美國內政部(DOI)發表了新的報告表明其管理實踐和密碼複雜性要求不足以防止潛在的未經授權訪問系統和數據。
文檔中寫道:“在當前的網絡威脅環境中,必須使用強大的身份驗證方法和強大的帳戶和密碼管理實踐來幫助保護計算機系統免受未經授權的訪問。”
“對密碼的過度依賴以限制系統訪問授權人員的訪問會帶來災難性的後果。”
DOI研究還強調了多因素身份驗證(MFA),尤其是那些使用生物識別技術作為第二個因素的人。
DOI警告說:“但是,該部門沒有完全實施已有15年以上的MFA要求。”
“此外,當我們要求部門在整個機構中提供MFA的詳細狀態時,它告訴我們,信息不存在。這種未能優先考慮基本安全控制,導致繼續使用單因素身份驗證。”
此外,該報告得出的結論是,部門的管理實踐和密碼複雜性要求不足以防止潛在的未經授權的訪問。
“我們為整個部門的所有活動帳戶的21%破解了密碼,因為其複雜性要求允許用戶製作弱密碼。”
DOI報告提出了八項建議,以提高部門內部的密碼安全性。
其中包括使用由部門批准的MFA方法,修訂密碼複雜性和帳戶管理策略,以及實施控制,以監視,限製或阻止常用或折衷的密碼nist指南。
代理商擴大了意識生物識別技術的使用
根據其在政府層面提高安全級別的計劃,美國聯邦政府機構已徵募或擴大了他們對意識到的的生物識別技術。
根據公司的宣布,Aware的解決方案現在正在美國聯邦政府的所有三個部門(立法,行政和司法)中使用,行政部門的15個執行部門中有12個使用。
“單獨使用或與其他形式的身份驗證結合使用,生物識別技術比其他方法提供了更高的安全性和確定性,” Aware首席收入官克雷格·赫爾曼(Craig Herman)解釋說。
新部署包括使用意識解決方案的執行部門來驗證用戶的身份,要求在其智能卡上使用新的PIN,用於訪問物理和數字系統,以及部署Away的基於Web的生物特徵識別註冊和數據管理技術,以在全國范圍的背景檢查中使用。
赫爾曼補充說:“鑑於其工作的關鍵任務和高度敏感的性質,聯邦機構要求身份驗證技術的黃金標準。”
“我們在整個Aware的歷史上經歷了重要的聯邦市場牽引力,並在2022年繼續持續,這些機構在我們中置於我們的現代系統中的信任。”
意識到的最近收到的SOC(系統和組織控制)2 I型基於雲的自適應身份驗證平台的合規性。
超出身份已獲得FIDO2認證
與此同時,另一家公司已獲得認證以提高身份驗證安全性。現在,在美國政府正式推薦的幾個月後,超出身份已獲得FIDO2認證無密碼標準。
“我們很高興獲得FIDO2認證,因為消除密碼可以從帳戶接管中消除最大的勒索軟件攻擊和欺詐來源,但這只是完成安全性的第一步。”超越身份CTO Jasson Casey。
“利用FIDO在我們的平台中的力量使我們能夠普遍使用Passkey,從而簡化了為Cisos及其團隊的抗網絡釣魚的MFA的部署。”
超越身份也有最近僱用皮亞·麥克沙裡(Pia McSharry)擔任全球銷售工程副總裁和蘇珊·古爾曼(Susanne Gurman)擔任收入營銷副總裁,以將其解決方案帶入新市場。
