NIST最新《數字身份指南》:廢除「定期修改密碼」 等過時要求
E安全6月24日訊 美國國家標準與技術研究所(NIST)的聯邦科學家宣布已經完成了《數字身份指南》新版草案,《NIST特別出版物800-63》,其中淘汰了「定期修改密碼」等過時的要求,引入生物特徵、Keystick(用遊戲手柄或操縱桿替代鍵盤和滑鼠控制電腦)或其它雙因素認證元素。
NIST高級標準與技術顧問保羅·格拉西在博文中表示,《NIST特別出版物800-63》是指南的第三次修訂版,經過超過一年的公眾意見徵詢程序最終得以完成。
他表示,過去一年,超過7.4萬名唯一訪客在NIST網站查看了該修訂版草案,並提交了超過1.4萬條意見。如果利益相關者不參與其中安全問題便無法全面囊括。這是NIST首次使用開源代碼共享和開發網站GitHub公開徵詢意見。格拉西表示,使用GitHub取得了巨大成功。
格拉西指出,自2013年發布上一版指南以來,聯邦機構和私有部門市場的數字身份發生了巨大變化。因此,指南去除了「保證等級」(LOA)的概念(身份驗證和登錄驗證程序的安全衡量標準)。相反,新數字身份程序分為三個階段,每個階段的等級取決於需要實現的安全程度:
身份保證等級(IAL):身份證明程序,以及將驗證器與(一名或多名)和特定用戶數據進行綁定。
驗證器保證等級(AAL):衡量認證過程的安全,即用戶如何向系統證明身份。
聯邦保證等級(FAL):聯邦環境中使用的認定安全等級,其中,幾個系統依賴一個身份驗證程序。
格拉西指出,根據以上三個階段,SP 800-63分為四部分,未來還會新增(但取決於數字身份變化):
SP 800-63-3 《數字身份指南》,主指南,包含符合行政管理和預算辦公室(OMB)指南的風險管理規定。
SP 800-63A《註冊與身份證明》
SP 800-63B 《驗證與生命周期管理》
SP 800-63C《聯合與斷言》(註:聯合是指允許在聯網系統傳輸驗證和用戶歸屬信息的過程;斷言是指身份提供商向相關各方提供的用戶信息相關陳述。)
※維基解密披露CIA利用「野蠻袋鼠」滲透封閉網路
※維基解密:CIA利用「野蠻袋鼠」滲透封閉網路
※思科公司發布BASS開源惡意軟體簽名生成器
※2017全球安全報告:Web應用中平均包含11個漏洞
※NSA在GitHub共享TTP計劃的32個項目「附地址」
TAG:E安全 |
※FBI開始對FCC廢除「網路中立」的百萬條虛假評論展開調查
※微軟Ignite大會七大看點:廢除更多密碼 Office更智能
※生存遊戲《腐蝕》決定廢除Linux版本:將提供退款
※為了和中國分清關係,改了首都名字廢除了漢字現在還想要改國名
※聯合國宣布要廢除「一票否決權」制度,普京:一萬個不願意!
※Bill English:工黨廢除一整套公共服務目標,將導致政府無人問責
※此國為了和中國分清關係,改了首都名字還廢除了漢字現在還想要改國名
※Melon整治非法音源回購 將廢除ipin認證
※國際度量衡大會將廢除千克原器和其他三個基本單位的SI定義
※韓國廢除了漢字,為什麼現在韓國人身份證上還要用漢字寫名字呢?
※清朝最奇葩制度,乾隆晚年時廢除,卻成了大清滅亡的最直接證據!
※反對廢除網路中立 Reddit和Tumblr將於本周發起#OneMoreVote抗議
※還是簽了,普京正式下令簽署廢除中導條約,世界格局會因此改變?
※DNF 戰鬥力值將廢除,最強戰鬥力的象徵:國服DPL副本8月開啟
※紐西蘭法規曾阻警方追責CTV大樓倒塌案 擬被廢除
※史上最牛落榜考生!改變了清末政局走向,還親手廢除了科考制度
※華碩廢除AMD顯卡品牌AREZ?官方:沒這事兒
※中華民國成立,對於清朝時期簽訂的不平等條約,為何沒有廢除?
※又找新借口?日本再提廢除商業捕鯨禁令:鯨類數量很多,捕不絕!
※澳門是怎麼被葡萄牙分割的?回顧:《中葡和好通商條約》的簽定與廢除過程