Brett McDowell,FIDO联盟执行董事
上周,Aetna的首席安全官Jim Routh告诉 《华尔街日报》 关于他的组织为提高其在线服务的安全性和可用性而做出的开创性努力,以供客户、合作伙伴和员工使用。 这一努力的一个核心组成部分是 FIDO 身份验证 。
目前,Aetna正处于在移动和Web应用程序中推出其下一代身份验证(NGA)平台的多年过程。 借助 NGA,Aetna 正在打造新的行业最佳实践,通过双管齐下的强身份验证方法改善医疗保健可及性。 首先,他们为客户的在线帐户凭据采用了具有生物识别技术的无密码 FIDO 身份验证,从而减少了对高度易受攻击的“共享机密”的依赖,例如密码和具有强大、不可网络钓鱼的公钥加密的一次性密码。
Routh 最近谈到了 Aetna 采用 FIDO 的情况 : “Aetna 采用了生物识别信息的 FIDO 标准,以创建一致性并简化整个身份验证过程。FIDO 使我们免受消费者选择或设备内置安全功能的影响。该标准将身份验证过程与应用程序开发人员分开,因此无论移动运营商、设备制造商或在线服务的配置如何,我们都可以每次进行身份验证。更重要的是,我们会员的生物识别信息永远不会离开他或她的设备,确保会员的身份受到保护和不受损害。
我们赞赏 Aetna 对消费者选择的承诺,并通过基于 FIDO 的单一手势生物识别身份验证在其整个服务中创造更统一的体验。 采用 FIDO 还将帮助 Aetna 保护其客户、合作伙伴和员工免受网络钓鱼、中间人和其他通常用于获取传统用户凭据的攻击。
虽然部署基于标准的强身份验证(如 FIDO)有助于解决组织在安全和用户体验方面面临的许多身份验证问题,但医疗保健提供商仍必须应对与设备丢失和被盗相关的风险。 因此,Aetna正在推出NGA平台的第二个核心组件 – 连续的,基于行为的身份验证 – 以确保经过身份验证的用户在会话的整个生命周期内都是同一个人。 为此,Aetna 会查看多个用户属性(例如他们握持手机的方式)并分配风险评分,以确定在会话期间授予用户多少访问权限。 如果在会话期间检测到高风险,Aetna 可能会在允许从该设备继续访问之前要求用户提供更多信息。
Aetna 推出的 FIDO 身份验证以及持续的行为身份验证应该会大大有助于应对针对敏感医疗保健数据的日益增长的威胁。 它来得正是时候,因为 2016 年,36% 的违规行为和 44% 的泄露记录与医疗保健相关,帐户接管尝试处于历史最高水平。
Aetna 为敏感医疗数据的远程身份验证和访问管理设定了标准。 他们这样做的方式是改善患者和提供者对数据的访问,同时改善对该数据的保护;经典的“双赢”局面,我们设计了FIDO标准,使服务提供商能够实现。 虽然对于需要创新解决方案的行业来说,这是一个伟大的里程碑,但这只是医疗保健领域 FIDO 身份验证的开始。 我预计其他医疗保健组织将效仿 Aetna 的领导,复制或利用 Aetna 建立的平台,以提供更方便、更强大的身份验证,从而增加患者记录访问并减少其高度针对性行业的数据泄露指标。
