Bugün öğrendim ki: daha uzun parolalar daha karmaşık parolalardan daha güvenli kabul edilir. Sadece harf ve rakamlar kullanan 20 uzunluğundaki bir parola, harf, rakam ve semboller kullanan 15 uzunluğundaki bir paroladan çok daha güvenlidir

---

2024 Ağustos 28 Çarşamba 20:39:12 -0500

ÖZET

Bu kılavuz, ağ üzerinden devlet bilgi sistemleriyle etkileşime giren konuların kimlik doğrulamasını ele almaktadır. Bu kılavuz, belirli bir talep edenin daha önce kimlik doğrulaması yapılmış bir aboneden olup olmadığını belirlemek için kullanılmaktadır. Doğrulama süreci sonucunda elde edilen bilgiler, doğrulamayı yapan sistem tarafından yerel olarak veya federasyonlu kimlik sisteminde başka bir yerde kullanılabilir. Bu belge, her bir üç kimlik doğrulayıcı güvence seviyesi için teknik gereksinimleri tanımlar. Bu kılavuzların, bu amaç dışındaki standartların geliştirilmesini veya kullanılmasını sınırlama amacı yoktur. Bu yayım, NIST Özel Yayını (SP) 800-63B'yi değiştirir.

Anahtar Kelimeler

kimlik doğrulama; kimlik doğrulama güvencesi; kimlik bilgisi hizmet sağlayıcısı; dijital kimlik doğrulama; dijital kimlik bilgileri; elektronik kimlik doğrulama; elektronik kimlik bilgileri; parola.

Gözden geçirenler İçin Not

Aralık 2022'de NIST, SP 800-63, Revizyon 4'ün İlk Halka Açık Taslağını (IPD) yayınladı. 119 günlük halka açık görüşme süresi boyunca, yazarlar ilgisi olan kuruluşlardan ve bireylerden olağanüstü geri bildirim aldılar. Yaklaşık 4.000 ayrıntılı yorumdan alınan bilgiler, NIST'nin güvenli, özel, eşit ve erişilebilir kimlik sistemlerinin uygulanmasını mümkün kılan temel risk yönetimi süreçleri ve gereksinimlerini sağlama konusundaki kritik hedeflerini destekleyen bir şekilde bu Dijital Kimlik Kılavuzlarının geliştirilmesini ilerletti. Bu ilk geri bildirim dalgasına dayanarak, tüm ciltlerde önemli değişiklikler yapıldı. Bu değişiklikler şunları içerir ancak bunlarla sınırlı değildir:

Risk yönetimi için güncellenmiş metin ve bağlamlandırma. Özellikle, yazarlar IPD'de tanımlanan süreci, kuruluşun sunduğu çevrimiçi hizmeti tanımlama ve anlama ve potansiyel olarak kimlik sistemleriyle koruyabileceği çevrimiçi hizmeti tanımlama ve anlama adına bağlam oluşturma adımı eklemek için değiştirdi.

Önerilen sürekli değerlendirme metrikleri eklendi. IPD tarafından tanıtılmış sürekli iyileştirme bölümü, kimlik çözüm performansını bütünsel olarak değerlendirmek için önerilen bir dizi metrik içerecek şekilde genişletildi. Bu öneriler, veri akışlarının karmaşıklığı ve çözüm dağıtımlarındaki farklılıklar nedeniyle yapıldı.

Sahtecilik gereksinimleri ve önerileri genişletildi. Kimlik hizmet sağlayıcıları ve güvenen taraflar için programlı sahtecilik yönetimi gereksinimleri, sahtecilik denetimlerinin uygulanmasından kaynaklanabilecek sorunları ve zorlukları ele alıyor.

Kimlik doğrulama denetimlerinin yeniden yapılandırılması. Doğrulamanın sağlanma biçimine bağlı olarak, her güvence seviyesindeki gereksinimler için yeni bir taksonomi ve yapı mevcuttur: Uzaktan Otomatik, Uzaktan Denetlenen (örneğin, video oturumları), Yerinde Otomatik (örneğin, kiosk) ve Yerinde Denetlenen (örneğin, şahsen).

Senkronize edilebilir kimlik doğrulayıcıların entegre edilmesi. Nisan 2024'te NIST, senkronize edilebilir kimlik doğrulayıcılar için geçici bir kılavuz yayınladı. Bu kılavuz, SP 800-63B'ye normatif metin olarak entegre edildi ve Revizyon 4 cilt kümesinin bir parçası olarak kamuoyunun görüşüne sunuldu.

Federasyon modelinde kullanıcı tarafından kontrol edilen cüzdanlar eklendi. Dijital cüzdanlar ve kimlik bilgileri (SP 800-63C'de "öznitelik paketleri" olarak adlandırılır) giderek daha fazla ilgi ve benimsenme görmektedir. Temel olarak, bir konu hakkında imzalı iddialar oluşturan federasyonlu bir IdP gibi işlev görürler. Bu sunum için ve ortaya çıkan bağlam için özel gereksinimler SP 800-63C-4'te sunulmaktadır.

Son birkaç yılda çevrimiçi hizmetlerin hızla yayılması, güvenilir, adil, güvenli ve gizliliği koruyan dijital kimlik çözümlerine olan ihtiyacı artırdı. NIST Özel Yayını SP 800-63, Dijital Kimlik Kılavuzları'nın Revizyon 4, bu kılavuz serisinin son büyük revizyonunun 2017'de yayınlanmasından bu yana ortaya çıkan değişen dijital manzaraya, çevrimiçi risklerin gerçek dünya etkilerine yanıt vermeyi amaçlamaktadır. Kılavuzlar, kimlik doğrulaması, kimlik doğrulama ve federasyon için dijital kimlik yönetimi güvence seviyelerine ulaşmak için süreci ve teknik gereksinimleri sunmaktadır, bunlar arasında güvenlik ve gizlilik gereksinimleri ile dijital kimlik çözümlerinin ve teknolojisinin eşitliği ve kullanılabilirliğinin desteklenmesi hususları yer almaktadır.

Haziran 2020 Ön Taslak Yorum Çağrısı'na yanıt olarak verilen geri bildirimler, kılavuzların gerçek dünya uygulamaları, piyasa inovasyonu ve mevcut tehdit ortamı üzerine yapılan araştırmalara dayanarak, bu taslak aşağıdakileri amaçlamaktadır:

Revizyon 4 SP 800-63'ün IPD'sine verilen yorumları ele almak

Kamu yorumlarında ortaya çıkan soruları ve sorunları ele almak için metni netleştirmek

SP 800-63'ün dört cildini de güncel teknoloji ve piyasa gelişmeleri, değişen dijital kimlik tehdit ortamı ve dijital kimlik çözümlerine yönelik kurumsal ihtiyaçlar göz önünde bulundurarak çevrimiçi güvenlik, gizlilik, kullanılabilirlik ve eşitlik sorunlarını ele almak için güncellemek

NIST, aşağıdaki konularla ilgili yorumlar ve önerilerde özellikle ilgilenmektedir:

Kimlik Doğrulama ve Kimlik Doğrulayıcı Yönetimi

Senkronize edilebilir kimlik doğrulayıcıların, kamu ve kurumsal kullanım için makul risk temelli kabulüne izin verecek kadar yeterli şekilde tanımlanmış mıdır?

Uygulamaya yönelik ek önerilen denetimler var mıdır? Yakalanması gereken özel uygulama önerileri veya hususlar var mıdır?

Cüzdan tabanlı kimlik doğrulama mekanizmaları ve "öznitelik paketleri" kimlik doğrulayıcılar olarak yeterince tanımlanmış mıdır? Ek gereksinimler eklenmesi veya netleştirilmesi gerekenler var mıdır?

Genel

Bu ve gelecekteki Dijital Kimlik Kılavuzu yinelemelerinin daha hızlı benimsenmesini ve uygulanmasını sağlayabilecek özel uygulama kılavuzları, referans mimarileri, metrikler veya diğer destekleyici kaynaklar neler olabilir?

Kimlik pazarına ve bu kılavuzların geliştirilmesine en büyük etkiyi sağlayacak uygulama tabanlı araştırma ve ölçüm çabaları nelerdir?

Gözden geçirenler, SP 800-63-4 paketinin dört taslak cildinin tamamındaki metinlere yorum yapmaya ve değişiklikler önermeye teşvik edilir. NIST, tüm yorumların 7 Ekim 2024 tarihinde Doğu Saati ile 23:59'a kadar gönderilmesini rica eder. Lütfen yorumlarınızı [email protected] adresine gönderin. NIST tüm yorumları inceleyecek ve NIST Kimlik ve Erişim Yönetimi web sitesi üzerinden paylaşacaktır. Yorumcular, bu gözden geçirenler notlarına ve dört ciltli pakete yönelik özel yorumlar için NIST Bilgisayar Güvenliği Kaynak Merkezi web sitesinde sağlanan yorum şablonunu kullanmaya teşvik edilir.

Önsöz

Bu yayım ve eşlik eden ciltleri - [SP800-63], [SP800-63A] ve [SP800-63C] - kuruluşların dijital kimlik hizmetlerini uygulamaları için teknik kılavuzlar sağlar.

Bu belge, SP 800-63B, uzaktan kullanıcı kimlik doğrulamaları için her üç Kimlik Doğrulama Güvence Seviyesi (AAL'ler) için kimlik hizmet sağlayıcılarına (KHS) gereksinimler sunmaktadır.

Giriş

Bu bölüm bilgi amaçlıdır.

Kimlik doğrulama, dijital bir hizmete erişmeye çalışan bir kişinin, kimliğini doğrulamak için kullanılan gizliliklerin kontrolünde olduğunu belirleyerek, bir veya daha fazla kimlik doğrulayıcının geçerliliğini belirleme işlemidir. Bir hizmete tekrarlanan ziyaretler uygulanabilirse, başarılı kimlik doğrulama, hizmete bugün erişen kişinin daha önce hizmete erişen kişiyle aynı olduğunu gösteren makul bir risk temelli güvence sağlar. Abonenin yalnızca bir kez hizmete erişeceği tek seferlik hizmetler için, kalıcı dijital kimlik doğrulamasını desteklemek için kimlik doğrulayıcıların verilmesi gerekli değildir.

Talep edenlerin kimlik doğrulaması, bir aboneyi çevrimiçi etkinlikleriyle abonenin bir kimlik hizmet sağlayıcısı (KHS) tarafından tutulan abone hesabına bağlama sürecinde merkezi bir öneme sahiptir. Kimlik doğrulaması, talep edenin belirli bir abone hesabıyla ilişkili bir veya daha fazla kimlik doğrulayıcıyı (bazı önceki SP 800-63 sürümlerinde jeton olarak adlandırılır) kontrol ettiğini doğrulayarak gerçekleştirilir. Kimlik doğrulama işlemi, KHS'nin veya - federasyonlu kimlik doğrulamada - kimlik sağlayıcısı (IdP) rolündeki bir doğrulayıcı tarafından yürütülür. Başarılı kimlik doğrulamanın ardından, doğrulayıcı, güvenen tarafa (GT) bir kimlik belirleyici belirtir. İsteğe bağlı olarak, doğrulayıcı, GT'ye ek öznitelikler de belirtebilir.

Bu belge, çeşitli Kimlik Doğrulama Güvence Seviyeleri (AAL'ler) için kullanılabilecek kimlik doğrulama süreçleri türleri hakkında, kimlik doğrulayıcı seçimler dahil olmak üzere öneriler sunmaktadır. Ayrıca, kimlik doğrulayıcıların yaşam döngüsü boyunca meydana gelebilecek olaylar hakkında, ilk verilen, korunma ve kimlik doğrulayıcının kaybı veya çalınması durumunda geçersiz kılınması hakkında öneriler sunmaktadır.

Bu teknik kılavuz, ağ üzerinden konuların sistemlere dijital kimlik doğrulamasını kapsamaktadır. Ayrıca, kimlik doğrulama protokollerinde yer alan doğrulayıcılar ve GT'lerin, doğruladıkları hizmetlerin kimliğini garanti etmek için talep edenlere de kimlik doğrulaması yapmasını gerektirir. Kişinin fiziksel erişimini (örneğin, bir binaya) doğrulamayı kapsamamaktadır. Ancak, dijital erişim için kullanılan bazı kimlik bilgileri, [SP800-116]'da açıklandığı gibi fiziksel erişim kimlik doğrulaması için de kullanılabilir.

AAL'ler, bir kimlik doğrulama işleminin gücünü sıralı bir kategori olarak nitelendirir. Daha güçlü kimlik doğrulaması (yani, daha yüksek bir AAL), kötü niyetli aktörlerin kimlik doğrulama sürecini başarıyla alt edebilmek için daha iyi becerilere ve daha fazla kaynak harcamasına ihtiyaç duyduğunu gösterir. Yüksek AAL'lerde kimlik doğrulaması, saldırı riskini etkili bir şekilde azaltabilir. Her bir AAL için teknik gereksinimlerin genel bir özeti aşağıda verilmiştir; bu belgenin 2. ve 3. bölümlerinde özel normatif gereksinimleri bulabilirsiniz.

Kimlik Doğrulama Güvence Seviyesi 1: AAL1, talep edenin doğrulanacak abone hesabına bağlı bir kimlik doğrulayıcıyı kontrol ettiğine dair temel bir güvence sağlar. AAL1, mevcut geniş kimlik doğrulama teknolojileri kullanılarak tek faktörlü kimlik doğrulama gerektirir. Bununla birlikte, AAL1'de değerlendirilen uygulamaların çok faktörlü kimlik doğrulama seçenekleri sunması önerilir. Başarılı kimlik doğrulaması, talep edenin kimlik doğrulayıcının mülkiyetini ve kontrolünü güvenli bir kimlik doğrulama protokolü ile kanıtlamasını gerektirir.

Kimlik Doğrulama Güvence Seviyesi 2: AAL2, talep edenin doğrulanacak abone hesabına bağlı bir veya daha fazla kimlik doğrulayıcıyı kontrol ettiğine dair yüksek güvence sağlar. İki farklı kimlik doğrulama faktörünün mülkiyetini ve kontrolünü kanıtlamak gerekir. AAL2'de değerlendirilen uygulamalar, sahtekarlığa karşı dirençli bir kimlik doğrulama seçeneği sunmalıdır.

Kimlik Doğrulama Güvence Seviyesi 3: AAL3, talep edenin doğrulanacak abone hesabına bağlı bir veya daha fazla kimlik doğrulayıcıyı kontrol ettiğine dair çok yüksek güvence sağlar. AAL3 kimlik doğrulaması, açık anahtarlı şifreleme protokolü kullanılarak bir anahtarın mülkiyetinin kanıtlanmasına dayanmaktadır. AAL3 kimlik doğrulaması, dışa aktarılamayan özel bir anahtara sahip donanım tabanlı bir kimlik doğrulayıcı ve sahtekarlığa karşı dirençli bir kimlik doğrulayıcı (bkz. Bölüm 3.2.5) gerektirir; aynı cihaz her iki gereksinimi de karşılayabilir. AAL3'te kimlik doğrulaması yapmak için, talep edenlerin iki farklı kimlik doğrulama faktörünün mülkiyetini ve kontrolünü kanıtlamaları gerekir.

Bir oturum belirli bir AAL'de kimlik doğrulaması yapıldıktan sonra ve daha yüksek bir AAL gerekiyorsa, bir kimlik doğrulama işlemi, o oturumun AAL'sini artırmak için aşamalı kimlik doğrulama da sağlayabilir.

Notasyonlar

Bu kılavuz, metinde aşağıdaki tipografik sözleşmeleri kullanmaktadır:

BÜYÜK HARFLER'deki özel terimler normatif gereksinimleri temsil eder. Aynı terimler büyük harfle yazılmadığında, terim normatif bir gereksinimi temsil etmez.

"GEREKİR", "GEREKMEMEZ" terimleri, yayın ile uyumlu olmak için kesinlikle takip edilmesi gereken ve sapmaya izin verilmeyen gereksinimleri gösterir.

"GEREKLİDİR" ve "GEREKLİ DEĞİLDİR" terimleri, çeşitli olasılıklardan birinin özellikle uygun olduğunu belirtir, ancak diğerlerini belirtir veya dışlamaz; belirli bir eylemin tercih edildiğini, ancak zorunlu olmadığını veya (olumsuz biçimde) belirli bir olasılığın veya eylemin caydırıldığını, ancak yasaklanmadığını gösterir.

"OLABİLİR" ve "GEREKMEMEZ" terimleri, yayın sınırları dahilinde izin verilen bir eylem yolunu gösterir.

"SAHİPTİR" ve "SAHİP DEĞİLDİR" terimleri, somut, fiziksel veya nedensel bir olasılığın ve yeteneğin veya -olumsuz biçimde- bu olasılığın veya yeteneğin yokluğunu gösterir.

Belge Yapısı

Bu belge aşağıdaki gibi düzenlenmiştir. Her bölüm normatif (yani, uyumluluk için zorunlu) veya bilgi amaçlı (yani, zorunlu değil) olarak etiketlenmiştir.

Bölüm 1, belgeyi tanıtmaktadır. Bu bölüm bilgi amaçlıdır.

Bölüm 2, Kimlik Doğrulama Güvence Seviyelerini açıklamaktadır. Bu bölüm normatiftir.

Bölüm 3, kimlik doğrulayıcı ve doğrulayıcı gereksinimlerini açıklamaktadır. Bu bölüm normatiftir.

Bölüm 4, kimlik doğrulayıcı olay yönetimi gereksinimlerini açıklamaktadır. Bu bölüm normatiftir.

Bölüm 5, oturum yönetimi gereksinimlerini açıklamaktadır. Bu bölüm normatiftir.

Bölüm 6, güvenlik hususlarını sunmaktadır. Bu bölüm bilgi amaçlıdır.

Bölüm 7, gizlilik hususlarını sunmaktadır. Bu bölüm bilgi amaçlıdır.

Bölüm 8, kullanılabilirlik hususlarını sunmaktadır. Bu bölüm bilgi amaçlıdır.

Bölüm 9, eşitlik hususlarını sunmaktadır. Bu bölüm bilgi amaçlıdır.

Kaynakça bölümü, bu belgede atıfta bulunulan yayınların listesini içerir. Bu bölüm bilgi amaçlıdır.

Ek A, parolaların gücü hakkında bilgi sağlar. Bu ek bilgi amaçlıdır.

Ek B, senkronize edilebilir kimlik doğrulayıcılar hakkında bilgi sağlar. Bu ek normatiftir.

Ek C, bu belgede kullanılan kısaltmaların seçilmiş bir listesini içerir. Bu ek bilgi amaçlıdır.

Ek D, bu belgede kullanılan seçilmiş terimlerin sözlüğünü içerir. Bu ek bilgi amaçlıdır.

Ek E, bu belgedeki değişikliklerin özet bir listesini içerir. Bu ek bilgi amaçlıdır.


(Devam ediyor...)