新闻快讯
< >

美国NIST最新《数字身份指南》:废除“定期修改密码” 等过时要求

E安全6月24日讯 美国国家标准与技术研究所(NIST)的联邦科学家宣布已经完成了《数字身份指南》新版草案《NIST特别出版物800-63》(NIST Special Publication 800-63,SP 800-63-3),其中淘汰了“定期修改密码”等过时的要求,引入生物特征、Keystick(用游戏手柄或操纵杆替代键盘和鼠标控制电脑)或其它双因素认证元素。

美国NIST最新《数字身份指南》:废除“定期修改密码” 等过时要求-E安全

NIST高级标准与技术顾问保罗·格拉西在博文中表示,《NIST特别出版物800-63》是指南的第三次修订版,经过超过一年的公众意见征询程序最终得以完成。

他表示,过去一年,超过7.4万名唯一访客在NIST网站查看了该修订版草案,并提交了超过1.4万条意见。如果利益相关者不参与其中安全问题便无法全面囊括。这是NIST首次使用开源代码共享和开发网站GitHub公开征询意见。格拉西表示,使用GitHub取得了巨大成功。

格拉西指出,自2013年发布上一版指南以来,联邦机构和私有部门市场的数字身份发生了巨大变化。因此,指南去除了“保证等级”(LOA)的概念(身份验证和登录验证程序的安全衡量标准)。相反,新数字身份程序分为三个阶段,每个阶段的等级取决于需要实现的安全程度:

  • 身份保证等级(IAL):身份证明程序,以及将验证器与(一名或多名)和特定用户数据进行绑定。

  • 验证器保证等级(AAL):衡量认证过程的安全,即用户如何向系统证明身份。

  • 联邦保证等级(FAL):联邦环境中使用的认定安全等级,其中,几个系统依赖一个身份验证程序。

格拉西指出,根据以上三个阶段,SP 800-63分为四部分,未来还会新增(但取决于数字身份变化):

  • SP 800-63-3 《数字身份指南》,主指南,包含符合行政管理和预算办公室(OMB)指南的风险管理规定。

  • SP 800-63A《注册与身份证明》

  • SP 800-63B 《验证与生命周期管理》

  • SP 800-63C《联合与断言》(注:联合是指允许在联网系统传输验证和用户归属信息的过程;断言是指身份提供商向相关各方提供的用户信息相关陈述。)

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。