NIST realiza ‘importante actualización’ de directrices sobre autenticación
11 May, 2016
Comentarios y revisiones sobre SP 800-63 que tendrán lugar en GitHub
Los cuatro niveles de afirmación de identidad y evaluación de riesgo pueden resultar un tema polémico entre los participantes en la industria de identidad. Bien puede ocurrir que este verano el debate cobre furor en tiempo real cuando el Instituto Nacional de Estándares y Tecnología proponga un “cambio transformacional” de la Publicación Especial 800-63 con una gran parte de los comentarios y edición que tendrán lugar en GitHub este verano, dice Paul Grassi, consultor senior sobre estándares y tecnología de NIST.
Algunos de los cambios más importantes incluyen:
- Elimina el nivel dos
- Critica los códigos de seguridad de un solo uso por el aire
- Define el empleo aceptable de verificación basada en conocimiento
- Especifica políticas aceptables de contraseñas
- Pone fin a la inspección solamente visual de los documentos para demostrar la identidad a niveles más altos
Tradicionalmente NIST anuncia la actualización de un estándar o una publicación especial, entonces durante un período determinado de tiempo se aceptan comentarios, se producen revisiones y finalmente se emite. Pero en la revisión de 800-63, NIST está adoptando un enfoque más cooperativo al emitir el proyecto en GitHub y trabajar con participantes todo el verano.
Después que el proceso en GitHub esté completo, NIST abrirá el período tradicional para comentarios públicos antes de la emisión de la publicación especial definitiva. “Aunque estamos siendo iterativos e innovativos, no podremos finalizar la publicación en GitHub”, señala Grassi. “Como este es un documento vinculado a la política de la Oficina de Administración y Presupuesto de la Casa Blanca, tenemos que darle a nuestra agencia y partes interesadas del sector privado un período de tiempo para una cuidadosa revisión. Estamos entusiasmados con el enfoque iterativo sobre Github, pero no podemos pedirle al gobierno en su conjunto que detengan su misión para sumarse al proceso de preparación”.
En cuanto a los cambios a la SP 800-63, NIST está abogando porque los cuatro niveles de seguridad y autenticación pasen a ser tres, eliminando en la publicación especial revisada el nivel dos, explica Grassi. “El nivel dos se parece mucho a la comprobación del nivel tres, pero solo utiliza una credencial de nivel uno, que no provee los elementos de seguridad y privacidad que deseamos a este nivel en el actual entorno en línea”, añade. “En esencia, los nuevos niveles equivalen básicamente a los antiguos niveles uno, tres y cuatro”.
Además, esta revisión hará que NIST descomponga los niveles de seguridad en sus componentes individuales, o sea, niveles de seguridad para demostrar la identidad, autenticadores y afirmaciones.
“Esto le permitirá a las agencias combinar y hacer coincidir el nivel de seguridad de la identidad con la fortaleza de la credencial”, explica Grassi. “Esto le da a las agencias una oportunidad real para proteger los datos sensibles mientras que solo completa un proceso total de comprobación de identidad cuando es necesario”. Adicionalmente, están cumplimentando los requerimientos técnicos para PIV, los que estarán al máximo nivel – el nuevo nivel tres — que excede los actuales requisitos para el nivel cuatro.
Los requisitos de comprobación de identidad también fueron redactados nuevamente e incluyen algunos de los mayores cambios, señala Grassi. NIST examinó lo que se está haciendo en verificación de identidad en el Reino Unido y Canadá, así como programas pilotos de NSTIC e innovaciones en el mercado, incorporando algunas de esas ideas a las revisiones.
La idea es brindar más alternativas para alcanzar el nivel necesario de seguridad en la identidad, dice Grassi. “Ahora tenemos pasos que se enfocan hacia las características y resultados para alcanzar un nivel de seguridad, en lugar de un proceso singular prescriptivo”, explica. “Con las revisiones hemos establecido determinadas características de evidencia que deben ser presentadas por un solicitante, así como varios pasos para validar y verificar la evidencia y la identidad para alcanzar los niveles”.
Por ejemplo, si un individuo presenta un pasaporte electrónico que está validado con el chip, este sería un documento de alto valor y algo que el lenguaje propuesto considera como “superior”, dice Grassi. Si otros documentos – licencias de conducir y certificados de nacimiento – son validados por un experto entrenado con equipos especializados, eso también contribuiría a una puntuación más alta.
El documento probatorio revisado también ha de permitir la comprobación de identidad remota basada en video, como es por ejemplo escanear una licencia de conducir o un pasaporte con un dispositivo móvil, explica Grassi. “Las cámaras de los teléfonos inteligentes y la tecnología que las respalda, tienen la resolución y los algoritmos que permiten chequear las características de seguridad de los documentos y detectar fraudes bien sofisticados”, añade.
La revisión elimina en esencia la inspección solamente visual de documentos a niveles más altos, dice Grassi. “Si uno no puede realizar chequeos basados en máquinas, necesita incorporar validación y pasos de verificación adicionales”, explica.
Una de las revisiones más controversiales puede ser la adición de comprobación virtual de identidad en persona, como un equivalente a la comprobación tradicional en persona, para el nivel más alto de seguridad, dice Grassi. Los requisitos para esto serán estrictos. “No se trata de estar sentado en la oficina de su casa, sino que tiene que estar sentado frente a un equipo reforzado especializado, como puede ser un quiosco”, explica.
También hay cambios en la autenticación basada en conocimiento (KBA) criticada a menudo – que NIST denomina ahora como verificación basada en conocimiento (KBV). La última versión de 800-63 no permitía KBV, pero el último borrador perfecciona los requerimientos sobre cómo puede usarse. “En lugar de pretender que no existe, proporcionamos cuidadosos requerimientos para su propósito y empleo aceptable”, explica Grassi. “El mecanismo puede utilizarse como un punto de partida para resolver la identidad, pero existen requisitos estrictos para emplear KBV como una vía para verificar la identidad”.
Además, el proyecto trata de especificar fuentes aceptables de datos que pueden ser fuente para KBV. “KBV nunca ha estado basada en secretos, y acualmente casi nunca se basa en datos privados. Estamos tratando de perfeccionar un uso aceptable y limitado de KBV y que utilice en la mayor medida posible datos no accesibles al público”, expone Grassi.
NIST elimina el término token
El proyecto revisado también elimina la palabra “token”, optando en su lugar por autenticador, dice Grassi. Ha existido algún solapamiento y confusión con algunas de las API de seguridad cuando se trata de los términos, así es que resultó más fácil eliminar el problema por completo.
Aunque todo el mundo probablemente desearía eliminar las contraseñas, la revisión no las elimina, sino que actualiza los requisitos para las contraseñas en base a la investigación moderna y las mejores prácticas.
El nuevo requisito es una contraseña con un mínimo de ocho caracteres, con independencia del nivel de seguridad, pero estimulamos el empleo de contraseñas de 64 caracteres que hagan posible un conjunto completo de caracteres, sin reglas de composición y expiración, señala Grassi. Esto posibilitaría las frases de seguridad, tales como “NIST le hace muchos cambios a 800-63”.
La revisión también critica los códigos de seguridad de un solo uso por SMS como autenticador, señala Grassi. “Se siguen permitiendo, pero estamos enviando una fuerte señal de que esperamos que las agencias hagan la transición hacia otras técnicas en lugar de depender de SMS, con la expectativa de que se eliminará en una versión futura”.
Los ataques tipo “man in the middle” y otros han descubierto que esos sistemas son vulnerables, por lo que NIST está recomendando que las agencias comiencen a estudiar otros autenticadores. No obstante los OTP basados en aplicaciones, tales como Google Authenticator, serían permitidos con la revisión, así como otros. NIST también ha ampliado el alcance de la biometría aunque especificando requisitos de seguridad y funcionamiento que se habían omitido en el pasado.
Estas actualizaciones — tanto el proceso de revisión de documentos, como el contenido en sí mismo — tienen la intención de reflejar el compromiso de NIST de satisfacer las necesidades del entorno digital actual, explica Grassi.
“Es un cliché decir que la tecnología se mueve rápido, pero es un enorme desafío enfrentar las tecnologías en evolución y los entornos de riesgo a escala global y con la velocidad de Internet, todo ello sin comprometer nuestra responsabilidad de proteger la seguridad y privacidad de los individuos”, plantea Grassi. “Confiamos en la amplia comunidad de la identidad para que nos ayude a elaborar lineamientos inteligentes, modernos y prácticos, y esperamos que ese enfoque proporcione una forma más ágil para que nuestros participantes puedan lograr eso precisamente”.
El proyecto de publicación especial se encuentra en vivo en GitHub y se puede encontrar información adicional en inglés aquí y aquí. A medida que transcurre el verano, será interesante observar cómo evoluciona el documento y se va modificando a medida que da consideración a los diferentes aspectos.