美国内政部(DOI)发表了新的报告表明其管理实践和密码复杂性要求不足以防止潜在的未经授权访问系统和数据。
文档中写道:“在当前的网络威胁环境中,必须使用强大的身份验证方法和强大的帐户和密码管理实践来帮助保护计算机系统免受未经授权的访问。”
“对密码的过度依赖以限制系统访问授权人员的访问会带来灾难性的后果。”
DOI研究还强调了多因素身份验证(MFA),尤其是那些使用生物识别技术作为第二个因素的人。
DOI警告说:“但是,该部门没有完全实施已有15年以上的MFA要求。”
“此外,当我们要求部门在整个机构中提供MFA的详细状态时,它告诉我们信息不存在。这种未能优先考虑基本安全控制,导致继续使用单因素身份验证。”
此外,该报告得出的结论是,部门的管理实践和密码复杂性要求不足以防止潜在的未经授权的访问。
“我们为整个部门的所有活动帐户的21%破解了密码,因为其复杂性要求允许用户制作弱密码。”
DOI报告提出了八项建议,以提高部门内部的密码安全性。
其中包括使用由部门批准的MFA方法,修订密码复杂性和帐户管理策略,以及实施控制,以监视,限制或阻止常用或折衷的密码nist指南。
代理商扩大了意识生物识别技术的使用
根据其在政府层面提高安全级别的计划,美国联邦政府机构已征募或扩大了他们对意识到的的生物识别技术。
根据公司的宣布,Aware的解决方案现在正在美国联邦政府的所有三个部门(立法,行政和司法)中使用,行政部门的15个执行部门中有12个使用。
“单独使用或与其他形式的身份验证结合使用,生物识别技术比其他方法提供了更高的安全性和确定性,” Aware首席收入官克雷格·赫尔曼(Craig Herman)解释说。
新部署包括使用意识解决方案的执行部门来验证用户的身份,要求在其智能卡上使用新的PIN,用于访问物理和数字系统,以及部署Away的基于Web的生物特征识别注册和数据管理技术,以在全国范围的背景检查中使用。
赫尔曼补充说:“鉴于其工作的关键任务和高度敏感的性质,联邦机构要求身份验证技术的黄金标准。”
“我们在整个Aware的历史上经历了重要的联邦市场牵引力,并在2022年继续持续,这些机构在我们中置于我们的现代系统中的信任。”
意识到的最近收到的SOC(系统和组织控制)2 I型基于云的自适应身份验证平台的合规性。
超出身份已获得FIDO2认证
与此同时,另一家公司已获得认证以提高身份验证安全性。现在,在美国政府正式推荐的几个月后,超出身份已获得FIDO2认证无密码标准。
“我们很高兴获得FIDO2认证,因为消除密码可以从帐户收购中消除最大的勒索软件攻击和欺诈来源,但这只是完成安全性的第一步。”超越身份CTO Jasson Casey。
“利用FIDO在我们的平台中的力量使我们能够普遍使用Passkey,从而简化了为Cisos及其团队的抗网络钓鱼的MFA的部署。”
超越身份也有最近雇用皮亚·麦克沙里(Pia McSharry)担任全球销售工程副总裁和苏珊·古尔曼(Susanne Gurman)担任收入营销副总裁,以将其解决方案带入新市场。
