หน่วยงานของรัฐบาลกลางช้าที่จะนำการรับรองความถูกต้องสองปัจจัยรายงานประจำปีของทำเนียบขาวกล่าวไว้

พนักงานส่วนใหญ่ของรัฐบาลกลางสามารถเข้าถึงระบบคอมพิวเตอร์ของรัฐบาลกลางโดยไม่มีอะไรมากไปกว่าชื่อผู้ใช้และรหัสผ่านแม้ประธานาธิบดีจอร์จดับเบิลยู. บุชสั่งให้หน่วยงานรัฐบาลกลางเพื่อรักษาความปลอดภัยระบบข้อมูลของพวกเขาด้วยเทคโนโลยีการตรวจสอบความถูกต้องที่แข็งแกร่งกว่าทศวรรษที่ผ่านมาตามรายงานโดยรายงานโดยรายงานGovTech Works-

เพียงครึ่งหนึ่งของหน่วยงานรัฐบาลกลางที่ใหญ่ที่สุด - รวมถึงการบริหารบริการทั่วไป (GSA), แผนกแรงงานและคลัง, การบริหารธุรกิจขนาดเล็ก (SBA), มูลนิธิวิทยาศาสตร์แห่งชาติ (NSF) และคณะกรรมการกำกับดูแลนิวเคลียร์ (NRC) ได้นำวิธีการตรวจสอบข้อมูลการตรวจสอบความถูกต้องของรัฐบาล

ประธานาธิบดีจอร์จดับเบิลยู. บุชได้ลงนามในคำสั่งประธานาธิบดีแห่งมาตุภูมิความมั่นคงที่ 12 ในปี 2547 ซึ่งได้รับมอบหมายมาตรฐานระดับชาติสำหรับบัตรประจำตัวของรัฐบาลที่ปลอดภัย

ในปี 2549 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ตีพิมพ์มาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง 201,“ การตรวจสอบตัวตนส่วนบุคคลของพนักงานและผู้รับเหมาของรัฐบาลกลาง” และได้แก้ไขมาตรฐานในสองโอกาสแยกกัน

ขณะนี้มีบัตรการตรวจสอบเอกลักษณ์ส่วนบุคคล (PIV) ของรัฐบาลมากกว่า 5.3 ล้านคนในการหมุนเวียนในขณะที่กระทรวงกลาโหมเสนอโปรแกรมสมาร์ทการ์ดที่คล้ายกันที่เรียกว่า Common Access Cards (CAC)

การ์ดทั้งสองถูกรวมเข้ากับชิปคอมพิวเตอร์ซึ่งเก็บข้อมูลที่ระบุข้อมูลที่เข้ารหัสอย่างสมบูรณ์

เพนตากอนได้บรรลุการปฏิบัติตาม CAC สากลแล้ว ในขณะเดียวกันหน่วยงานของรัฐบาลกลางส่วนใหญ่ใช้การ์ด PIV เป็นรหัส ID และการ์ดสำหรับการสร้างการเข้าถึง แต่ยังไม่ได้เป็นอุปกรณ์ควบคุมเครือข่าย

Hildegard Ferraiolo โปรแกรม PIV และนักวิทยาศาสตร์คอมพิวเตอร์ที่ NIST กล่าวว่าในขณะที่เธอรู้สึกผิดหวังที่เอเจนซี่ไม่ได้ใช้การ์ดเป็นอุปกรณ์ควบคุมเครือข่ายสำนักงานการละเมิดความปลอดภัยอย่างมากของสำนักงานการจัดการบุคลากรในฤดูใบไม้ผลิที่ผ่านมา

“ เนื่องจากการโจมตีและการคุกคามของไซเบอร์เมื่อเร็ว ๆ นี้มีการผลักดันให้หน่วยงานและหน่วยงานใช้บัตร PIV เพื่อทำการตรวจสอบผู้ใช้” Ferraiolo กล่าว

OPM มีจุดมุ่งหมายเพื่อรักษาความปลอดภัยของระบบผ่านการตรวจสอบความถูกต้องแบบสองปัจจัยโดยมีเป้าหมายเพื่อให้แน่ใจว่าผู้ใช้ที่เปิดใช้งาน PIV 100 เปอร์เซ็นต์ใช้การตรวจสอบความถูกต้องแบบหลายปัจจัยภายในสิ้นปี 2560

เจ้าหน้าที่เอเจนซี่กำลังมองหาโซลูชั่นการตรวจสอบความถูกต้องสองขั้นตอนอื่น ๆ สำหรับผู้ใช้นอกเวลาและผู้รับเหมาช่วง

มีเหตุผลหลักสามประการที่ทำให้หน่วยงานรัฐบาลกลางช้าในการใช้ระบบการตรวจสอบความถูกต้องสองปัจจัยรวมถึงความจำเป็นในการอัปเดตโครงสร้างพื้นฐานที่ล้าสมัยการใช้อุปกรณ์มือถือและการหมุนเวียนงานที่สูงและพนักงานนอกเวลาส่งผลให้พนักงานจำนวนมากไม่มีสิทธิ์ได้รับบัตร PIV

การเพิ่มอัตราการรับเลี้ยงบุตรบุญธรรมอาจเป็นเรื่องของการปลูกฝังในผู้จัดการที่ไม่ได้อยู่ในความสำคัญของการตรวจสอบความถูกต้องสองปัจจัยเพื่อปรับปรุงความปลอดภัยตามรายงานประจำปีของทำเนียบขาวต่อสภาคองเกรสเรื่อง FISMA

รายงานก่อนหน้านี้เจ้าหน้าที่กระทรวงความมั่นคงแห่งมาตุภูมิกล่าวว่าบุคลากรของรัฐบาลกลางจะต้องใช้วิธีการตรวจสอบความถูกต้องสามปัจจัยซึ่งรวมถึงSmartCard รหัสผ่านและลายนิ้วมือของพวกเขาก่อนเข้าสู่ระบบคอมพิวเตอร์