Mentre la bozza attuale è valida, qual è il cambiamento più significativo che provocherà la "Strategia nazionale per le identità affidabili nel cyberspazio"? [chiuso]

1

Una bozza attuale della "Strategia nazionale per le identità affidabili nel cyberspazio" è stata pubblicata dal Dipartimento per la sicurezza interna . Questa domanda non è la domanda sulla privacy o sulla costituzionalità, ma su come questo atto influenzerà i modelli di business e le strategie di sviluppo degli sviluppatori.

Quando è stato effettuato il post, mi è stato ricordato post del blog di Jeff di novembre relativo a patente di guida internet . Che si tratti di un modello perfetto o meno, entrambi gli approcci stanno tentando di gestire un problema condiviso (sia degli sviluppatori che degli utenti finali): come possiamo stabilire un'identità online?

La domanda che pongo qui è, per quanto riguarda i vari oneri che sarebbero imposti agli sviluppatori e agli utenti, quali sono alcuni dei problemi di implementazione più importanti e prevedibili che deriveranno dall'attuale soluzione proposta dal governo degli Stati Uniti?

Per un rapido avvio del setup, vai a pagina 12 per i componenti dell'infrastruttura, qui ci sono due stand-out:

  • Un provider di identità (IDP) è responsabile dei processi associati all'iscrizione a soggetto, e stabilire e mantenere l'identità digitale associata a un individuo o NPE. Questi processi includono il controllo e la verifica delle identità, nonché la revoca, la sospensione e il recupero dell'identità digitale. L'IDP è responsabile dell'emissione di una credenziale, l'oggetto informativo o il dispositivo utilizzato durante una transazione per fornire la prova dell'identità del soggetto; può anche fornire collegamenti a autorità, ruoli, diritti, privilegi e altri attributi.
  • Le credenziali possono essere archiviate su un supporto di identità, che è un dispositivo o oggetto (fisico o virtuale) utilizzato per memorizzare una o più credenziali, attestazioni o attributi relativi a un argomento. I media di identità sono ampiamente disponibili in molti formati, come smart card, chip di sicurezza integrati nei PC, telefoni cellulari, certificati basati su software e dispositivi USB. La selezione della credenziale appropriata è specifica per l'implementazione e dipende dalla tolleranza al rischio delle entità partecipanti.

Ecco i primi componenti utilizzabili della bozza:

  • Azione 1: designare un'agenzia federale per guidare gli sforzi del settore pubblico / privato associati al raggiungimento degli obiettivi della strategia
  • Azione 2: sviluppo di un piano di implementazione del settore pubblico / privato condiviso e completo
  • Azione 3: accelerare l'espansione dei servizi federali, dei piloti e delle politiche che si allineano all'ecosistema delle identità
  • Azione 4: lavorare tra i settori pubblico / privato per implementare la privacy migliorata Protezioni
  • Azione 5: coordinare lo sviluppo e il perfezionamento dei modelli di rischio e dell'interoperabilità Norme
  • Azione 6: affrontare le preoccupazioni di responsabilità dei fornitori di servizi e dei singoli
  • Azione 7: svolgere attività di sensibilizzazione e sensibilizzazione su tutti gli stakeholder
  • Azione 8: continua a collaborare negli sforzi internazionali
  • Azione 9: identificare altri mezzi per guidare l'adozione dell'ecosistema di identità attraverso il Nazione
posta mfg 14.01.2011 - 15:00
fonte

2 risposte

1

Per me l'idea suona molto simile a OpenID, e non credo ci sia alcun mandato che qualcuno lo usi. Non credo che gli utenti dovranno registrarsi per questo, e certamente non credo che possano costringere tutti i siti Web a implementarlo a questo punto.

In particolare, l'Azione 9 sembra che stiano cercando di convincere le persone a usarlo piuttosto che imporre che tutti lo usino. Quindi penso che sarebbe sicuro ignorarlo a meno che i tuoi utenti non vogliano utilizzare questo sistema di identità per accedere al tuo sito. Avrà gli stessi problemi di OpenID nel far sì che gli sviluppatori web lo implementino.

    
risposta data 14.01.2011 - 15:34
fonte
1

Penso che se il governo cerca di gestirlo, anche contrattando con società private, il risultato finale sarà caos. Storicamente le aziende private sono già riuscite in sicurezza - guarda Verisign! Ciò di cui abbiamo bisogno è un'azienda o una società che inizi a fare affari come verificatrice di identità. OpenID è un inizio. Sento che qualcosa di più è necessario per applicazioni sicure come il banking. Richiederebbe la verifica dell'identità piuttosto che semplicemente la registrazione online e l'azienda dovrebbe essere in grado di garantire che hanno coperto tutte le basi e che nessun robot o hacker malintenzionati hanno rubato l'identità di persone legittimate.

    
risposta data 14.01.2011 - 15:22
fonte