Электронная аутентификация

Электронная аутентификация – это процесс установления уверенности в личности пользователя, представленной в информационной системе в электронном виде . ^[1] Цифровая аутентификация или электронная аутентификация может использоваться как синоним, когда речь идет о процессе аутентификации, который подтверждает или удостоверяет личность человека и работает. При использовании в сочетании с электронной подписью она может предоставить подтверждение того, были ли полученные данные подделаны после того, как они были подписаны их первоначальным отправителем. Электронная аутентификация может снизить риск мошенничества и кражи личных данных , проверяя, что человек является тем, кем он себя называет, при выполнении транзакций в Интернете. ^[2]

Для аутентификации личности пользователя могут использоваться различные методы электронной аутентификации, начиная от пароля и заканчивая более высокими уровнями безопасности, которые используют многофакторную аутентификацию (MFA). ^[3] В зависимости от используемого уровня безопасности пользователю может потребоваться подтвердить свою личность с помощью токенов безопасности , контрольных вопросов или наличия сертификата стороннего центра сертификации, удостоверяющего его личность. . ^[4]

Обзор

Справочный процесс цифровой регистрации и аутентификации Американского национального института стандартов и технологий (NIST)

Американский национальный институт стандартов и технологий (NIST) разработал общую модель электронной аутентификации ^[5] , которая обеспечивает базовую структуру выполнения процесса аутентификации независимо от юрисдикции или географического региона. Согласно этой модели, процесс регистрации начинается с подачи заявки поставщику услуг учетных данных (CSP). Прежде чем продолжить транзакцию, CSP необходимо будет подтвердить личность заявителя. ^[6] Как только личность заявителя подтверждена CSP, он или она получает статус «подписчика», ему предоставляется аутентификатор , например токен, и учетные данные, которые могут быть в форме имени пользователя.

CSP отвечает за управление учетными данными, а также данными регистрации подписчика в течение срока действия учетных данных. Абоненту будет поручено поддерживать аутентификаторы. Примером этого является ситуация, когда пользователь обычно использует определенный компьютер для осуществления онлайн-банкинга . Если он или она попытается получить доступ к своему банковскому счету с другого компьютера, аутентификатор не будет присутствовать. Чтобы получить доступ, абоненту необходимо будет подтвердить свою личность в CSP, что может быть в форме успешного ответа на контрольный вопрос, прежде чем ему будет предоставлен доступ. ^[4]

Использование электронной авторизации в медицинской сфере

Новые изобретения в области лекарств и новые разработки в области медицинских технологий получили широкое распространение и внедрение в современном обществе. В результате средняя продолжительность жизни человека стала намного дольше, чем раньше. Поэтому безопасное создание и управление личными медицинскими картами каждого человека в течение его жизни в электронной форме постепенно стало интересной темой для отдельных граждан и органов социального обеспечения; причина в том, что хорошо сохранившаяся медицинская документация человека может помочь врачам и больницам своевременно узнать важные и необходимые сведения о состоянии здоровья и тела целевого пациента, прежде чем проводить какую-либо терапию.

История

Необходимость аутентификации преобладала на протяжении всей истории. В древние времена люди узнавали друг друга по зрительному контакту и внешнему виду. Шумеры в древней Месопотамии подтверждали подлинность своих письмен с помощью печатей, украшенных опознавательными символами . С течением времени наиболее распространенным способом аутентификации стала рукописная подпись. ^[2]

Факторы аутентификации

Существует три общепринятых фактора, которые используются для установления цифровой идентичности для электронной аутентификации, в том числе:

• Фактор знаний, который представляет собой то, что знает пользователь, например пароль , ответы на контрольные вопросы, идентификационные номера или PIN-код .
• Фактор владения, то есть то, что есть у пользователя, например мобильный телефон, ПК или токен.
• Биометрический фактор, которым является пользователь, например его или ее отпечатки пальцев, сканирование глаз или образец голоса.

Из трех факторов биометрический фактор является наиболее удобным и убедительным для подтверждения личности человека, но его внедрение является самым дорогим. У каждого фактора есть свои слабые стороны; следовательно, надежная и строгая аутентификация зависит от сочетания двух или более факторов. Это известно как многофакторная аутентификация , ^[2] подтипами которой являются двухфакторная аутентификация и двухэтапная проверка.

Многофакторная аутентификация по-прежнему может быть уязвима для атак, включая атаки «человек посередине» и троянские атаки. ^[7]

Методы

Токен

Образец токена

Токены, как правило, представляют собой то, чем владеет и контролирует заявитель, и что может быть использовано для аутентификации личности заявителя. При электронной аутентификации заявитель проходит аутентификацию в системе или приложении по сети. Таким образом, токен, используемый для электронной аутентификации, является секретным и должен быть защищен. Токен может, например, представлять собой криптографический ключ, защищенный путем шифрования паролем. Самозванец должен украсть зашифрованный ключ и узнать пароль, чтобы использовать токен.

Пароли и аутентификация на основе PIN-кода

Пароли и ПИН-коды относятся к категории «того, что вы знаете». Комбинация цифр, символов и смешанного регистра считается более надежной, чем пароль, состоящий из одних букв. Кроме того, использование функций Transport Layer Security (TLS) или Secure Socket Layer (SSL) в процессе передачи информации также создаст зашифрованный канал для обмена данными и для дальнейшей защиты доставляемой информации. В настоящее время большинство атак направлены на системы аутентификации на основе паролей. ^[8]

Аутентификация с открытым ключом

Этот тип аутентификации состоит из двух частей. Один из них — открытый ключ, другой — закрытый ключ. Открытый ключ выдается центром сертификации и доступен любому пользователю или серверу. Закрытый ключ известен только пользователю. ^[9]

Аутентификация с симметричным ключом

Пользователь делится уникальным ключом с сервером аутентификации. Когда пользователь отправляет случайно сгенерированное сообщение (запрос), зашифрованное секретным ключом, на сервер аутентификации, если сообщение может быть сопоставлено сервером с использованием его общего секретного ключа, пользователь аутентифицируется. При реализации вместе с аутентификацией по паролю этот метод также обеспечивает возможное решение для систем двухфакторной аутентификации . ^[10]

Аутентификация на основе SMS

Биометрическая аутентификация

Пользователь получает пароль, прочитав сообщение на сотовом телефоне, и вводит пароль обратно для завершения аутентификации. Служба коротких сообщений (SMS) очень эффективна, когда широко распространены сотовые телефоны. SMS также подходит для защиты от атак «человек посередине» (MITM), поскольку использование SMS не связано с Интернетом. ^[11]

Биометрическая аутентификация

Биометрическая аутентификация — это использование уникальных физических атрибутов и измерений тела в качестве промежуточного звена для лучшей идентификации и контроля доступа. Физические характеристики, которые часто используются для аутентификации, включают отпечатки пальцев, распознавание голоса , распознавание лиц и сканирование радужной оболочки глаза, поскольку все они уникальны для каждого человека. Традиционно биометрическая аутентификация, основанная на системах идентификации на основе токенов, таких как паспорт, в настоящее время становится одной из наиболее безопасных систем идентификации для защиты пользователей. Новая технологическая инновация, обеспечивающая широкий спектр поведенческих или физических характеристик, определяющих правильную концепцию биометрической аутентификации. ^[12]

Цифровая аутентификация личности

Под аутентификацией цифровой личности подразумевается комбинированное использование данных об устройстве, поведении, местоположении и других данных, включая адрес электронной почты, информацию об учетной записи и кредитной карте, для аутентификации онлайн-пользователей в режиме реального времени. Например, в недавней работе изучалось, как использовать отпечатки пальцев браузера как часть схемы многофакторной аутентификации. ^[13]

Электронные учетные данные

Бумажные учетные данные — это документы, которые удостоверяют личность или другие атрибуты физического или юридического лица, называемого субъектом учетных данных. Некоторые распространенные бумажные удостоверения личности включают паспорта, свидетельства о рождении , водительские права и удостоверения личности сотрудников. Сами удостоверения удостоверяются различными способами: традиционно, возможно, с помощью подписи или печати, специальной бумаги и чернил, высококачественной гравировки, а сегодня с помощью более сложных механизмов, таких как голограммы, которые делают удостоверения узнаваемыми и трудными для копирования или подделать. В некоторых случаях простого обладания учетными данными достаточно, чтобы установить, что физический владелец учетных данных действительно является субъектом учетных данных. Чаще всего учетные данные содержат биометрическую информацию, такую ​​как описание субъекта, изображение субъекта или рукописная подпись субъекта, которую можно использовать для подтверждения того, что владелец учетных данных действительно является субъектом учетных данных. Когда эти бумажные учетные данные предъявляются лично, биометрические данные аутентификации , содержащиеся в этих учетных данных, могут быть проверены, чтобы подтвердить, что физический владелец учетных данных является субъектом.

Учетные данные электронной идентификации связывают имя и, возможно, другие атрибуты с токеном. Сегодня используются различные типы электронных учетных данных , и постоянно создаются новые типы учетных данных (eID, электронное удостоверение личности избирателя , биометрические паспорта, банковские карты и т. д.). Как минимум, учетные данные включают идентифицирующую информацию, которая позволяет восстановить записи регистрации, связанные с учетными данными и именем, связанным с подписчиком. ^{[ нужна цитата ]}

Верификаторы

В любой аутентифицированной онлайн-транзакции проверяющим является сторона, которая подтверждает, что заявитель владеет и контролирует токен, подтверждающий его или ее личность. Заявитель подтверждает свою личность проверяющему с помощью токена и протокола аутентификации. Это называется «Доказательство владения» (PoP). Многие протоколы PoP спроектированы таким образом, что верификатор, не зная токена до запуска протокола аутентификации, ничего не узнает о токене в ходе запуска. Верификатор и CSP могут быть одним и тем же объектом, верификатор и проверяющая сторона могут быть одним и тем же объектом или все три могут быть отдельными объектами. Верификаторам нежелательно узнавать общие секреты, если только они не являются частью того же объекта, что и CSP, зарегистрировавший токены. Если проверяющая сторона и проверяющая сторона являются отдельными объектами, проверяющая сторона должна передать результат протокола аутентификации проверяющей стороне. Объект, созданный верификатором для передачи этого результата, называется утверждением. ^[14]

Схемы аутентификации

Существует четыре типа схем аутентификации: локальная аутентификация, централизованная аутентификация, глобальная централизованная аутентификация, глобальная аутентификация и веб-приложение (портал).

При использовании локальной схемы аутентификации приложение сохраняет данные, относящиеся к учетным данным пользователя. Эта информация обычно не передается другим приложениям. Ответственность за поддержание и запоминание типов и количества учетных данных, связанных со службой, к которой ему необходимо получить доступ, лежит на пользователе. Это схема с высоким риском, поскольку существует вероятность того, что область хранения паролей может быть скомпрометирована.

Использование схемы централизованной аутентификации позволяет каждому пользователю использовать одни и те же учетные данные для доступа к различным службам. Каждое приложение отличается и должно иметь интерфейсы и возможность взаимодействия с центральной системой для успешной аутентификации пользователя. Это позволяет пользователю получить доступ к важной информации и получить доступ к закрытым ключам, которые позволят ему или ей подписывать документы электронной подписью.

Использование третьей стороны через глобальную централизованную схему аутентификации дает пользователю прямой доступ к службам аутентификации. Это позволяет пользователю получить доступ к конкретным услугам, которые ему нужны.

Наиболее безопасной схемой является глобальная централизованная аутентификация и веб-приложение (портал). Он идеально подходит для использования в электронном правительстве, поскольку предоставляет широкий спектр услуг. Он использует единый механизм аутентификации, включающий как минимум два фактора, обеспечивающий доступ к необходимым услугам и возможность подписывать документы. ^[2]

Аутентификация и цифровая подпись работают вместе

Часто аутентификация и цифровая подпись применяются совместно. В расширенных электронных подписях подписавший прошел аутентификацию и установил уникальную связь с подписью. В случае квалифицированной электронной подписи , как это определено в регламенте eIDAS , личность подписывающего лица даже удостоверяется квалифицированным поставщиком услуг доверия . Такая связь подписи и аутентификации, во-первых, поддерживает доказательную силу подписи, которую обычно называют неотказом от происхождения. Защита сообщения на сетевом уровне называется невозможностью отказа от передачи. Аутентифицированный отправитель и содержимое сообщения связаны друг с другом. Если третья сторона попытается изменить содержимое сообщения, подпись потеряет силу. ^[15]

Оценка риска

При разработке электронных систем существуют некоторые отраслевые стандарты, требующие от агентств США обеспечения транзакций соответствующего уровня гарантий. Как правило, серверы используют Руководство по электронной аутентификации для федеральных агентств (M-04-04) Управления управления и бюджета США (OMB) в качестве руководства, которое публикуется, чтобы помочь федеральным агентствам предоставлять безопасные электронные услуги, защищающие личную конфиденциальность. . Он просит агентства проверить, требуют ли их транзакции электронную аутентификацию, и определить надлежащий уровень гарантии. ^[16]

Он установил четыре уровня гарантии: ^[17]

Уровень уверенности 1: Незначительная уверенность или отсутствие уверенности в достоверности заявленной личности.
Уровень уверенности 2: Некоторая уверенность в достоверности заявленной личности.
Уровень уверенности 3: Высокая уверенность в достоверности заявленной личности.
Уровень уверенности 4: Очень высокая уверенность в достоверности заявленной личности.

Определение уровней уверенности

OMB предлагает пятиэтапный процесс для определения соответствующего уровня доверия для своих приложений:

• Проведите оценку рисков, которая определит возможные негативные последствия.
• Сравните пять уровней гарантии и решите, какой из них подходит для данного случая.
• Выберите технологию в соответствии с техническим руководством NIST.
• Подтвердите, что выбранный процесс аутентификации соответствует требованиям.
• Регулярно проводите переоценку системы и корректируйте ее с помощью изменений. ^[18]

Требуемый уровень обеспечения аутентификации оценивается с помощью следующих факторов:

• Неудобства, страдания или ущерб репутации или репутации;
• Финансовые потери или агентская ответственность;
• Нанесение ущерба агентским программам или общественным интересам;
• Несанкционированная разглашение конфиденциальной информации;
• Личная безопасность; и/или гражданские или уголовные нарушения. ^[18]

Определение технических требований

Руководство Национального института стандартов и технологий (NIST) определяет технические требования для каждого из четырех уровней гарантии в следующих областях: ^[19]

• Токены используются для подтверждения личности. Пароли и симметричные криптографические ключи — это частная информация, которую проверяющий должен защищать. Асимметричные криптографические ключи имеют закрытый ключ (который знает только подписчик) и связанный с ним открытый ключ.
• Проверка личности, регистрация и доставка учетных данных, которые привязывают личность к токену. Этот процесс может включать в себя работу на большом расстоянии.
• Учетные данные, токены и протоколы аутентификации также можно комбинировать, чтобы определить, что заявитель на самом деле является заявленным подписчиком.
• Механизм подтверждения, который включает либо цифровую подпись заявителя, либо получен непосредственно доверенной третьей стороной через безопасный протокол аутентификации.

Руководства и правила

Благодаря развитию новых облачных решений и онлайн-транзакций, идентификационные данные между людьми и машинами играют важную роль в идентификации людей и доступе к информации. По данным Административно-бюджетного управления США, в 2013 и 2014 годах на решения для управления идентификацией было потрачено более 70 миллионов долларов. ^[20]

Правительства используют системы электронной аутентификации, чтобы предлагать услуги и сокращать время, затрачиваемое людьми на поездки в государственные учреждения. Услуги, начиная от подачи заявления на получение визы и заканчивая продлением водительских прав, могут быть оказаны более эффективным и гибким способом. Инфраструктура для поддержки электронной аутентификации рассматривается как важный компонент успешного электронного правительства. ^[21] Плохая координация и плохой технический дизайн могут стать основными препятствиями для электронной аутентификации. ^[22]

В ряде стран были созданы общенациональные общие схемы электронной аутентификации, облегчающие повторное использование цифровых идентификационных данных в различных электронных услугах. ^[23] Другие политические инициативы включали создание рамок электронной аутентификации с целью установления общих уровней доверия и, возможно, совместимости между различными схемами аутентификации. ^[24]

Соединенные Штаты

Электронная аутентификация является центральным элементом усилий правительства США по расширению электронного правительства, или электронного правительства , как способа сделать правительство более эффективным, действенным и более доступным. Служба электронной аутентификации позволяет пользователям получать доступ к государственным услугам в Интернете, используя идентификаторы входа (учетные данные) с других веб-сайтов, которым доверяют как пользователь, так и правительство.

Электронная аутентификация — это общеправительственное партнерство, поддерживаемое агентствами, входящими в состав Федерального совета ИТ-директоров. Управление общих служб США (GSA) является ведущим агентством-партнером. Электронная аутентификация работает через связь с доверенным эмитентом учетных данных, поэтому пользователю необходимо войти на сайт эмитента, чтобы получить учетные данные аутентификации. Эти учетные данные или идентификатор электронной аутентификации затем передаются на поддерживающий правительственный веб-сайт, вызывающий аутентификацию. Система была создана в ответ на меморандум от 16 декабря 2003 года, выпущенный Управлением управления и бюджета. Меморандум М04-04 Уайтхауса. ^[18] Этот меморандум обновляет руководство, изданное в Законе об устранении бумажной работы 1998 года, 44 USC § 3504, и реализует раздел 203 Закона об электронном правительстве, 44 USC ch. 36.

NIST предоставляет рекомендации по стандартам цифровой аутентификации и отказывается от большинства методов аутентификации, основанных на знаниях. Был разработан более строгий стандарт для более сложных паролей длиной не менее 8 символов или парольных фраз длиной не менее 64 символов. ^[25]

Европа

В Европе eIDAS предоставляет рекомендации по использованию электронной аутентификации в отношении электронных подписей и услуг сертификации для аутентификации веб-сайтов. После подтверждения государством-членом, выдавшим подпись, другие государства-участники должны признать электронную подпись пользователя действительной для трансграничных транзакций.

В соответствии с eIDAS электронная идентификация относится к материальной/нематериальной единице, которая содержит персональные идентификационные данные, которые будут использоваться для аутентификации в онлайн-сервисе. Аутентификация – это электронный процесс, который позволяет электронно идентифицировать физическое или юридическое лицо. Служба доверия — это электронная служба, которая используется для создания, проверки и проверки электронных подписей, а также для создания, проверки и проверки сертификатов для аутентификации веб-сайта.

Статья 8 eIDAS позволяет механизму аутентификации, который используется физическим или юридическим лицом, использовать методы электронной идентификации для подтверждения своей личности проверяющей стороне. Приложение IV содержит требования к квалифицированным сертификатам для аутентификации веб-сайтов. ^{[26] [27]}

Россия

Электронная аутентификация является центральным элементом усилий правительства России по расширению электронного правительства как способа сделать правительство более эффективным и действенным, а также сделать его более доступным для российского народа. Служба электронной аутентификации ^[28] позволяет пользователям получать доступ к государственным услугам в Интернете, используя идентификаторы входа (удостоверительные данные), которые у них уже есть на веб-сайтах, которым они и правительство доверяют.

Другие приложения

Помимо государственных услуг, электронная аутентификация также широко используется в других технологиях и отраслях. Эти новые приложения сочетают в себе функции авторизации личных данных в традиционной базе данных и новые технологии, обеспечивая более безопасное и разнообразное использование электронной аутентификации. Некоторые примеры описаны ниже.

Мобильная аутентификация

Мобильная аутентификация — это проверка личности пользователя посредством использования мобильного устройства. Его можно рассматривать как независимое поле или применять с другими схемами многофакторной аутентификации в области электронной аутентификации. ^[29]

Для мобильной аутентификации существует пять уровней чувствительности приложения: от уровня 0 до уровня 4. Уровень 0 предназначен для публичного использования через мобильное устройство и не требует аутентификации личности, а уровень 4 имеет наибольшее количество процедур для идентификации пользователей. ^[30] На любом уровне мобильную аутентификацию относительно легко осуществить. Во-первых, пользователи отправляют одноразовый пароль (OTP) по офлайн-каналам. Затем сервер идентифицирует информацию и вносит коррективы в базу данных. Поскольку только пользователь имеет доступ к PIN-коду и может отправлять информацию через свои мобильные устройства, риск атак низок. ^[31]

Аутентификация электронной коммерции

В начале 1980-х годов были внедрены системы электронного обмена данными (EDI), которые считались одним из первых представителей электронной коммерции. Но обеспечение его безопасности не является серьезной проблемой, поскольку все системы построены на основе закрытых сетей. Однако в последнее время транзакции между бизнесом и потребителем изменились. Стороны, осуществляющие удаленные транзакции, вынудили внедрить системы аутентификации электронной коммерции. ^[32]

Вообще говоря, подходы, используемые при аутентификации электронной коммерции, в основном такие же, как и при электронной аутентификации. Разница в том, что аутентификация электронной коммерции — это более узкая область, которая фокусируется на транзакциях между клиентами и поставщиками. Простой пример аутентификации электронной коммерции включает в себя взаимодействие клиента с сервером продавца через Интернет. Торговый сервер обычно использует веб-сервер для приема запросов клиентов, систему управления базами данных для управления данными и платежный шлюз для предоставления услуг онлайн-платежей . ^[33]

Самостоятельная идентичность

Благодаря суверенной идентичности (SSI) отдельные владельцы удостоверений полностью создают и контролируют свои учетные данные. Принимая во внимание, что верификаторы могут аутентифицировать предоставленные идентификационные данные в децентрализованной сети.

Перспективы

Чтобы идти в ногу с развитием услуг в цифровом мире, сохраняется потребность в механизмах безопасности. Хотя пароли будут по-прежнему использоваться, важно полагаться на механизмы аутентификации, особенно многофакторную аутентификацию. Поскольку использование электронных подписей продолжает значительно расширяться в Соединенных Штатах, ЕС и во всем мире, ожидается, что в такие правила, как eIDAS , в конечном итоге будут внесены поправки, отражающие меняющиеся условия наряду с правилами в Соединенных Штатах. ^[34]

Рекомендации

1. Офис главного информационного директора правительства. «Что такое электронная аутентификация?». Правительство Специального административного района Гонконг Китайской Народной Республики . Архивировано из оригинала 22 декабря 2015 года . Проверено 1 ноября 2015 г.
2. Бальбас, Луис. «Цифровая аутентификация - факторы, механизмы и схемы». Криптоматика . Проверено 9 января 2017 г.
3. МакМахон, Мэри. «Что такое электронная аутентификация?». мудрыйГИК . Проверено 2 ноября 2015 г.
4. Тернер, Дон М. «Цифровая аутентификация — основы». Криптоматика . Проверено 9 января 2017 г.
5. Берр, МЫ; Додсон, Д.Ф.; Ньютон, Э.М.; Перлнер, РА; Полк, WT; Гупта, С.; Наббус, Э.А. (2011). «Руководство по электронной аутентификации». дои : 10.6028/NIST.SP.800-63-1 . {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
6. "Специальная публикация NIST 800-63A" . Pages.nist.gov . Проверено 19 сентября 2023 г.
7. Шнайер, Брюс. «Отказ двухфакторной аутентификации». Шнайер по безопасности . Проверено 2 ноября 2015 г.
8. Канцелярия главного информационного директора правительства. «Аутентификация на основе паролей и PIN-кодов». Правительство Специального административного района Гонконг Китайской Народной Республики . Архивировано из оригинала 31 мая 2015 года . Проверено 2 ноября 2015 г.
9. Канцелярия главного информационного директора правительства. «Аутентификация с открытым ключом». Правительство Специального административного района Гонконг Китайской Народной Республики . Архивировано из оригинала 31 мая 2015 года . Проверено 3 ноября 2015 г.
10. Канцелярия главного информационного директора правительства. «Аутентификация с симметричным ключом». Правительство Специального административного района Гонконг Китайской Народной Республики . Архивировано из оригинала 9 июля 2015 года . Проверено 3 ноября 2015 г.
11. Канцелярия главного информационного директора правительства. «Аутентификация по SMS». Правительство Специального административного района Гонконг Китайской Народной Республики . Архивировано из оригинала 27 августа 2015 года . Проверено 3 ноября 2015 г.
12. Канцелярия главного информационного директора правительства. «Биометрическая аутентификация». Правительство Специального административного района Гонконг Китайской Народной Республики . Архивировано из оригинала 8 января 2015 года . Проверено 3 ноября 2015 г.
13. Андриамиланто, Нампоина; Аллард, Тристан (2021). «BrFAST: инструмент для выбора атрибутов отпечатков пальцев браузера для веб-аутентификации в соответствии с компромиссом между удобством использования и безопасностью» (PDF) . Сопутствующие материалы веб-конференции 2021 . стр. 701–704. дои : 10.1145/3442442.3458610. ISBN 978-1-4503-8313-4. S2CID  233296722.
14. Берр, МЫ; Додсон, Д.Ф.; Полк, WT (2006). «Руководство по электронной аутентификации». дои : 10.6028/NIST.SP.800-63v1.0.2 . {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
15. Тернер, Дон М. «Понимание неотказуемости происхождения и неотказуемости выбросов». Криптоматика . Проверено 9 января 2017 г.
16. «Оценка риска электронной аутентификации для электронных рецептов на контролируемые вещества» (PDF) . Проверено 3 ноября 2015 г.
17. Радак, Ширли. «ЭЛЕКТРОННАЯ АУТЕНТИФИКАЦИЯ: РУКОВОДСТВО ПО ВЫБОРУ БЕЗОПАСНЫХ МЕТОДОВ». Архивировано из оригинала 15 сентября 2015 года . Проверено 3 ноября 2015 г.
18. Болтен, Джошуа. «Меморандум: Руководство по электронной аутентификации для федеральных агентств» (PDF) . Административный аппарат президента, Управление управления и бюджета (OMB) . Проверено 9 января 2017 г.
19. Радак, Ширли. «ЭЛЕКТРОННАЯ АУТЕНТИФИКАЦИЯ: РУКОВОДСТВО ПО ВЫБОРУ БЕЗОПАСНЫХ МЕТОДОВ». Национальный институт стандартов и технологий. Архивировано из оригинала 15 сентября 2015 года . Проверено 3 ноября 2015 г.
20. Маккарти, Шон. «Электронная аутентификация: на чем ИТ-менеджеры будут концентрироваться в течение следующих 18 месяцев». ГЦН . Проверено 2 ноября 2015 г.
21. «Все государственные информационные и коммуникационные технологии».
22. Преодоление барьеров на пути к электронному правительству (Проект результата 1b), подразделение электронного правительства, Европейская комиссия, август 2006 г. См. таблицу 1.
23. Обзор международных инициатив в области электронной аутентификации. Архивировано 22 июля 2011 г. на Wayback Machine , Japan PKI Forum, 2 июня 2005 г.
24. Австралия. Архивировано 12 февраля 2012 г. в Wayback Machine , Канада. Архивировано 5 марта 2008 г. в Wayback Machine , США (M04-04).
25. «Проект специальной публикации NIST 800-63-3: Рекомендации по цифровой аутентификации» . Национальный институт стандартов и технологий, США . Проверено 9 января 2017 г.
26. Тернер, Дон. «Понимание eIDAS». Криптоматика . Проверено 12 апреля 2016 г.
27. «Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. об электронной идентификации и трастовых услугах для электронных транзакций на внутреннем рынке и об отмене Директивы 1999/93/EC». ЭУР-Лекс . Европейский Парламент и Совет Европейского Союза . Проверено 18 марта 2016 г.
28. "Постановление работы РФ от 28 ноября 2011 г. N 977 "О федеральной государственной информационной системы "Единая система идентификации и аутентификации в инфраструктуре, обеспечения информационно-технологического взаимодействия информационных систем, обеспечения для предоставления государственных и муниципальных услуг в электронной форме"".
29. Маргарет, Роуз. «определение мобильной аутентификации». SearchSecurity.com . Проверено 3 ноября 2015 г.
30. Правительство Индии, Департамент электроники и информационных технологий, Министерство связи и информационных технологий. «e-Pramaan: Структура электронной аутентификации» (PDF) . Проверено 3 ноября 2015 г.
31. Толентино, Джейми (16 марта 2015 г.). «Как повысить безопасность приложений с помощью аутентификации на мобильном телефоне». Новости ТНВ . Проверено 3 ноября 2015 г.
32. Форд, Мэтью (23 февраля 2005 г.). «Аутентификация личности и электронная коммерция». Уорвик, Журнал информационного права и технологий . Проверено 3 ноября 2015 г.
33. Савма, Виктор. «Новая методология разработки моделей проектирования эффективных мер противодействия». Школа информационных технологий и инженерии, Университет Оттавы. CiteSeerX 10.1.1.100.1216 .  {{cite journal}}: Требуется цитировать журнал |journal=( помощь )
34. Уокер, Хизер. «Как eIDAS влияет на США». Криптоматика . Проверено 9 января 2017 г.

Внешние ссылки

• Веб-сайт электронной аутентификации правительства США
• Памятка о директиве по электронной аутентификации от randum M04-04
• DigiD – общий цифровой идентификатор, внедренный налоговой администрацией Нидерландов и GBO.Overheid (Gemeenschappelijke Beheerorganisatie).
• Cartão do Cidadao – португальский документ, который позволяет его владельцу безопасно идентифицировать себя как в физическом, так и в цифровом мире.
• Анимация электронной аутентификации – распространенные методы аутентификации (сценарий)
• Электронная аутентификация: руководство по выбору безопасных методов
• Насио Кто ты? Я действительно хочу знать: электронная аутентификация и ее последствия для конфиденциальности
• Руководство по электронной аутентификации (специальная публикация 800-63-2), август 2013 г.
• Национальная стратегия доверенных идентификационных данных в киберпространстве (NSTIC)