美國NIST最新《數字身份指南》:廢除「定期修改密碼」 等過時要求
E安全6月24日訊 美國國家標準與技術研究所(NIST)的聯邦科學家宣布已經完成了《數字身份指南》新版草案,《NIST特別出版物800-63》(NIST
Special Publication 800-63,SP
800-63-3),其中淘汰了「定期修改密碼」等過時的要求,引入生物特徵、Keystick(用遊戲手柄或操縱桿替代鍵盤和滑鼠控制電腦)或其它雙因素認證元素。
本文系E安全獨家編譯報道
NIST高級標準與技術顧問保羅·格拉西在博文中表示,《NIST特別出版物800-63》是指南的第三次修訂版,經過超過一年的公眾意見徵詢程序最終得以完成。
他表示,過去一年,超過7.4萬名唯一訪客在NIST網站查看了該修訂版草案,並提交了超過1.4萬條意見。如果利益相關者不參與其中安全問題便無法全面囊括。這是NIST首次使用開源代碼共享和開發網站GitHub公開徵詢意見。格拉西表示,使用GitHub取得了巨大成功。
格拉西指出,自2013年發布上一版指南以來,聯邦機構和私有部門市場的數字身份發生了巨大變化。因此,指南去除了「保證等級」(LOA)的概念(身份驗證和登錄驗證程序的安全衡量標準)。相反,新數字身份程序分為三個階段,每個階段的等級取決於需要實現的安全程度:
身份保證等級(IAL):身份證明程序,以及將驗證器與(一名或多名)和特定用戶數據進行綁定。
驗證器保證等級(AAL):衡量認證過程的安全,即用戶如何向系統證明身份。
聯邦保證等級(FAL):聯邦環境中使用的認定安全等級,其中,幾個系統依賴一個身份驗證程序。
格拉西指出,根據以上三個階段,SP 800-63分為四部分,未來還會新增(但取決於數字身份變化):
SP 800-63-3 《數字身份指南》,主指南,包含符合行政管理和預算辦公室(OMB)指南的風險管理規定。
SP 800-63A《註冊與身份證明》
SP 800-63B 《驗證與生命周期管理》
SP 800-63C《聯合與斷言》(註:聯合是指允許在聯網系統傳輸驗證和用戶歸屬信息的過程;斷言是指身份提供商向相關各方提供的用戶信息相關陳述。)
E安全註:本文系E安全獨家編譯報道,轉載請聯繫授權,並保留出處與鏈接,不得刪減內容。聯繫方式:① 微信號zhu-geliang ②郵箱eapp@easyaq.com
@E安全,最專業的前沿網路安全媒體和產業服務平台,每日提供優質全球網路安全資訊與深度思考,歡迎關注微信公眾號「E安全」(EAQapp),或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。
※NIST最新《數字身份指南》:廢除「定期修改密碼」 等過時要求
※維基解密披露CIA利用「野蠻袋鼠」滲透封閉網路
※維基解密:CIA利用「野蠻袋鼠」滲透封閉網路
※思科公司發布BASS開源惡意軟體簽名生成器
※2017全球安全報告:Web應用中平均包含11個漏洞
TAG:E安全 |
※FBI開始對FCC廢除「網路中立」的百萬條虛假評論展開調查
※為了和中國分清關係,改了首都名字廢除了漢字現在還想要改國名
※此國為了和中國分清關係,改了首都名字還廢除了漢字現在還想要改國名
※生存遊戲《腐蝕》決定廢除Linux版本:將提供退款
※微軟Ignite大會七大看點:廢除更多密碼 Office更智能
※韓國廢除了漢字,為什麼現在韓國人身份證上還要用漢字寫名字呢?
※聯合國宣布要廢除「一票否決權」制度,普京:一萬個不願意!
※DNF 戰鬥力值將廢除,最強戰鬥力的象徵:國服DPL副本8月開啟
※【留學教育】美國上千所大學突然廢除「入學考試」,擅長SAT/ACT考試的中國孩子就失去了優勢
※美國 FCC 廢除「網路中立性原則」的決定開始生效
※國際度量衡大會將廢除千克原器和其他三個基本單位的SI定義
※韓國網友不滿意日韓女團選秀節目,要請願廢除《Produce48》?
※提議廢除美中第三個聯合公報,美國鷹派又在想辦法拱火!
※從晚清維新派到民國四大元老:中國想要發展首先要廢除漢字
※美洛杉磯組織全國性聯盟 合力防止DACA計劃廢除
※Bill English:工黨廢除一整套公共服務目標,將導致政府無人問責
※美國7個州再聯合上訴 要求特朗普政府廢除這項計劃
※華碩廢除AMD顯卡品牌AREZ?官方:沒這事兒
※【薩沙講史堂第五百三十四期】不要嘲笑黑奴制度了!中國廢除奴隸制度遲於美國近50年(歷史系列第227講)
※此國是中國的附屬國,不但廢除漢字,還遷都換國名