随着技术的发展,政策也需要与时俱进。
全球市场上围绕身份验证技术的创新层出不穷,但有些解决方案更能满足政府部门对安全性和可用性的需求。
FIDO联盟通过其工作组和成员公共政策领导机构,与世界各地的政策制定者开展有意义的讨论,探讨FIDO规范如何为强力身份验证提供更新、更好的选择,并提出相关的政策更新建议。
FIDO 联盟为政策制定者提出的要点包括
- 双因素身份验证不再带来更高的负担或成本。 虽然这种说法适用于较早的传统 MFA 技术,但 FIDO 专门解决了这些成本和可用性问题,并实现了更简单、更强大的身份验证功能,使政府、企业和消费者可以轻松地大规模采用这些功能
- 现在的技术已经足够成熟,可以在单一设备中实现两种安全、不同的身份验证因素。 移动设备的发展–特别是提供高度稳健和隔离执行环境的硬件架构(如 TEE、SE 和 TPM)–使这些设备无需物理上独立的令牌即可实现高级别的安全性。 美国政府和欧洲银行管理局 (EBA) 已认识到这一点
- 随着政府对强身份验证的推广或要求,要确保它是 “正确的 “身份验证。 政府不应围绕 “老式 “身份验证技术制定规则,因为这会给用户带来巨大的成本和负担,从而阻碍其采用;政府也不应围绕存在安全和隐私问题、会给用户带来风险的身份验证技术制定规则。
制定身份验证要求的政策制定者可在此填写表格,向FIDO Alliance索取简报。
世界各国政府都在部署FIDO。 请访问FIDO政府部署页面了解更多信息。
FIDO 联盟公共政策意见书
FIDO Alliance对经济产业省的意见(2024年4月):在这份意见书中,FIDO Alliance向经济产业省(METI)提出了意见:物联网产品安全合格评定计划政策草案。
FIDO Alliance向BRSA提交的意见书(2024年1月):在这份意见书中,FIDO Alliance对土耳其银行监管局(BRSA)的第2023/1号通知提出了意见。
FIDO Alliance对NIST的意见(2024 年 1 月):在这份意见书中,FIDO Alliance对NIST SP 800-171r3提出了意见:保护非联邦系统和组织中的受控非机密信息 (CUI)。
FIDO Alliance对美国政府针对承包商的拟议FAR条款的意见(2023年11月):在这份意见书中,FIDO Alliance对FAR案例2021-019:非机密联邦信息系统网络安全要求标准化提出了意见。
FIDO Alliance向纽约金融服务部 (DFS) 提交的意见(2023 年 8 月):
在这份意见书中,FIDO Alliance对DFS–《23 NYCRR 500条例–金融服务公司的网络安全要求》的第二修正案提出了意见。
FIDO Alliance向 NIST 提交的意见(2023 年 6 月):
在这份意见书中,FIDO Alliance对NIST–身份和访问管理路线图(草案)发表了意见。
FIDO Alliance向 NIST 提交的意见(2023 年 4 月)和评论模板:
在这份意见书中,FIDO Alliance对NIST–SP 800-63-4《数字身份认证指南(草案)》提出了意见。
FIDO Alliance向 CFPB 提供的信息(2023 年 1 月):
在这份意见书中,FIDO Alliance向CFPB–小企业咨询审查小组就个人财务日期权利的必要规则制定提出了意见。
FIDO Alliance向外勤部提供的资料(2023 年 1 月):
在这份意见书中,FIDO Alliance对金融服务部–《金融服务公司网络安全要求提案》(23 NYCRR Part 500)提出了意见。
FIDO Alliance向外勤部提供的资料(2022 年 8 月):
在这份意见书中,FIDO Alliance对美国金融服务部《金融服务公司网络安全要求提案》发表了意见。
FIDO Alliance向美国证券交易委员会提交的意见(2022 年 4 月):
在这份意见书中,FIDO Alliance对美国证券交易委员会(SEC)的《投资顾问、注册投资公司和商业发展公司网络安全风险管理规则提案》发表了意见。
FIDO Alliance向联邦通信委员会提交的意见(2021 年 11 月):
在这份意见书中,FIDO Alliance对FCC–关于防止SIM卡交换和Port-Out欺诈的规则的NPRM发表了意见。
FIDO Alliance向 NIST 提供的资料(2021 年 10 月):
在这份意见书中,FIDO Alliance对 NIST 的《物联网设备消费者标签》发表了意见。
FIDO Alliance向欧盟委员会提供的资料(2021 年 10 月):
在这份意见书中,FIDO Alliance就欧盟委员会–在eIDAS 2.0中使用FIDO标准–发表了意见。
FIDO Alliance对 CISA 的意见(2021 年 10 月):
在本意见书中,FIDO Alliance就零信任成熟度模型和云安全技术参考架构草案发表了意见。
FIDO Alliance向 OMB 提供的资料(2021 年 9 月):
在这份意见书中,FIDO Alliance就白宫管理和预算办公室(OMB)发布的《联邦零信任战略草案》发表了意见。
FIDO Alliance向 NIST 提供的资料(2021 年 2 月):
在这份意见书中,FIDO Alliance就 NIST 的《联邦机构和物联网设备制造商指南草案》发表了意见。
FIDO Alliance向消费者金融保护局提供的资料(2021 年 2 月):
在这份意见书中,FIDO Alliance向消费者金融保护局(CFPB)提出了关于消费者访问金融记录的意见。
FIDO Alliance向 NIST 提供的资料(2020 年 10 月):
在这份意见书中,FIDO Alliance就NIST关于可信物联网(IoT)设备网络层入网和生命周期管理的草案发表了意见。
FIDO Alliance向欧盟委员会提供的资料(2020 年 9 月):
在这份意见书中,FIDO Alliance就欧盟委员会(EC)关于eIDAS未来发展的初步影响评估提出了自己的看法。 FIDO Alliance从四个方面提出了意见,供欧盟委员会审议: 1.关于认证–欧盟委员会应确保任何 LOA 高级解决方案都需要高保证认证。 2.根据方案 2,将电子化国际数据采集系统扩展到私营部门将受到许多公司的欢迎。 3.为创建数字版实体身份证件创造新的选择,所有欧洲人都能从中受益。 4.相互承认和重复使用预先核准的 ID 产品。
FIDO Alliance向美国国家标准与技术研究院 (NIST) 提交的意见(2020 年 8 月):
在这份意见书中,FIDO Alliance就NIST的《数字身份指南》预草案征求意见稿发表了看法。 FIDO Alliance在三个方面提出了意见,供 NIST 考虑: 1.认识到自 SP 800-63-3 发布以来,威胁和技术都发生了变化。 2.AAL3 – 探索新道路。 3.参考 FIDO 标准。
FIDO Alliance向缉毒局(DEA)提供的资料(2020 年 6 月):
在本意见书中,FIDO Alliance就 Docket No. DEA-218I,缉毒署 (DEA) 征求对受控物质电子处方 (EPCS) 临时最终规则的意见。 FIDO Alliance的意见分为四个部分,主要集中在征求意见稿中关于临时最终规则中身份验证要求的部分: 1.对现行法规和过去十年技术发展的看法。 2.介绍 FIDO Authentication 和FIDO Alliance认证计划。 3.对 “征求意见表 “中 “缉毒局 “具体问题的答复。 4.就缉毒局如何确保经修订的 EPCS 法规随着技术和威胁的发展与时俱进提出建议。
FIDO 标准如何满足 PSD2 关于强客户身份验证的监管技术标准要求 (2018 年 12 月):
本文件详细回顾了《PSD2下强客户身份验证监管技术标准》(Regulatory Technical Standards For Strong Customer Authentication)和《通用安全开放通信标准》(Common and Secure Open Standards Of Communication)(RTS)中列出的安全要求,并介绍了FIDO标准如何满足这些要求。
关于 FIDO 与 GDPR 相关性的常见问题解答 (2018 年 9 月):
本文件根据《欧洲通用数据保护条例》回答了有关身份验证、用户同意、生物识别技术的使用……等问题。 它展示了 FIDO 身份验证如何帮助服务提供商遵守法规。
FIDO Alliance关于支付服务指令 2 的信函(2017 年 8 月):
FIDO Alliance就 PSD2 是否应允许将屏幕刮擦作为后备选项致函欧盟委员会和欧洲议会
FIDO Alliance对美国国家标准与技术研究院(NIST)的意见:关于改进关键基础设施网络安全框架的信息征询书(RFI)(2017 年 4 月):
在就网络安全框架的修改建议向NIST提出的意见中,FIDO Alliance建议NIST明确其措辞,并在下一次框架更新中明确要求使用MFA。 该联盟敦促NIST在框架核心中增加一个新的“身份验证”子类别,并建议:“授权用户的身份验证受到多种因素的保护。 用这种语言明确处理 MFA 是必要的,可帮助政府和行业应对因身份验证薄弱而导致的日益增长的风险,这也应成为对《框架》进行适当更新的一部分。
对欧洲银行管理局 (EBA) 《关于修订后的支付服务指令 (PSD2) 下客户身份验证和安全通信的未来监管技术标准草案》讨论文件的回应
在这份给欧洲银行监管局(EBA)的回复中,FIDO Alliance详细介绍了符合安全最佳实践的FIDO实施方案如何成为欧洲银行监管局(EBA)在PSD2中规定的 “强客户身份验证 “的理想范例:更简单、更强大的身份验证功能,商家和消费者将大规模采用。 答复中还描述了欧洲银行协会对 FIDO 公钥加密架构的认可,尤其是在与设备生物识别技术相结合的情况下,将如何减少其支付服务提供商的漏洞面–并可能因此降低在线欺诈率–以及如何通过减少用户体验中的摩擦来加快整体在线支付量。
FIDO 隐私:FIDO Alliance白皮书
本白皮书介绍了在设计FIDO协议时如何考虑到隐私问题,以及这些协议如何有助于满足某些监管机构的隐私要求。
