认证在政府如何在全球范围内提供服务方面发挥着越来越重要的作用。
在 2021 年 9 月 23 日举行的 Authenticate 虚拟峰会上,来自世界各地的用户、专家和供应商详细介绍了强身份验证如何帮助实现政府服务以及保护在线身份的新举措。 包括英国国家医疗服务体系 (NHS) 以及美国政府 login.gov 国税局 (IRS) 在内的用户提供了对在线身份验证和数字身份的现在和未来的见解。
在活动的开幕式上,FIDO联盟执行董事兼首席营销官Andrew Shikiar概述了FIDO在全球政府服务中的战略要务。
“COVID-19 为真正加速数字化转型活动创造了当务之急,”Shikiar 说。 “当大流行突然袭来时,每个人都在家中,所有活动都带来了对现代身份验证方案的要求,这些方案远远超出了密码,甚至超出了传统的多因素身份验证。”
Shikiar 指出,FIDO 联盟标准与全球法规和政策非常吻合,并且越来越多的政府指南引用了 FIDO 的使用。
“建立对政府生态系统的信任非常重要,”Shikiar说。 “这是通过FIDO与不同监管机构和政府机构的接触来实现的,最终将通过向全球公民安全实施数字身份服务来实现。
技术有助于推动 FIDO 强身份验证向前发展
启用 FIDO 规范的一个关键途径是通过支持政府工作的供应商。
Akamai 安全战略首席技术官 Patrick Sullivan 评论说,密码撞库攻击非常普遍。 他指出,Akamai的平台每天会发现多达10亿次密码攻击。 这就是多因素身份验证,更具体地说,基于 FIDO 联盟标准的强身份验证发挥重要作用的地方。 Sullivan指出,显然需要在低摩擦环境中提供多因素身份验证,在该环境中,它以智能手机上应用程序的形式提供。
Sullivan说:“当我们朝着这个方向前进时,我们不会要求用户随身携带硬件令牌来完成FIDO2,并且通过引入更少的摩擦,我们的用户做一些异常事情的风险就会降低。
Yubico 解决方案工程经理 Jeff Frederick 在会议期间指出,在政府中,美国的许多机构都使用通用访问卡 (CAC)/个人身份验证 (PIV) 凭据,这些凭据超出了基本密码的范围。 Frederick 指出,其公司的 YubiKey 设备支持 FIDO2 标准,它提供了一种使用公钥加密的强大抗冒充身份验证协议。
“它与 PIV/CAC 非常相似,FIDO2 是由 FIDO 联盟管理的开放标准,因此任何供应商都可以支持并立即使用它,”Frederick 说。 “它内置于所有主要操作系统和所有主要浏览器中,因此无需安装中间件即可实现此工作,它只是一个易于实施的解决方案,将全面实现联邦身份验证基础设施的现代化。”
减少国税局的身份和身份验证负担
美国国税局每年通过数字和非数字渠道证明和授权数千万纳税人,据美国国税局身份保证、隐私政府联络和披露(PGLD)主任助理考特尼·雷西(Courtney Rasey)说。
“那些打电话给国税局的数千万纳税人中,没有一个只是因为他们想这样做,这并不是一个有趣的工作日晚上的活动,”她说。 “他们需要解决问题来履行他们的纳税义务,我们知道这一点,因此我们一直在努力为纳税人提供更好的服务,帮助他们以最方便、最有效的方式获得所需的服务。”
国税局希望为纳税人提供更方便的一种方式是其于 2021 年 6 月推出的安全访问数字身份 (SADI) 平台。 Rasey 解释说,SADI 利用凭证服务 {rovider (CSP) 来证明纳税人的身份,然后向国税局提供数字身份凭证。
“用户最终将能够使用该单一数字身份凭证访问所有国税局在线应用程序,”Rasey 说。 “在整个 2022 财年,国税局将越来越多的申请转移到 SADI 后面,随着我们移动更多申请,纳税人将能够用一个凭证做很多事情。”
通过强身份验证迈向零信任
5月,拜登总统签署了第1402号行政命令,指示美国政府机构改善网络安全。 行政命令的主要条款之一是推动联邦政府走向零信任架构。
“当我们谈论零信任时,我们谈论的是一种架构,在这种架构中,人们及其设备不会仅仅因为位于组织的企业网络内部而受到信任,”管理和预算办公室 (OMB) 高级顾问 Eric Mill 解释道。
Mill 指出,在零信任模型中,人员和设备在每一步都经过验证,身份验证是上下文感知的。 OMB 强烈鼓励采用防网络钓鱼的多因素身份验证,在 CAC/PIV 不可行的环境中,FIDO WebAuthn 是一个不错的替代选择。
“我们正在非常努力地推动多因素身份验证,我们确实将可靠的身份验证视为零信任架构的关键基础,”Mill 说。
在一次政策深入研究会议上, Venable 技术业务战略董事总经理 Jeremy Grant 指出,身份验证对政府很重要的原因有很多。
格兰特说,FIDO规范可以帮助政府保护对自己资产的访问,并有助于为公众提供更多面向公民的高价值服务。
格兰特说:“我认为我们在2021年看到的是全球一个完全不同的环境,FIDO认证正在兴起,不仅仅是另一种允许的选择,而且在许多情况下是世界各国政府的首选。
国家卫生服务体系 (NHS) 如何使用 FIDO
FIDO在世界上寻找家的地区之一是英国。
英国国家医疗服务体系(NHS)是英国公共资助的医疗和保健系统,它已采用FIDO标准来帮助改善人类健康。 通过NHS登录服务,公民可以获得医疗服务的集中身份,而NHS应用程序则提供了一个简化的应用程序,用于访问和管理个人对医疗服务的访问。
NHS Login和NHS应用程序的技术架构师Priyanka Mittal表示,在过去的18个月里,随着大流行期间需求的增长,NHS登录的用户群增加了10倍。
NHS App的技术负责人Sean Devlin解释说,最初这些服务最初使用基于SMS的双因素身份验证方法,但希望找到一种更无缝的方法。 NHS 决定使用 FIDO UAF 并构建自己的实现,使用 eBay 的开源 FIDO 实现作为起点。
Devlin说,在使用FIDO之前,用户必须浏览多达五个不同的屏幕才能通过多因素身份验证流程。 使用 FIDO,它是一个屏幕。
NHS通过搬到FIDO也节省了很多钱。 Devlin估计,每天有超过500,000次FIDO登录,NHS每天可以节省大约8,000英镑的SMS消息费用。
将 FIDO 强身份验证引入 Login.gov
FIDO 规范在 login.gov 中也发挥着关键作用, 是美国政府服务的单点登录平台。
美国总务管理局 (GSA) login.gov 工程主管 Jonathan Hooper 解释说,身份验证门户面向美国政府的 200 多个站点,分布在 27 个不同的机构中。 Hooper 解释说,从 2018 年开始, login.gov 开始扩大多因素身份验证的使用,包括 WebAuthn 规范。
“我们不想成为’老大哥’,我们希望确保我们能够保护用户的隐私,而协议中内置的东西对我们非常有吸引力,”胡珀说。 “WebAuthn 也非常便宜,做 WebAuthn 身份验证事件比做 SMS 便宜几个数量级。”
使用 FIDO 改善数字身份
加拿大数字身份与认证委员会(DIACC)主席Joni Brennan表示,基于FIDO的数字身份方法可能很快就会进入加拿大。 目前正在进行的一项工作是泛加拿大信任框架(PCTF),这是一个信息保障框架。
“我们认为,这里有一个很好的机会,可以利用信息保障框架,再加上FIDO联盟驱动的规范,来创建和验证采用数字ID所需的端到端体验,”她说。
总统特别助理兼白宫国家安全委员会高级主任阿米特·米塔尔(Amit Mital)也强调了对安全数字身份的需求。
“今天,当我们验证自己并识别自己时,我们可能会使用数十种流行系统之一,”米塔尔说。”
所以生态系统本身是非常分散的,而且非常不协调。 它从根本上也是不安全的。
米塔尔说,显然需要强大的远程身份解决方案,这些解决方案可以提供简单、安全、经济和可靠的方法来识别数字系统中的消费者。
“很明显,有各种各样的场景需要数字身份,没有一个实体可以解决所有这些场景,”米塔尔说。 “我们需要一个生态系统,汇集来自私营部门的最佳想法和创新,包括大公司和初创公司,以及联邦和州、地方、部落和领土土地的政府。”
FIDO联盟执行董事安德鲁·希基尔(Andrew Shikiar)在总结当天的活动时指出,关于不同类型的政府服务及其对安全数字身份的依赖性,正在进行大量对话。
“归根结底,身份和身份验证是大规模部署新服务的核心,以满足政府机构和公民的要求,”Shikiar说。
网播现已点播。 要观看录像, 请访问活动页面。
有关将密码过渡到新式强身份验证的更多讨论,请参加 2021 年 10 月 18 日至 20 日在西雅图举行的 Authenticate 2021 或虚拟会议。 完整的议程和注册详情可在 authenticatecon.com 上找到。