在美国国家标准和技术学院的数字身份指南的最新更新草案中,生物识别性绩效要求已升级,身份保证水平进行了修订。 NIST审查了到目前为止的变化,提交了许多评论关于它们,并在最近的网络研讨会中进行了进一步的修订。
生物识别指南的更改包括更严格的准确性要求,以便与其他标准保持一致,因为以来,自2017年上一版本最终确定了先前的标准。
基数
800-63指南的基本量引入了概念,并定义了数字身份证明,入学率,身份验证和联邦的角色和责任。它提供风险评估方法并设置保证水平。
NIST提出的关键更改包括对风险管理方法的改革,以使其更加面向过程,以及保证水平选择的修订过程,现在还包括裁缝,NIST信息技术实验室高级技术政策顾问Connie LaSalle解释说。
该模型的更新支持其他部署选项,特别是包括联邦(联邦),添加了有关连续系统评估和改进的部分,并强调了一种多学科评估和管理方法。还包括针对特定个人和社区的风险评估的注意事项。
在新的数字身份模型中,NIST将修订版3的“主题”称为ID的“持有人”,以更好地与当前的行业术语保持一致。 “凭证服务提供商”成为“发行人”和“依赖方”是“验证者”,其中包括那些进行验证的人和使用经过验证的信息的人。
NIST还计划进一步咨询,以提供基本量内的公平指导,并可能引入风险评分指标。
Lasalle还指出,一些反馈是矛盾的,例如,组织要求重新引入决策树,而其他组织则感谢该机构将其删除。
注册和身份证明
标题NIST SP 800-63ANIST应用网络安全部门的身份计划负责人Ryan Galluzzo说,指南正在改变,“身份证明”和“入学”转换位置。这种变化只是冰山一角。
Galluzzo说,已经引入了数字证据的概念,并且对该概念的更加清晰起来。受信任的裁判系统已在系统级别上进行,并且通常更新。根据NIST指南,组件校对服务可以提供它,但是系统必须具有值得信赖的裁判。
已添加了ID验证的新生物识别要求。它们是特定于身份验证环境的,而不是B卷。绩效,测试,同意和面部识别的隐私要求已纳入指导。
身份保证第1级已经进行了大修,从加卢佐(Galluzzo)的话“不做身份证明”到“一组健壮的控件”。通过大多数提交的评论,IAL1仍然被认为是过高的摩擦,而NIST正在考虑进一步调整。
他还审查了“申请人参考谁能保证他人,而加鲁佐(Galluzzo)指出了各种反馈,无论是积极的还是寻求更多细节。许多评论者要求更明确地清楚身份证明中的主要角色,包括申请人参考,以及证明代理人,值得信赖的裁判和过程助理。NIST正在努力划定每种评估和评估的界限。
需求结构已通过流行请求进行了更大的一致性,其保证水平与参加面对面的,无人看管的,远程出席和远程无人值守的方法的映射。
正在考虑其他欺诈检查,包括交易分析和财团数据。
一些反馈表明,NIST应该定义核心属性的基准,但是为了认识到不同业务和应用程序的特定需求,并希望避免要求过度收集个人信息,它将坚持示例。
NIST仍在考虑替代标识证明的替代性非测量选项。
身份验证和生命周期管理
B卷是最接近最终版本的版本,而NIST计算机安全部的PIV技术负责人Andy Regenscheid表示,它的重大概念更改比其他概念更少。
定义了网络钓鱼电阻,对组织的克隆加密身份验证器的限制可以同步密钥,并且已经删除了密码围绕密码的无效技术,例如有效期和复杂性要求。在活动的这一部分期间,问题涉及如何在NIST指南的背景下思考Passkeys。
已经修改了生物识别性能要求,规定的虚假匹配率从1,000中的1个增加到10,000分之一。这反映了技术的改进,也可以更好地与其他标准保持一致,例如FIDO联盟的生物识别认证计划。
推动身份验证要求已经发展,但SMS仍是多因素身份验证工具的指导中。
联邦和主张
David Temoshok在应用网络安全部内领导NIST的SP 800-63工作,他审查了C卷C的更改。
像身份保证水平一样,联邦保证第1、2和3级也已更新,以使其更清晰,更能实现,并包括防止注射攻击的保护。
信任框架已内置在指导中,以及定义的信托协议中不同各方的职责。
在修订中考虑了供应和身份API,现在包括联合依赖的依赖党帐户和控制的概念。
该卷还将包括专门针对新身份凭据的部分,例如W3C的可验证凭证和移动驾驶执照,以回应提交的评论。
公共活动之后是仅政府会议,最终的新版本将于明年发布。
