美國NIST最新《數字身份指南》：廢除「定期修改密碼」 等過時要求

E安全6月24日訊 美國國家標準與技術研究所（NIST）的聯邦科學家宣布已經完成了《數字身份指南》新版草案，《NIST特別出版物800-63》（NIST
Special Publication 800-63，SP
800-63-3），其中淘汰了「定期修改密碼」等過時的要求，引入生物特徵、Keystick（用遊戲手柄或操縱桿替代鍵盤和滑鼠控制電腦）或其它雙因素認證元素。

本文系E安全獨家編譯報道

NIST高級標準與技術顧問保羅·格拉西在博文中表示，《NIST特別出版物800-63》是指南的第三次修訂版，經過超過一年的公眾意見徵詢程序最終得以完成。

他表示，過去一年，超過7.4萬名唯一訪客在NIST網站查看了該修訂版草案，並提交了超過1.4萬條意見。如果利益相關者不參與其中安全問題便無法全面囊括。這是NIST首次使用開源代碼共享和開發網站GitHub公開徵詢意見。格拉西表示，使用GitHub取得了巨大成功。

格拉西指出，自2013年發布上一版指南以來，聯邦機構和私有部門市場的數字身份發生了巨大變化。因此，指南去除了「保證等級」（LOA）的概念（身份驗證和登錄驗證程序的安全衡量標準）。相反，新數字身份程序分為三個階段，每個階段的等級取決於需要實現的安全程度：

• 身份保證等級（IAL）：身份證明程序，以及將驗證器與（一名或多名）和特定用戶數據進行綁定。

• 驗證器保證等級（AAL）：衡量認證過程的安全，即用戶如何向系統證明身份。

• 聯邦保證等級（FAL）：聯邦環境中使用的認定安全等級，其中，幾個系統依賴一個身份驗證程序。

格拉西指出，根據以上三個階段，SP 800-63分為四部分，未來還會新增（但取決於數字身份變化）：

• SP 800-63-3 《數字身份指南》，主指南，包含符合行政管理和預算辦公室（OMB）指南的風險管理規定。

• SP 800-63A《註冊與身份證明》

• SP 800-63B 《驗證與生命周期管理》

• SP 800-63C《聯合與斷言》（註：聯合是指允許在聯網系統傳輸驗證和用戶歸屬信息的過程；斷言是指身份提供商向相關各方提供的用戶信息相關陳述。）

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！