美國國家標準與技術研究所(NIST)的聯邦科學家宣布已經完成了《數字身份指南》新版草案,《NIST特別出版物800-63》(NIST Special Publication 800-63,SP 800-63-3),其中淘汰了“定期修改密碼”等過時的要求,引入生物特征、Keystick(用游戲手柄或操縱桿替代鍵盤和鼠標控制電腦)或其它雙因素認證元素。
NIST高級標準與技術顧問保羅·格拉西在博文中表示,《NIST特別出版物800-63》是指南的第三次修訂版,經過超過一年的公眾意見征詢程序最終得以完成。
他表示,過去一年,超過7.4萬名唯一訪客在NIST網站查看了該修訂版草案,并提交了超過1.4萬條意見。如果利益相關者不參與其中安全問題便無法全面囊括。這是NIST首次使用開源代碼共享和開發網站GitHub公開征詢意見。格拉西表示,使用GitHub取得了巨大成功。
格拉西指出,自2013年發布上一版指南以來,聯邦機構和私有部門市場的數字身份發生了巨大變化。因此,指南去除了“保證等級”(LOA)的概念(身份驗證和登錄驗證程序的安全衡量標準)。相反,新數字身份程序分為三個階段,每個階段的等級取決于需要實現的安全程度:
身份保證等級(IAL):身份證明程序,以及將驗證器與(一名或多名)和特定用戶數據進行綁定。
驗證器保證等級(AAL):衡量認證過程的安全,即用戶如何向系統證明身份。
聯邦保證等級(FAL):聯邦環境中使用的認定安全等級,其中,幾個系統依賴一個身份驗證程序。
格拉西指出,根據以上三個階段,SP 800-63分為四部分,未來還會新增(但取決于數字身份變化):
SP 800-63-3 《數字身份指南》,主指南,包含符合行政管理和預算辦公室(OMB)指南的風險管理規定。
SP 800-63A《注冊與身份證明》
SP 800-63B 《驗證與生命周期管理》
SP 800-63C《聯合與斷言》(注:聯合是指允許在聯網系統傳輸驗證和用戶歸屬信息的過程;斷言是指身份提供商向相關各方提供的用戶信息相關陳述。)
京公網安備 11010502049343號