行業財團FIDO聯盟已經發表了有關響應其擬議的數字ID指南的國家標準技術研究所(NIST)提交的數字身份身份驗證的評論。
在博客文章,該聯盟要求與抗網絡釣魚的身份驗證工具有關,例如生物識別技術或基於物理令牌的解決方案,符合其規格,以響應NIST對其下一版本的數字身份指南的評論請求SP 800-63-4。
NIST在6月發出了有關其反饋的電話擬議的新準則對於數字身份,希望收到有關用戶認證的生物識別率和行為生物識別技術的輸入。
這些建議分為三個不同的要點,探索了特定的網絡釣魚工具,並鼓勵NIST與FIDO聯盟之間建立更強的伙伴關係。
三分
SP 800-63-4的第一個建議與抗網絡釣魚的工具與沒有的工具之間的差異有關。
“今天,基於共享秘密的各種身份驗證者,包括查找秘密,帶外設備(即,推送)和OTP應用程序和代幣 - 在AAL2中的重量與基於非對稱公共密鑰密碼學的身份驗證器相同,例如Fido,例如Fido,例如Fido,”博客文章。 AAL代表身份驗證者的保證水平。
但是,根據聯盟的說法,鑑於攻擊者如何趕上第一組技術,將這兩種類型的身份驗證者組合在一個名稱下是不再有意義的。
“這樣做誤導了實施者,以為這兩類身份驗證者的力量或彈性等效。”
為了解決這個問題,聯盟提供了幾個想法對於如何調整AAL,以提供兩種類別之間的更多差異化。
Fido建議的第二點和第三點建議NIST更加穩定地與Fido Alliance互動,以探索其他替代方案,以使Fido認證者能夠滿足AAL3要求。
博客文章還鼓勵NIST向FIDO提供更直接的引用,因為根據聯盟,SP 800-63B對身份驗證器類型的要求描述將不一致地指向支持該類型的標準。
不斷擴大的伙伴關係:Crayonic加入FIDO聯盟
FIDO聯盟目前已經發布了三套針對更強大的身份驗證措施的規格:FIDO通用第二個因素(FIDO U2F),FIDO通用身份驗證框架(FIDO UAF)和FIDO2。
這些標準是由越來越多的生物識別技術和身份驗證公司使用的,例如,本月早些時候loginid與ipsidy合作集成FIDO2身份驗證以對抗數字欺詐。
最近,Crayonic Partners行為生物識別解決方案的提供者加入了聯盟。
該合作夥伴關係將使Crayone成為FIDO的同學,從而增強了聯盟在零信任安全和分散身份領域的能力。
FIDO聯盟也有出版軟件開發人員Runsystem總經理Kazuhide Kurosawa的日本語言採訪,該系統已為Internet Cafe和Coworkoring Space客戶實施了Fido認證的生物識別驗證。
Fido Alliance將舉辦一個名為“利用數字身份和無密碼訪問來擴展業務'這個9月16日(星期三)10:00 Cest。該網絡研討會將以Adnovum的代表和其他專家的代表為特色,討論如何將設計精良的身份和訪問管理設置到位。
