1月30日,美国国家标准与技术研究所(NIST)发布了新的 数字身份指南 的公开草案。新指南被称为"过去修订版的重大更新",反映了自2013年8月 电子认证指南 发布以来,不断发展的业界创新和更多新的威胁。
修订指南的动机之一是2014年10月奥巴马总统发布的 行政命令 ,要求"......在适当情况下,所有通过数字应用向公民提供个人数据访问的机构都需要使用多重认证和有效的身份证明程序。"
该指南描述了可接受的多重认证(MFA)的用法,包括你知道的东西(例如密码)、你拥有的东西(例如加密密钥)和/或你是什么(生物识别数据)的组合。此外,当使用生物识别数据作为一个认证因素时,它 必须与你拥有的东西一起使用 。
在对以前的NIST指南征求反馈时,Mnemonic安全公司总裁Hitoshi Kokumai提供了关于安全使用生物识别的建议。新的要求不允许回退到密码,他对此表示理解。
Hitoshi Kokumai:"对生物识别产品的用户,如果他们具有安全意识,则建议在提供密码登录作为后备手段时关闭生物识别。只使用密码的认证是安全的。在一些情况下,他们愿意用‘低于只使用密码’的安全性来换取更好的便利性,那么他们可以在激活后备密码的同时继续使用生物识别。"
该指南的公众评论期截止于2017年3月31日。NIST正在使用 GitHub repo 进行编辑协作和公众评论。该指南的全文和评论说明可在 https://pages.nist.gov/800-63-3/ 上查到。
查看英文原文: NIST Guidelines Require Second Auth Factor When Using Biometrics
感谢刘志勇对本文的审校。
给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ,@丁晓昀),微信(微信号: InfoQChina )关注我们。