在第二天2023身份验证会议侧重于用户身份验证,五名著名的网络安全专业人员召集了一个小组,以回答名义上的问题:“那么,美国政府对FIDO身份验证有何看法?”
该小组由董事总经理杰里米·格兰特(Jeremy Grant)策划Venable他的技术和创新小组,担任顾问FIDO联盟政府参与。格兰特(Grant)引用了2022年美国政府政策,呼吁在政府系统之间使用抗网络钓鱼的身份验证,以及认可同步的Passkeys的新NIST指导,是白宫是Fido的粉丝。
NIST,IRS和总服务管理局的代表对身份保证进行了思想和见解,以及对网络钓鱼抗性的不断变化的定义。 NIST应用网络安全部门的数字身份计划的负责人Ryan Galluzzo提供了更新更新特别出版物800-63数字身份指南,说对利益相关者的大约3900条评论的评估是接近完成。
加鲁佐(Galluzzo)承诺“我们的每一本书的实际发布计划将来自我们的更多正式沟通”,但表示NIST预计,基本量的新公共销量是800-63A和800-63C的新公开草案,“基于我们对众议院批准和移动室内批准的公开评论的变化以及一些公众的评论。
对齐FIDO和NIST身份验证保证水平
Okta的高级软件架构师Moushmi Banerjee谈到了面板中对安全身份验证的需求日益增长,“通过FIDO身份验证和NIST指南增强用户体验和安全性”。
她说:“随着越来越多的服务在线移动,对用户身份的安全身份验证的需求变得极为重要,尤其是随着不良参与者损害密码的指数增加。”
Banerjee也有相同的密码问题正如身份验证领域中的许多Passkeys。在FIDO标准的要点中,她列出了公共密钥密码学和供应商中立的使用。
在涵盖身份验证和生命周期管理的NIST SP 800-63B的简要摘要中,Banerjee分解了不同的身份验证保证水平,这些保证水平需要不同水平的单个(IAL1)或多因素身份验证(IAL2,IAL2,IAL3)和认同性。 IAL3需要具有加密软件身份验证的MFA,例如生物识别检测。
Banerjee说,为了使FIDO与NIST级别保持一致,将身份验证者的低,中或高的风险与身份验证保证水平保持在1、2和3的水平,然后根据其强度选择身份验证。 NIST SB 800-63B提供了有关对齐的指导。
文章主题
认证会议|生物识别验证|生物识别技术|FIDO联盟|IL2|身份保证|杰里米·格兰特(Jeremy Grant)|无密码的身份验证|瑞安·加鲁佐(Ryan Galluzzo)|标准
