随着技术的发展,政策也需要与时俱进。
全球市场上围绕身份验证技术的创新层出不穷,但有些解决方案更能满足政府部门对安全性和可用性的需求。
FIDO联盟通过其工作组和会员公共政策负责人,与世界各地的政策制定者开展有意义的讨论,探讨FIDO规范如何为强身份验证提供更新、更好的选择,并提出相关的政策更新建议。
FIDO联盟为政策制定者提出的要点包括:
- 双因素身份验证不再带来更高的负担或成本。虽然这种说法适用于较早的传统MFA技术,但FIDO专门解决了这些成本和可用性问题,并实现了更简单、更强大的身份验证功能,使政府、企业和消费者可以轻松地大规模采用这些功能。
- 现在的技术已经足够成熟,可以在单一设备中实现两种安全的、不同的身份验证因素。移动设备的发展—特别是提供高度稳健和隔离执行环境的硬件架构(如TEE、SE和TPM)—使这些设备无需物理上独立的令牌即可实现高级别的安全性。美国政府和欧洲银行管理局(EBA)已认识到这一点。
- 随着政府对强身份验证的推广或要求,要确保它是“正确的”验证。政府不应该围绕“旧的”身份验证技术制定规则,因为这些技术会给用户带来巨大的成本和负担,从而阻碍采用,也不应该围绕存在安全和隐私问题的身份验证技术制定规则,从而使用户处于危险之中。
制定身份验证要求的政策制定者可在此填写表格,向FIDO联盟索取简报。
世界各国政府都在部署FIDO。请访问FIDO政府部署页面了解更多信息。
FIDO联盟公共政策意见书
FIDO联盟向METI提交的意见书(2024年4月):在这份意见书中,FIDO联盟对日本经济产业省(METI)的《物联网产品安全合格性评估方案政策草案》提出了意见。
FIDO联盟向BRSA提交的意见书(2024年1月):在这份意见书中,FIDO联盟对土耳其银行监管局(BRSA)的第2023/1号通知提出了意见。
FIDO联盟向NIST提交的意见书(2024年1月):在这份意见书中,FIDO联盟对NIST SP 800-171r3《保护非联邦系统和组织中的受控非机密信息(CUI)》提出了意见。
FIDO联盟对美国政府针对承包商的拟议FAR条款的意见(2023年11月):在这份意见书中,FIDO联盟对《FAR案例2021-019:规范非机密联邦信息系统的网络安全要求》提出了意见。
FIDO联盟向纽约金融服务部(DFS)提交的意见(2023年8月):
在这份意见书中,FIDO联盟对DFS的《23 NYCRR 500条例—金融服务公司的网络安全要求》的第二修正案提出了意见。
FIDO联盟向NIST提交的意见(2023年6月):
在这份意见书中,FIDO联盟对NIST的《身份和访问管理路线图(草案)》提出了意见。
FIDO联盟向NIST提交的意见(2023年4月)和评论模板:
在这份意见书中,FIDO联盟对NIST-SP 800-63-4《数字身份指南(草案)》提出了意见。
FIDO联盟向CFPB提供的信息(2023年1月):
在这份意见书中,FIDO联盟向消费者金融保护局(CFPB)的《小企业咨询审查小组就个人财务日期权利的必要规则制定》提出了意见。
FIDO联盟向DFS提供的资料(2023年1月):
在这份意见书中,FIDO联盟对DFS的《23 NYCRR 500条例—金融服务公司的网络安全要求提案》提出了意见。
FIDO联盟向DFS提供的资料(2022年8月):
在这份意见书中,FIDO联盟对DFS的《金融服务公司的网络安全要求提案》发表了意见。
FIDO联盟向SEC提交的意见(2022年4月):
在这份意见书中,FIDO联盟对美国证券交易委员会(SEC)的《投资顾问、注册投资公司和商业发展公司网络安全风险管理规则提案》发表了意见。
FIDO联盟向FCC提交的意见(2021年11月):
在这份意见书中,FIDO联盟对FCC的《关于防止SIM卡交换和Port-Out欺诈的规则的NPRM》发表了意见。
FIDO联盟向NIST提供的资料(2021年10月):
在这份意见书中,FIDO联盟对NIST的《物联网设备消费者标签》发表了意见。
FIDO联盟向欧盟委员会提供的资料(2021年10月):
在这份意见书中,FIDO联盟就欧盟委员会《在eIDAS 2.0中使用FIDO标准》发表了意见。
FIDO联盟对CISA的意见(2021年10月):
在这份意见书中,FIDO联盟就《零信任成熟度模型和云安全技术参考架构草案》发表了意见。
FIDO联盟向OMB提供的资料(2021年9月):
在这份意见书中,FIDO联盟就白宫管理和预算办公室(OMB)发布的《联邦零信任战略草案》发表了意见。
FIDO联盟向NIST提供的资料(2021年2月):
在这份意见书中,FIDO联盟就NIST的《联邦机构和物联网设备制造商指南草案》发表了意见。
FIDO联盟向CFPB提供的资料(2021年2月):
在这份意见书中,FIDO联盟向消费者金融保护局(CFPB)提出了关于消费者访问金融记录的意见。
FIDO联盟向NIST提供的资料(2020年10月):
在这份意见书中,FIDO联盟就NIST关于《可信物联网(IoT)设备网络层上载和生命周期管理的草案》发表了意见。
FIDO联盟向欧盟委员会提供的资料(2020年9月):
在这份意见书中,FIDO联盟就欧盟委员会(EC)关于eIDAS未来发展的初步影响评估提出了自己的看法。FIDO联盟从四个方面提出了意见,供欧盟委员会审议:1)关于身份验证—欧盟委员会应确保任何LOA高级解决方案都需要高保证认证;2)根据方案2,将eIDAS扩展到私营部门将受到许多公司的欢迎;3)通过创建实体身份证件数字版本来创造新的选择,所有欧洲人都能从中受益; 4)相互识别和重复使用预先核准的ID产品。
FIDO联盟向美国国家标准与技术研究院(NIST)提交的意见(2020年8月):
在这份意见书中,FIDO联盟就NIST的《数字身份指南》预草案征求意见稿发表了看法。FIDO联盟在三个方面提出了意见,供NIST考虑:1)认识到自SP 800-63-3发布以来,威胁和技术都发生了变化;2)AAL3—探索新道路;3)参考FIDO标准。
FIDO联盟向缉毒局(DEA)提供的资料(2020年6月):
在这份意见书中,FIDO联盟对第DEA-218I号案卷《缉毒局(DEA)征求对受控物质电子处方(EPCS)临时最终规则的意见》发表了意见。FIDO联盟的意见分为四个部分,主要集中在征求意见稿中关于临时最终规则中认证要求的部分:1)对现行法规和过去十年技术发展的看法;2)FIDO身份验证和FIDO联盟认证计划简介;3)对“征求意见书”中DEA具体问题的答复;4)就DEA如何确保经修订的EPCS法规随着技术和威胁的发展与时俱进提出建议。
FIDO标准如何满足PSD2关于强身份验证的监管技术标准要求(2018年12月):
本文件详细回顾了《PSD2下强身份验证监管技术标准》(Regulatory Technical Standards For Strong Customer Authentication)和《通用安全开放通信标准》(Common and Secure Open Standards Of Communication)(RTS)中列出的安全要求,并介绍了FIDO标准如何满足这些要求。
关于FIDO与GDPR相关性的常见问题解答 (2018年9月):
本文件根据《欧洲通用数据保护条例(GDPR)》回答了有关身份验证、用户同意、生物识别技术的使用等问题。它展示了FIDO身份验证如何帮助服务提供商遵守法规。
FIDO联盟关于PSD2的信函(2017年8月):
FIDO联盟就支付服务指令2(PSD2)是否应允许将屏幕抓取作为后备选项致函欧盟委员会和欧洲议会。
FIDO联盟对美国国家标准与技术研究院(NIST)的意见:关于改进关键基础设施网络安全框架的信息征询书(RFI)(2017年4月):
在就网络安全框架的修改建议向NIST提出的意见中,FIDO联盟建议NIST明确其措辞,并在下一次框架更新中明确要求使用MFA。联盟敦促NIST在框架核心中增加一个新的“身份验证”子类别,并建议:“授权用户的身份验证受到多种因素的保护。”用这种语言明确处理MFA是必要的,可帮助政府和行业应对因身份验证薄弱而导致的日益增长的风险,这也应成为对《框架》进行适当更新的一部分。
对欧洲银行管理局(EBA)《关于修订后的支付服务指令(PSD2)下的强用户身份验证和安全通信的未来监管技术标准草案》讨论文件的回应:
在对EBA的回复中,FIDO联盟详细介绍了遵循安全推荐实践的FIDO实施方案如何成为欧洲银行监管局(EBA)在PSD2中规定的“强身份验证”的理想范例:更简单、更强大的身份验证功能,商家和消费者将大规模采用。答复中还描述了EBA对FIDO公钥加密架构的认可,尤其是在与设备生物识别技术相结合的情况下,将如何减少其支付服务提供商的漏洞面—并可能因此降低在线欺诈率—以及如何通过减少用户体验中的摩擦来加快整体在线支付量。
FIDO隐私:FIDO联盟白皮书
本白皮书介绍了在设计FIDO协议时如何考虑隐私,以及这些协议怎样有助于满足某些监管机构的隐私要求。
