作者: FIDO Alliance 工作人员

德国联邦信息安全办公室 (BSI-Bundesamt für Sicherheit in der Informationstechnik) 成为第一个达到认证 Authenticator 3+ 级的组织,这是 FIDO Alliance目前提供的最高验证级别。

通往 3+ 级称号的道路已经酝酿了好几年。

FIDO Alliance认证总监 Rae Rivera 博士解释说,认证Authenticator计划最初于 2018 年 8 月启动,旨在为 FIDO 认证师定义更高级别的保证。 她指出,FIDO规范包括固有的安全和隐私。 Certified Authenticator 计划的目标是为身份验证器本身提供额外的安全保证。

随着第一个 Authenticator Level 3+ 称号的授予,Rivera 预计其他组织也会效仿,帮助改进全球用户和组织的强身份验证。

“我们继续看到 Certified Authenticator 计划有更多的人参与和采用,”Rivera 说。 “在每个更高的级别上,漏洞的风险都较小。

了解不同的 Authenticator 级别

Certified Authenticator 计划有三个核心级别(L1、L2、L3 和 ),每个级别都建立在前一个级别的要求之上。 可以获得增量附加保证,以允许供应商在每个级别(L1+、L2+、L3+)内实现“+”。

该程序评估身份验证器以回答“身份验证器对私钥的保护程度如何?Rivera说,最基本的入门级是L1,供应商可以通过支持和实施FIDO规范来实现。经过 L1 认证的身份验证器可防止网络钓鱼和凭据滥用。

Rivera指出,在L2阶段,需要受限的操作环境来防止恶意软件攻击。 Rivera说,当你谈到L3和L3+时,这一切都是关于研究硬件身份验证器,以及它们如何提供针对暴力攻击的保护。

Rivera说:“我们更高级别的计划,特别是三级和三级以上计划的核心属性之一是,它们要求产品具有我们所说的配套计划认证。

她指出,为这些更高级别定义的配套计划认证是 通用标准 ,它提供了一组评估和指定,以帮助定义给定设备或服务的安全态势。

“你越高,身份验证器就越不容易受到任何形式的攻击,”Rivera说。

为什么 3+ 认证 很重要

随着BSI的L3+认证,大门向其他人敞开,以遵循相同的道路,实现最高级别的安全保证。

“就我个人而言,我觉得这是该计划的巨大飞跃,”里维拉说。

Rivera 指出,迄今为止,已经有许多产品获得了 Certified Authenticator 计划的较低级别认证。 现在,第一个L3+已经实现,她预计组织将有更多人有兴趣通过该计划来获得额外的更高级别的保证。

“这项认证清楚地证明了我们认证者计划的价值——尤其是在更高级别,”她说。 “政府和受监管的行业,如金融、医疗保健、能源和教育,通常有更敏感的用例,需要对其网络进行特定类型的身份验证。这些市场的供应商和依赖方认为这是一个好处,因为它满足了硬件保护的需求,并且还通过了通用标准认证。

其他人如何从第一个 3+ 认证中受益

现在BSI已经达到了3+级认证,现在有一条可供其他人遵循的道路。

Rivera 解释说,有了 L3+ 认证,就有了与之相关的保护配置文件。 保护配置文件包含用于实现 L3+ 的所有组件。 因此,另一家供应商可以利用保护配置文件来开发他们的产品,以获得更高级别的认证。

Rivera说:“对于那些寻求更高层次的人来说,保护概况可以很好地指导他们需要做什么以及他们需要对实施进行哪些修改。 “BSI 获得 3+ 级认证,使其他人更容易开始达到这一级别。”