¿Dejarán de existir los cuatro niveles federales de seguridad?
12 January, 2015
category: Seguridad en Internet
¿Eliminarlos? ¿Revisarlos? La industria pondera opciones
Zack Martin, Editor, Avisian Publications
Los cuatro niveles de protección de identidad y evaluación de riesgos se remontan al 2003 cuando la Oficina de Administración y Presupuesto (OMB) de la Casa Blanca emitió las directrices de autenticación electrónica para las agencias federales. En 2006 el Instituto Nacional de Estándares y Tecnología actualizó las directrices de autenticación en su Publicación Especial 800-63, que en 2013 fue objeto de una actualización menor. A veces se mofan de esos cuatro niveles por considerar que están alejados de la realidad, y un panelista en una feria comercial dijo que debían eliminarse por completo.
Aunque ese puede ser un criterio extremo, muchos coinciden en afirmar que la industria ha llegado al punto en que hay que tomar una decisión. O bien revisar los niveles, o crear otros nuevos que resulten más adecuados para los espacios empresariales y de los consumidores.
“800-63 fue una reacción específica en un momento dado”, señala Joni Brennan, directora ejecutiva de la Iniciativa Kantara. “Los federales no imaginaron en qué medida se iba a utilizar y no la redactaron con todo el alcance que requieren los que pretenden utilizarla”.
Grupos industriales y NIST se dan cuenta que es necesario revisar el modelo actual para determinar el aseguramiento de la identidad y la autenticación. NIST emitirá una solicitud de información antes de fin de año, pidiéndole a la industria que comente sobre la revisión de la 800-63, dice Paul Grassi, asesor senior de estándares y tecnología de NIST.
La expectativa es lograr una variante que pueda adaptarse a las innovaciones que lleva adelante el sector privado y a los modelos de riesgo específicos de las partes confiantes. “Es hora de ver las cosas con una óptica diferente”, añade Grassi.
Existe un deseo natural de contar con un mecanismo comparable para la autenticación – sea para utilizarlo en un sistema gubernamental o en una empresa – pero a medida que ha transcurrido el tiempo, los cuatro niveles originales no resultan adecuados para todo el mundo. “Usted obtiene los cuatro niveles, el superior es mítico y el inferior no sirve, y los dos del medio no son ideales”, señala Ian Glazer, miembro de la junta del Grupo de Dirección de Ecosistema de Identidad (Ecosystem Steering Group). “Si uno se aleja de los cuatro niveles, podrían haber tres o podrían haber 300.”
Orígenes de los cuatro niveles
OMB tomó la idea de los cuatro niveles de seguridad de los británicos – quienes se la robaron a los canadienses – que en realidad las denominan cero, uno, dos, tres, afirma Peter Alterman, director general de Safe-BioPharma y ex funcionario de GSA. “A la OMB le pareció que emitir una credencial a niveles cero de confianza no era un paso políticamente sensato, de modo que en su lugar pasaron a uno”, añade.
NIST tomó el memorándum de OMB y elaboró la publicación especial que planifica la tecnología y las implementaciones tecnológicas con respecto a los diferentes niveles, explica Alterman. Pese a la revisión de 2013, observa que la publicación especial no ha tenido ninguna actualización importante desde que se emitió por primera vez.
La Unión Europea está trabajando en la elaboración de un marco de asesoramiento y mitigación de riesgo de la identidad electrónica que emplearía tres niveles: bajo, sustancial y alto, señala Alterman. “El nivel no-riesgo se elimina de la tabla porque es irrelevante”, añade.
Todas estas ideas serán incluidas cuando NIST emita su solicitud de información sobre 800-63, dice Grassi. Es cierto que los niveles tienen sus problemas, y aunque esos niveles no son el único problema, los procesos y rigidez de la 800-63 pueden haber llegado al agotamiento.
La esperanza es obtener información del sector privado sobre cómo actualizar la 800-63 o crear algo nuevo que pueda ser utilizado en todo el sector privado.
“Queremos saber qué modelos de riesgo y técnicas alternativas han funcionado, pero no están alineadas con nuestros documentos actuales”, explica Grassi. “¿Nos atenemos a los cuatro niveles? ¿Los reducimos a menos de cuatro porque sabemos que no existe tal cosa como una contraseña segura?¿Existe en su lugar algún estándar de seguridad basado en vector o gradiente que incluya los múltiples componentes que constituyen la confianza en las identidades en línea?”
La solicitud sería emitida antes de finalizar 2014. “Esperemos que esto pueda aprovecharse para acelerar y catalizar el mercado para crear un estándar abierto y público que podamos adoptar en lugar de diferentes mercados, incluyendo el gobierno estadounidense, que tiene sus propios tipos de estándares”, añade Grassi. El punto más débil de los cuatro niveles, en la forma en que se ilustran en la 800-63, es que no escalan a otras industrias. Encontrar una gestión de riesgo y autenticación que funcione a través de todas las industrias es la aspiración, pero ¿es posible?
Andrew Nash, actual director general de la compañía de alertas sobre identidad Confyrm, anteriormente tenía a su cargo la identidad del consumidor en PayPal y utiliza esa compañía como un ejemplo. La compañía estaba manejando miles de millones de dólares en transacciones y tenía que cumplir las regulaciones impuestas por el estado “Conoce a tu Cliente”, que requerían el nivel tres de seguridad. Pero desde que comenzaron a utilizarse solamente nombres de usuario y contraseñas para el inicio de sesión – autenticación de nivel uno – el nivel más alto de seguridad logrado bajó de categoría a causa de que la técnica de autenticación era más débil. “Ellos no ajustan la forma en que operan los negocios”, dice Nash. “Hay una desconexión entre el mundo real y cómo opera el gobierno”. Crear un sistema que compare las modalidades de autenticación y las correlacione con el aseguramiento de riesgos ayudaría a resolver este problema, señala Glazer. Por ejemplo, los nombres de usuario y contraseñas por sí solos estarían en una baja categoría, pero empleando una contraseña de un solo uso (OTP) con algún sistema basado en riesgo que se ejecute en segundo plano chequeando el dispositivo y la dirección IP, lograría una clasificación más alta. “No existe un recetario que me diga que necesito esas modalidades y que me dé ese puntaje”, añade. A Glazer le gustaría que NIST u otro grupo realizaran pruebas de laboratorio sobre las diferentes modalidades de autenticación cuando se implementan de acuerdo a las mejores prácticas. “Sería muy bueno tener un cálculo aproximado de la relativa fortaleza de las modalidades y cómo operan”, añade.
Nivel 2.5
La flexibilidad es algo de que carecen los cuatro niveles. Por ejemplo, casi desde el momento en que se emitieron los cuatro niveles, la gente clamaba por el nivel 2.5. “Es donde necesitas saber quién es un consumidor, pero no es lo bastante sensible para saber si van a drenar una cuenta bancaria”, señala Mary Ruddy, directora de investigaciones del Grupo Gartner. Cuando se debate acerca de cómo modificar los niveles de seguridad y autenticación, surgen con frecuencia dos ideas: autenticación redoblada y un sistema modular/basado en vector, que suelen ir a la par. Ruddy favorece un sistema de autenticación redoblado, en que el consumidor emplearía una cuenta existente que puede ser de Facebook, Google o Twitter. Si el usuario quisiera acceso a una cuenta bancaria u otro sitio seguro, habría un mecanismo para redoblar la autenticación, respondiendo algunas preguntas personales o quizás con una contraseña de un solo uso (OTP) a un dispositivo móvil. Verificar la identidad y emitir credenciales puede ser una propuesta costosa, pero si los consumidores pueden utilizar credenciales que ya poseen y redoblar la autenticación, el sistema puede resultar más usable. “El gran reto es lograr credenciales que sean interoperables y reutilizables”, dice Ruddy. Existe la tecnología para lograr un nivel más alto de seguridad para los clientes sin que esto suponga esfuerzo por parte de los propios clientes. En dependencia de qué nivel de seguridad quiere la compañía, puede ser algo tan sencillo como el envío de un correo electrónico para validar una dirección pre-registrada, o algo tan complicado como una OTP, geolocalización o reconocimiento de dispositivo, señala Ruddy. “Hay muchísima innovación en la autenticación telefónica móvil”, añade. Esto también va de la mano con una autenticación basada en vector. Si un usuario está registrado en Facebook y accede desde un dispositivo típico y una dirección IP, esos vectores indican que él es quien dice ser, de modo que sería menos necesaria una autenticación redoblada. “Algún día todo esto será cubierto e invisible para el usuario”, plantea Brennan de Kantara. La Iniciativa Kantara trata sobre vector de confianza, dice Brennan. El grupo está buscando un marco que se configuraría en forma modular para permitir diferentes niveles de confianza. “Estamos tratando de enfocarnos hacia cuantas comunidades sea posible para evitar sostener múltiples discusiones en múltiples sitios”, explica. ¿Pero quién paga por esa autenticación extra? Nash dice que deben ser las partes confiantes porque son los que van a obtener algo de ella. Los proveedores de identidad no ven ningún beneficio en tener un aseguramiento que respalde la identidad, mientras que las partes confiantes sí lo ven así, explica él. Esta ha sido una falla fundamental con los cuatro niveles originales. Para poder certificarse para emitir credenciales que cumplan con el nivel tres, un proveedor de identidad tiene que gastar cientos de miles de dólares, y eso solamente por la certificación, no por la emisión de credenciales, señala Nash. El modelo de negocios estaba configurado para fallar. business model was set up to fail.
¿Qué va a ocurrir?
“Yo pienso que vamos a pasar a tener tres niveles, porque el nivel uno no exige esfuerzo alguno”, dice Alterman de Safe-BioPharma. La Organización Internacional de Estándares y los europeos están comenzando a alinearse en torno a tres en lugar de cuatro niveles. Esos tres niveles servirán como base de referencia, con la habilidad de adicionar factores específicos basados en riesgo. “Los bancos, las compañías de tarjetas de crédito y los hospitales podrían hacer algo propio, pero sus esfuerzos podrán alinearse con la base de referencia”, explica Alterman. Han pasado once años desde que los cuatro niveles hicieron su aparición dentro del gobierno federal de EEUU, y los cambios están en el horizonte. Los resultados muy posiblemente serán niveles de seguridad que no sean tan inadecuados y puedan ajustarse a un espectro de las industrias, y mecanismos de autenticación que esperamos puedan proporcionarle a los consumidores la habilidad de reutilizar identidades para todas las partes confiantes.
SP 800-63 y los cuatro niveles de seguridad
En la Publicación Especial 800-63, NIST emite directrices para el aseguramiento de la identidad y las tecnologías de autenticación que cumplimentan cada uno de los cuatro niveles que establece el documento. Nivel Uno: Una identidad de nivel uno tiene poca o ninguna confianza en la identidad declarada. Esa identidad típicamente auto-declarada se utiliza para transacciones en línea de poca cuantía y se basa en nombres de usuario y contraseñas como mecanismo de autenticación. Nivel Dos: Una identidad de nivel dos da alguna confianza en que la identidad declarada es precisa, y se emplea con frecuencia para aplicaciones de auto-servicio. Se introducen requisitos de evidencia que exigen la presentación de materiales identificativos o información. En el nivel dos pueden emplearse una serie de tecnologías de autenticación, incluyendo la autenticación de un solo factor, los tokens de conocimiento pre-registrado, tokens fuera de banda y dispositivos de contraseña de un solo uso. Nivel Tres: Las identidades de nivel tres tienen una elevada confianza en la exactitud de la identidad declarada, y se utiliza para el acceso a datos restringidos. Se exigen por lo menos dos factores de autenticación, incluyendo tokens criptográficos basados en software. Nivel Cuatro: Una identidad de nivel cuatro posee un nivel muy alto de confianza en la exactitud de la identidad declarada y se emplea para el acceso a datos muy restringidos. El nivel cuatro está destinado a proporcionar autenticación remota con la más alta seguridad práctica y está basado en la posesión de una clave criptográfica. A este nivel se requiere evidencia de la identidad en persona. El nivel cuatro es similar al nivel tres, salvo que solo se permiten tokens criptográficos basados en hardware. PIV es una credencial de nivel cuatro.
Nota al margen: programa de seguridad de InCommon
InCommon ha lanzado un programa de seguridad para la educación superior que ofrece dos niveles: bronce y plata. El nivel bronce es comparable al Nivel de Seguridad Uno de NIST y proporciona una seguridad razonable en cuanto a que una credencial en particular representa la misma persona cada vez que lo utiliza. El bronce es más o menos la misma confianza asociada con la identidad común en Internet. Plata es equivalente al Nivel de Seguridad Dos de NIST. Tiene requerimientos de evidencia de identidad que proporcionan una seguridad razonable de la identidad individual, ofrecen un nivel de seguridad en general apropiado para transacciones financieras básicas. Aunque los perfiles de InCommon se basan en los cuatro niveles de seguridad de identidad de la SP 800-63 de NIST, han sido concebidos para la audiencia de la educación superior. Virginia Tech está empleando el programa InCommon para algunos empleados, y emite memorias USB de 64K con certificados digitales x.509. La universidad está usando perfiles de seguridad bronce y plata para acceder a los servicios externos que requieren esos niveles, y los servicios de Virginia Tech también tienen la opción de requerir bronce o plata de los usuarios locales. Algunos miembros de la facultad de investigaciones de Virginia Tech ya se han federado, y la Oficina de Programas Patrocinados tiene planes de utilizarlos también para solicitudes de subvenciones. Virginia Tech espera que los funcionarios de ayuda financiera puedan utilizar sus credenciales plata para acceder a servicios ofrecidos por el Departamento de Educación y por el centro nacional de documentación estudiantil National Student Clearinghouse.