지난 6월, NIST는 디지털 ID 지침의 다음 버전인 SP 800-63-4에 대한 의견 수렴을 요청했습니다. 우리는 논평할 기회를 환영했습니다. 웹사이트의 Government & Public Policy(정부 및 공공 정책) 영역에서 전체 의견을 읽어보십시오.

SP 800-63-3은 NIST의 디지털 ID 지침이 크게 개선되어 ID 증명, 인증 및 페더레이션에 대한 보다 현대적인 접근 방식을 취했습니다. 그렇긴 하지만, 기술과 위협은 모두 결코 정적이지 않으며, NIST가 이 문서의 또 다른 개정에 착수하고 있다는 점은 고무적입니다.

의견에서 SP 800-63-4에 대한 세 가지 권장 사항을 제시합니다.

1. NIST는 구현자가 피싱 방지 도구와 그렇지 않은 도구를 명확하게 구분할 수 있도록 AAL에 대한 접근 방식을 조정해야 합니다.

오늘날 조회 비밀, 대역 외 장치(예: 푸시), OTP 앱 및 토큰을 포함하여 공유 암호를 기반으로 하는 다양한 인증자는 FIDO와 같은 비대칭 공개 키 암호화를 기반으로 하는 인증자와 동일한 가중치를 AAL2에서 부여받습니다. 공격자가 전자를 따라잡은 방식을 감안할 때 이 두 가지 유형의 인증자를 단일 지정으로 결합하는 것은 더 이상 의미가 없습니다. 이렇게 하면 구현자가 이 두 범주의 인증자가 강도 또는 복원력 면에서 동일하다고 생각하게 됩니다. 의견에서 NIST는 피싱 방지 도구와 그렇지 않은 도구를 더 잘 구분할 수 있도록 AAL을 조정하는 방법에 대한 몇 가지 아이디어를 제공합니다.

2. NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 다른 대안을 모색해야 합니다.

SP 800-63-3이 처음 게시되었을 때 일부 FIPS 140 유효성이 검사된 FIDO 인증자가 검증 도구 가장 저항을 제공하기 위해 토큰 바인딩과 함께 배포된 경우 AAL3을 충족할 수 있는 경로를 만들었습니다. 그 이후로 대부분의 주요 브라우저 공급업체는 토큰 바인딩에 대한 지원을 철회했습니다. NIST와의 논의에 따르면 이는 FIDO 인증자가 토큰 바인딩 손실을 완화하기 위한 다른 접근 방식을 구현하지 않고는 더 이상 AAL3를 충족할 수 없음을 의미합니다. NIST가 SP 800-63의 다음 개정판에 착수함에 따라 NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 하는 다른 대안을 모색할 것을 촉구합니다.

3. FIDO에 대한 보다 직접적인 참조 제공

SP 800-63B는 인증자 유형별 요구 사항을 설명하지만 해당 유형을 지원하는 표준을 가리키는 방식이 일관되지 않습니다. 이로 인해 구현자가 SP 800-63B를 참조하고 OTP 및 PKI와 같은 표준에 대한 참조를 볼 수 있지만 FIDO에 대한 특정 참조를 볼 수 없을 때 시장에 약간의 혼란이 발생했습니다. 이 의견에서는 구현자가 FIDO가 어디에 적합하고 요구 사항을 지원하는지 더 명확하게 이해할 수 있도록 지침에서 FIDO를 직접 참조할 수 있는 방법에 대한 세 가지 제안을 제공합니다.

NIST가 우리의 의견을 고려해준 것에 대해 깊이 감사드리며, 디지털 ID 지침을 업데이트하기 위해 지속적인 대화와 협력을 기대합니다.


More

EMVCo와 FIDO Alliance, EMV 3DS를 통한 FIDO 사용에 대한 필수 지침 제공

인증 및 결제 분야의 리더인 FIDO Alliance와 EMVCo는 협력하여 결제 사용 사례에 FIDO 인증을 통합하는…

자세히 보기 →

FIDO Alliance, FIDO APAC 서밋 2024의 연사 및 스폰서 모집 발표

2024년 2월 21일 2023년 베트남에서 열린 행사의 성공에 힘입어 FIDO Alliance가 2년 만에 FIDO APAC…

자세히 보기 →

요약: 2024 신원 확인, 인증 및 앞으로의 정책 포럼 요약

2024년의 신원 및 인증 상태는 어떤가요? 이는 통찰력 있는 연사 세션과 패널로 가득한 연례 행사에서…

자세히 보기 →


12361 다음