根据国家标准和技术研究所的联邦科学家,已经消除了该机构数字身份身份验证指南的过时要求,例如定期更改密码,以及添加新的标准,用于使用生物识别技术,keysticks和其他两因素身份验证令牌。网络库。
最终文件称为NIST特别出版物800-63(PDF)根据NIST高级标准和技术顾问Paul Grassi,标志着指南的第三版和一年多的公众咨询的结果。
格拉西说,去年,该机构网站上有74,000多名唯一访问者查看了修订后的文件草案,提交了14,000多个评论。
格拉西在一家中写道:“如果没有利益相关者的直接投入,这种综合性就无法演变。博客文章,称该机构首次使用开源代码共享和开发网站GitHub为“成功”。
Grassi说:“自2013年该文件上次修订以来,机构和[私营部门]市场的数字身份发生了巨大变化。”
最终文件消除了“保证水平”(LOA)的概念,以衡量应有的身份证明和登录身份验证过程的安全性。
取而代之的是,该机构将数字ID流程分为三个阶段,每个阶段都根据其应有的安全性分配了评分。
身份保证级别(IAL)是根据其身份向个人发出登录的过程;身份验证者的保证级别(AAL)衡量了身份验证过程的安全性,即用户如何证明他们与所声称的个人相同的个人;联邦保证级别(FAL)与联合环境中使用的断言的安全级别有关,在该环境中,许多系统都依赖于单个ID认证过程。
Grassi还说,SP 800-63现在由四个部分组成,“随着数字身份的发展,将来可能会有更多的部分。”
组件如下:SP 800-63-3(数字身份指南)是“母亲”指南,其中包括风险管理语言,旨在与OMB指导,SP 800-63A(招生和身份证明)(SP 800-63B),SP 800-63B(身份验证和生命周期管理)(sp 800-63c(sp 800-63c)(federasions&Assersions)。
今年早些时候,FIDO Alliance在国家标准与技术研究院(NIST)的草案草案中提出了强劲的身份验证要求,以改善关键基础设施网络安全指南的框架。
