Zabezpečení založené na identitě (Identity-based security) je bezpečnostní model, který určuje, zda bude uživateli přiděleno oprávnění přístupu ke zdroji na základě identity uživatele. V rámci tohoto modelu je oprávnění přístupu přiděleno ke konkrétnímu identifikátoru subjektu (např. uživatelské jméno). Přístup ke zdroji je subjektu udělen pouze v případě, že takové propojení existuje.[1]
Modely založené na identitě potřebují určité informace o totožnosti uživatelů, kteří žádají o přístup. Například poskytovatel informací potřebuje ověření totožnosti u žadatele. K tomu slouží SAMPL (Security Assertion Markup Language), který splňuje kritéria potřebná k předávání informací o identitě.[2]
Identita existovala dlouho před počítači a online správou. Lidé dostávali jména, a právě jméno osoby představovalo její identitu. V digitálním světe se identita od té, kterou známe z běžného života tolik neliší. Stále máme jedinečné identifikátory, abychom mohli rozeznávat jednotlivé uživatele.[3]
První digitální identity vytvořil Fernando Corbató, který v 60. letech 19. století zavedl používání hesel k uchování soukromí u jednotlivých souborů. Zavedení hesla souviselo s operačním systémem pro počítače zvaným Compatible Time-Sharing System (CTSS), který vyvinul Corbató. Operační systém CTTS umožňoval rozdělit výpočetní výkon počítače, aby mohl sloužit více uživatelům najednou.[4]
Model zabezpečení založený na identitě využívá k identifikaci více technik k ověřování včetně toho[5]:
Pokud je při ověřování vyžadováno více kroků, jedná se buď o dvoufázové ověření (2FA) nebo vícefázové ověření (MFA). To znamená, že k přístupu je potřeba například kombinace toho, co uživatel ví (heslo) a co je součástí uživatele (otisk prstu).[5]
Všechny tyto techniky jsou spolehlivé při udělování oprávnění přístupu, ale ani jedna neřeší skryté hrozby. Největší zranitelnost tohoto modelu je v tom, že uživatel, kterému jsou přidělena oprávnění přístupu na základě jeho důvěryhodnosti nemusí být důvěryhodný navždy.[5]
Jedním z příkladů, jak model zabezpečení založený na identitě funguje je využívání seznamu pro řízení přístupu (Access Control List), který se běžně vyskytuje v operačních systémech a síťových bezpečnostních službách. Koncept seznamu řízení přístupu je velmi jednoduchý. Jedná se o tabulku, která určuje, jaká přístupová práva má uživatel ke konkrétnímu zdroji, označovanému jako objekt, například k jednotlivým souborům. Každý objekt v systému, ke kterému je kontrolován přístup má svůj vlastní seznam řízení přístupu, který zahrnuje položku pro každého uživatele systému s přístupovými oprávněními. Nejčastějšími oprávněními jsou čtení a zápis.[1]