1月30日,美國國家標準與技術研究所(NIST)發布了新的數字身份指南的公開草案。新指南被稱為"過去修訂版的重大更新",反映了自2013年8月電子認證指南發布以來,不斷發展的業界創新和更多新的威脅。
修訂指南的動機之一是2014年10月奧巴馬總統發布的行政命令,要求"......在適當情況下,所有通過數字應用向公民提供個人數據訪問的機構都需要使用多重認證和有效的身份證明程序。"
該指南描述了可接受的多重認證(MFA)的用法,包括你知道的東西(例如密碼)、你擁有的東西(例如加密密鑰)和/或你是什么(生物識別數據)的組合。此外,當使用生物識別數據作為一個認證因素時,它必須與你擁有的東西一起使用。
在對以前的NIST指南征求反饋時,Mnemonic安全公司總裁Hitoshi Kokumai提供了關于安全使用生物識別的建議。新的要求不允許回退到密碼,他對此表示理解。
Hitoshi Kokumai:"對生物識別產品的用戶,如果他們具有安全意識,則建議在提供密碼登錄作為后備手段時關閉生物識別。只使用密碼的認證是安全的。在一些情況下,他們愿意用‘低于只使用密碼’的安全性來換取更好的便利性,那么他們可以在激活后備密碼的同時繼續使用生物識別。"
該指南的公眾評論期截止于2017年3月31日。NIST正在使用GitHub repo進行編輯協作和公眾評論。該指南的全文和評論說明可在https://pages.nist.gov/800-63-3/上查到。
查看英文原文: NIST Guidelines Require Second Auth Factor When Using Biometrics
京公網安備 11010502049343號