahremiyet sağlamaz.
Bunun yerine kuruluşlar, biyometri (olduğunuz bir şey), davranışsal etkileşimler (yaptığınız bir şey) ve geçiş anahtarları (sahip olduğunuz bir şey) gibi hiçbir bilgiye sahip olmayan modern teknikleri kullanabilirler. Bu yaklaşım, yalnızca kullanıcının sahip olduğu bir cihaza (örneğin, dizüstü bilgisayar, cep telefonu, tablet, akıllı kart veya donanım anahtarı) bağlanan şifreleme ve kriptografi yoluyla gizliliği ve güvenliği artırır. Tutarlı, yerel veya sezgisel ve erişilebilir arayüzler tasarlayarak şirketler, kayıt, kaydolma ve oturum açma sırasında gizliliği ve güvenliği artırırken kullanıcılar için sıkıntıları azaltabilir.
Blockchain teknolojisi, kullanıcılara dijital kimlikleri üzerinde egemenlik vaat ediyor. Ancak ölçeklenebilirlik, birlikte çalışabilirlik ve kullanıcının benimsenmesi kritik konular olmaya devam ediyor. Şirketler merkezi olmayan kimlik çözümlerinden yararlanırken bu zorlukların üstesinden nasıl gelebilir?
Merkezi olmayan kimlik şemalarını mümkün kılan defter tabanlı teknoloji ve ağların, bugün kullandığımız dağıtılmış bulut kimlik sistemleriyle birlikte var olabileceğini unutmamak önemlidir. OpenID Vakfı, İnternet Mühendisliği Görev Gücü (IETF) ve Dünya Çapında Web Konsorsiyumu (W3C) gibi küresel standart kuruluşları, farklı blockchain ağları ve geleneksel dağıtılmış sistemler arasında birlikte çalışabilirliği kolaylaştırmak için açık dijital kimlik bilgisi standartları ve protokolleri geliştiriyor.
Gizliliği, güvenliği, verimliliği artırmayı ve veri riskini azaltmayı taahhüt eden kuruluşlar ve hükümetler, kimlik bilgilerinin verilmesini kolaylaştırmaya ve doğrulama etkinliğini geliştirmeye odaklanarak maliyetli, zahmetli manuel kontroller ve yeniden kontrollere olan ihtiyacı ortadan kaldırabilir. Kullanıcıların hem vatandaşlar hem de tüketiciler tarafından benimsenmesi, dijital kimliklerimiz üzerinde kontrol ve özerkliğe sahip olma tercihi ve seçici olarak bilgi paylaşma ve bir hizmet sağlayıcının veri erişimini herhangi bir zamanda iptal etme yeteneği tarafından yönlendirilecektir. Kolaylık önemlidir ve dijital kimlik cüzdanları, kimlik bilgilerinin kişisel cihazlarda güvenli bir şekilde saklanması ve yönetilmesi için bir yöntem sağlayarak şifre ihtiyacını ortadan kaldırır.
Standardizasyon ve düzenleyici çerçeve eksikliği çoğu zaman merkezi olmayan kimliğin benimsenmesinin önünde bir engeldir. Küresel anlamda daha standart bir kimlik yönetim sistemi oluşturmak için hangi adımlar atılmalıdır?
Dijital kimlik bilgisi standartlarını, güvenliği ve düzenleyici çerçeveleri ele almaya yönelik çalışmalar halihazırda devam etmektedir. Örneğin, Avrupa Komisyonu, Merkezi Olmayan Kimlik Vakfı (DIF), Avrupa Telekomünikasyon Standartları Enstitüsü (ETSI), ISO/IEC ve OpenWallet Vakfı (OWF), uygulama standartlarını teşvik etmek ve geliştirmek için OpenID, IETF ve W3C ile işbirliği yapıyor.
Doğrulanabilir Kimlik Bilgileri için OpenID’nin resmi bir güvenlik analizi, Doğrulanabilir Kimlik Bilgileri için OpenID’nin ilk derinlemesine güvenlik analizi, bu spesifikasyonların güvenliğine olan güveni artırmak amacıyla tamamlandı. Resmi güvenlik analizi, her ikisi de Doğrulanabilir Kimlik Bilgileri için OpenID ailesinin bir parçası olan Doğrulanabilir Kimlik Bilgisi Verme için OpenID (OID4VCI) ve Doğrulanabilir Sunumlar için OpenID (OID4VP) protokollerini içerir.
Çerçeveler açısından, Avrupa Dijital Kimlik Mimarisi ve Referans Çerçevesi, belirli kullanım durumları için Doğrulanabilir Kimlik Bilgileri için OpenID standartlarını gerektirir. Avrupa Komisyonu EBSI’de halihazırda bireysel ve kurumsal kullanıma yönelik çok sayıda cüzdan bulunmaktadır. NIST Ulusal Siber Güvenlik Mükemmeliyet Merkezi, mobil sürücü lisanslarına (mDL) sahip mobil cihazlara ilişkin planlar hazırlıyor. Ayrıca mobil belgeler ve mobil sürücü ehliyetlerine ilişkin ISO/IEC standartları da yayınlanmaktadır.
Merkezi olmayan bir kimlik defteri tabanlı sistemin benimsenmesi ve üretilmesine bir örnek, hükümetlerin ve kuruluşların gizliliğe dayalı, güvenli, açık standartlar kullanarak veri alışverişinde bulunmasına olanak tanıyan Doğrulanabilir Kuruluşlar Ağı’nı (VON) başlatan Britanya Kolumbiyası Eyaleti tarafından uygulandı. teknoloji. Bu, aynı zamanda kendi kendini yöneten dijital kimlik güven modeline bağlı olan Ontario Eyaleti ile işbirliği içindedir.
Karmaşıklıkları nedeniyle, merkezi olmayan kimlik çözümlerinin kullanıcıların benimsemesi düşük kalıyor. Kitlesel benimsenmeyi sağlamak için merkezi olmayan kimlik sistemlerini nasıl daha kullanıcı dostu hale getirebiliriz?
Merkezi olmayan kimlik sistemleri, günümüzde internette kullanılan geleneksel dağıtılmış kimlik sistemlerinden ne daha fazla ne daha az karmaşıktır; bu, verenler ve doğrulayıcılar için bir mimari ve veri modeli değişimidir. Çok uzun süredir, kimlik bilgilerinin toplanması ve merkezileştirilmesi, milyarlarca kimlik bilgilerinin fidye ile çalınmasına ve hassas kimlik verilerinin (diğer hassas kişisel, finansal ve sağlık/hasta kayıtlarının yanı sıra) ifşa edilmesine ve kaybolmasına yol açmıştır.
Kullanıcının benimsenmesi ve kullanıcı dostu deneyimler başarının temel bileşenidir. Kimlik cüzdanlarının platformlar ve hizmetler genelinde kaydını, kurulumunu ve kullanımını kolaylaştırmak için basit katılım süreçleri ve doğrulayıcı ile kimlik bilgisi sahibi arasındaki kullanıcı doğrulama adımları çok önemlidir. Bu önemli alanları ele alarak, verenler ve doğrulayıcılar kullanım senaryolarını etkinleştirdikçe kullanıcılar da doğal olarak doğrulanabilir kimlik bilgilerini benimseyeceklerdir.