LES ASSISES 2016 - Conférence d'ouverture ANSSI "Confiance ou défiance numérique : l’heure du choix"
Table des matières:
Les systèmes d`identité numérique sont très importants pour se définir dans le monde numérique, qui est aussi réel que le monde physique et nous affecte de manière très directe. c`est la raison pour laquelle la construction des services de vérification d`identité numérique et d`authentification d`identité numérique n`est plus une question facultative. Aux États-Unis, il existe un large consensus sur le fait que l`identité numérique et l`authentification constituent le fondement de la sécurité en ligne et qu`elles deviennent rapidement une priorité en matière de sécurité nationale. Les versions de démarrage de ces services actuellement disponibles fournissent des services d`assurance d`identité qui sont utilisés par divers systèmes afin de fournir une certaine forme d`autorisation (physique ou logique). Qu`est-ce que Digital Identity
Une identité numérique est l`information sur un personne ou une organisation utilisée par les systèmes informatiques pour le représenter dans le cyberespace. En termes simples, il s`agit de l`équivalent en ligne de la véritable identité de la personne ou de l`organisation.
Lire
: Vol d`identité en ligne: Prévention et Protection Directives d`identité numérique
l`Institut national des normes et technologies (NIST) a longtemps été reconnu comme une source de référence faisant autorité en matière de contrôle d`authentification.
Le NIST a récemment publié le
NIST SP 800-63, maintenant appelé Digital Identity Guidelines examen public. Cette suite en quatre volumes fournit des directives techniques aux organisations qui utilisent des services d`identité numérique. Le nouveau document met à jour les normes précédentes et les étend pour traiter l`identité et l`authentification en tant que service, offrant les concepts et le langage indispensables pour soigner et nourrir les identités numériques - ce que la plupart des experts appellent une dépense prudente de l`argent des contribuables Lancé en 2003, SP 800-63 est le fameux document du NIST qui a introduit les quatre niveaux de directives d`identité numérique (LOA) - LOA 1, 2, 3 & 4 - comme spécifié par le M- 04-04, Guide d`authentification électronique pour les agences fédérales.
Le but principal de cette nouvelle édition de 800-63, sa troisième version, est de résoudre les erreurs des lettres d`intention afin de transformer le concept en quelque chose de plus significatif. En résumé, le nouveau document introduisit les changements majeurs suivants:
Le nouveau document découplait largement les LOAS en composantes, afin de garantir que toute initiative d`authentification co Au lieu d`un numéro général comme le LOA 3, on pourrait dire que le nouveau SP 800-63 rompt le schéma de classement en trois segments: 1, 2 ou 3 pour une facette et une note complètement différente pour l`autre facette.
Inscriptions et vérification d`identité (SP 800-63A)
Authentification et gestion du cycle de vie (SP 800-63B)
- Fédération et assertions (SP 800-63C)
- Sous le nouveau 800-63-3, comme proposé, fondamentalement 3 rangs seront accordés: niveau d`assurance de fédération (FAL), niveau d`assurance d`authentification (AAL) et niveau d`assurance d`identité (IAL)
- Niveaux d`assurance d`identité numérique (IAL):
IAL1 - auto-affirmé; il n`est pas nécessaire de lier le candidat à une identité réelle de la vie réelle.
IAL2 - l`existence réelle de l`identité revendiquée est étayée par des preuves;
- 4ILA3 - La vérification d`identité exige une présence physique. Un représentant formé et autorisé doit identifier les attributs
- Niveau d`assurance (AAL):
- AAL1 - Offre l`assurance que le demandeur actuel a le contrôle de l`authentificateur; besoin d`au moins une authentification à un seul facteur.
AAL2 - Offre une grande confiance dans le contrôle des authentifiants par le demandeur; exige deux facteurs d`authentification différents; exige des techniques cryptographiques approuvées.
- AAL3 - Offre une confiance extrêmement forte dans le contrôle des authentifiants par le demandeur; une preuve d`avoir une clé via un protocole cryptographique est nécessaire pour l`authentification; nécessite également un authentificateur cryptographique "dur".
- Niveau d`assurance de la fédération (FAL):
- FAL1 - Permet l`activation du RP par l`abonné pour recevoir une assertion au porteur
FAL2 - Impose la condition l`assertion doit être cryptée de telle sorte que la seule partie qui peut la déchiffrer soit le RP.
- FAL3 - Exige que l`abonné présente la preuve de contrôle de la clé cryptographique qui est référencée dans l`assertion ainsi que l`assertion artefact
- Les principaux changements par rapport à la SP 800-63A:
- Le processus d`épreuvage d`identité autorisé est réorganisé
Les options d`épreuvage en personne sont étendues
- SP 800-63B
- Guidage par mot de passe a été révisé.
Les authentifiants non sécurisés sont supprimés.
- l`utilisation de la biométrie est étendue
- SP 800-63C
- De nouvelles recommandations et demandes de fédération sont ajoutées.
Les cookies comme type d`assertion ont été
- Tous les détails peuvent être obtenus à
- nist.gov
.
Cloud Security Alliance publie de nouvelles directives
Cloud Security Alliance a dévoilé jeudi de nouvelles directives pour la sécurité informatique en nuage.
Comment empêcher les 'comptes zombies' de hanter votre identité numérique
Tous ces services et comptes en ligne que vous avez laissé languir sont comme zombies qui attendent de se lever de la tombe et vous mordre. Voici comment faire face aux morts-vivants numériques.
Le verrouillage numérique ou numérique ne fonctionne pas sous Windows 10
Si vous trouvez que la touche Verr Num de votre clavier ne fonctionne pas sur Windows 10/8/7, voici quelques éléments dont vous avez besoin pour résoudre ce problème et faire fonctionner à nouveau le verrouillage numérique ou numérique.