FIDO 联盟政府和政策计划
全球市场正在爆发身份认证技术创新,但有些解决方案更适合于满足政府对于安全性和可用性的需求。
通过FIDO的政策应对项目,联盟在 FIDO 规范如何为强身份认证提供更新、更好的选项以及政策更新方面,与全球政策制定者进行有意义的讨论。
FIDO 联盟针对政策制定者的核心观点包括:
- 双因子身份认证并不会带来更高负担或成本。虽然这种说法对于较早的传统 MFA 技术是正确的,不过 FIDO 专门解决了这些成本和可用性问题,并实现了政府、企业和消费者可以轻松大规模采用的更简单、更强大的身份认证功能
- 技术现在已足够成熟,可在单个设备中实现两个不同的安全身份认证因子。 移动设备的发展(特别是提供高度稳健且独立的执行环境(如 TEE、SE 和 TPM)的硬件架构)使这些设备可以实现高度安全性,而无需额外的令牌。美国政府和欧洲银行管理局 (EBA) 已认可了这一点。
- 在政府推广或要求使用强身份认证时,确保它是“正确”的身份认证方法。 政府不应该围绕“旧”身份认证技术制定规则,这些技术可能会对用户造成巨大成本和负担,从而阻碍采用;也不应该围绕具有使用户面临风险的安全和隐私问题的身份认证技术制定规则
要应对身份认证要求的政策制定者可以通过填写此处的表单,从 FIDO 联盟请求获得简报。
FIDO 联盟对NIST 的建议: 有关用于改进关键基础设施网络安全的框架的信息请求 (RFI)
在对 NIST 提出的网络安全框架更改的建议中,FIDO 联盟建议 NIST 阐明其语言,并在框架的下一次更新中明确要求 MFA。联盟敦促 NIST 在框架核心添加了一个新的“身份认证”子类别,提出了以下建议:“授权用户的身份认证通过多因子进行保护。”使用这种语言明确提到 MFA 对于帮助政府和行业解决弱身份认证造成的风险增加是很有必要的,应该是框架的任何适当更新的一部分。
在针对欧洲银行管理局 (EBA) 在修订的支付服务指令 (PSD2) 下有关强客户身份认证和安全通信方面的未来法规草案技术标准的讨论文章的回复中
FIDO 联盟详细介绍了遵循安全最佳实践的符合 FIDO 标准的实现如何是以下情况的最佳实践:PSD2 范围内的 符合EBA规定的“强客户身份认证”在为应用和消费者大规模采用这种更便捷、更安全的身份认证功能而努力。该回复还介绍了 EBA 对 FIDO 公钥密码架构的认可(尤其是在与设备上的生物识别技术结合使用时)如何减小其支付服务提供商的受攻击面(因而可能还会降低在线欺骗率),并通过减少用户体验中的摩擦来加速整体在线支付量。
对加强国家网络安全委员会的建议
在此建议文档中,FIDO 联盟针对解决网络安全问题向美国政府提出了三个建议:1.使用更安全的解决方案来替代密码和其他“共享机密”身份认证方法,这应成为国家的重中之重。2.推广使用新身份认证标准(如 FIDO)作为身份认证最佳实践,3.通过有助于创造对这些解决方案的需求的行动来加速采用强身份认证。
FIDO隐私条款 FIDO 联盟白皮书
本白皮书介绍如何在 FIDO 协议设计中考虑隐私,以及这些协议如何帮助满足来自特定监管机构的隐私要求。