Fido Alliance已在国家标准与技术研究院(NIST)的草案更新框架中提出了强大的身份验证要求,以改善关键基础设施网络安全指南。
Nist说,该框架最初于2014年2月发布,由于与身份验证相关的问题在2013 - 2014年间不包括多因素身份验证(MFA)的建议。
这些挑战包括缺乏促进安全性和互操作性的标准以及可用解决方案的可用性问题。
FIDO联盟已经审查并评论了NIST的建议更新(PDF),它在Fido Alliance网站上提交。
联盟建议NIST阐明其语言,并在下一个框架更新中明确要求MFA。
在意见编辑文章该联盟由Fido Alliance执行董事Brett McDowell撰写,敦促NIST向框架核心介绍“身份验证”子类别,并建议“授权用户的身份验证受多种因素保护”。
麦克道威尔说,有必要用这种语言向MFA讲话,以帮助政府和行业打击较弱的身份验证造成的风险增加。
他赞扬NIST在框架的拟议更新中进行许多积极的以身份为中心的修正案,但强调该框架应考虑自最初发表以来框架以来发生的两种基本事情。
首次发生的事情是,该行业已经解决了与通过公私,多利益相关者与NIST和其他标准组织以及全球政策制定者合作实施强大的身份验证相关的挑战。
麦克道威尔(McDowell)强调了FIDO联盟在提供“开放行业标准的综合框架中,以实现更简单,更强的身份验证,从根本上改变景观并缩小框架作者最初观察到的差距的全面框架”。
他说,这些开放的行业标准“通过利用经过验证的公共密钥密码学来改善在线身份验证,以确保更强的安全性和隐私来保存在设备上的用户验证,以提高可用性。”
麦克道威尔说,这些标准提供了一个例子,说明了一个大规模,行业领导的多个利益相关者计划如何应对市场挑战,并以NIST在框架更新中考虑的方式改变了景观。
第二个事件是,在过去三年中,单因素密码身份验证引起的问题已经加强,尽管该行业在解决“需要强大的身份验证标准的需求以确保用户隐私并启用单一概念可用性创新的需求”方面取得了长足的进步。
基于此,麦克道尔说,NIST应该在其下一个框架更新中使多因素身份验证成为要求。
今年早些时候,FIDO联盟发布了一份白皮书,以支持美国委员会,以增强国家网络安全的建议,供所有机构在所有政府系统中使用强大的身份验证。
