這國家標準研究所將四個文件發布給Girub根據一份報告FCW。
NIST正在更新其身份驗證策略,以更好地支持當前的管理和預算指導辦公室,以幫助機構為其需求選擇最有效的數字身份驗證技術。
新策略包括將身份保證的各個組成部分分解為不同的個體要素。
NIST的新方法將使個人能夠通過身份保證來建立自己的身份,從而通過身份驗證器保證(例如帶有嵌入式芯片的加密身份證)來驗證其證書以訪問系統。
這些文件還提到密碼可能完全是數字的,因為NIST的專家承認,在密碼中使用角色類型的組合“並不像最初想像的那樣重要,儘管對可用性和記憶力的影響很嚴重。”
另外,該組織建議將用戶選擇的密碼與不可接受的密碼列表進行比較,該密碼包括過去違規,字典單詞和用戶可能會選擇的明顯單詞中的那些密碼(例如服務的名稱)。
該指南還指出,將不再為用戶提供第三方可以訪問的密碼“提示”。因此,基於特定類型的信息(例如您的第一個寵物或母親的娘家名)的密碼將不再有效。
NIST還指出,應在用戶的設備或中央驗證器上本地進行身份驗證匹配的生物識別技術,但必須將生物識別技術與已取消的第二個身份驗證因子結合使用。
NIST表示,這些應用中使用的生物識別系統應具有測試的同等錯誤率為1,000或更高的1,000分之一,其虛假匹配率為1,000或更高。
國立標準技術研究所先前報導發表了分析邀請評論的網絡安全框架。
