지난 6월, NIST는 디지털 ID 지침의 다음 버전인 SP 800-63-4에 대한 의견 수렴을 요청했습니다. 우리는 논평할 기회를 환영했습니다. 웹사이트의 Government & Public Policy(정부 및 공공 정책) 영역에서 전체 의견을 읽어보십시오.

SP 800-63-3은 NIST의 디지털 ID 지침이 크게 개선되어 ID 증명, 인증 및 페더레이션에 대한 보다 현대적인 접근 방식을 취했습니다. 그렇긴 하지만, 기술과 위협은 모두 결코 정적이지 않으며, NIST가 이 문서의 또 다른 개정에 착수하고 있다는 점은 고무적입니다.

의견에서 SP 800-63-4에 대한 세 가지 권장 사항을 제시합니다.

1. NIST는 구현자가 피싱 방지 도구와 그렇지 않은 도구를 명확하게 구분할 수 있도록 AAL에 대한 접근 방식을 조정해야 합니다.

오늘날 조회 비밀, 대역 외 장치(예: 푸시), OTP 앱 및 토큰을 포함하여 공유 암호를 기반으로 하는 다양한 인증자는 FIDO와 같은 비대칭 공개 키 암호화를 기반으로 하는 인증자와 동일한 가중치를 AAL2에서 부여받습니다. 공격자가 전자를 따라잡은 방식을 감안할 때 이 두 가지 유형의 인증자를 단일 지정으로 결합하는 것은 더 이상 의미가 없습니다. 이렇게 하면 구현자가 이 두 범주의 인증자가 강도 또는 복원력 면에서 동일하다고 생각하게 됩니다. 의견에서 NIST는 피싱 방지 도구와 그렇지 않은 도구를 더 잘 구분할 수 있도록 AAL을 조정하는 방법에 대한 몇 가지 아이디어를 제공합니다.

2. NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 다른 대안을 모색해야 합니다.

SP 800-63-3이 처음 게시되었을 때 일부 FIPS 140 유효성이 검사된 FIDO 인증자가 검증 도구 가장 저항을 제공하기 위해 토큰 바인딩과 함께 배포된 경우 AAL3을 충족할 수 있는 경로를 만들었습니다. 그 이후로 대부분의 주요 브라우저 공급업체는 토큰 바인딩에 대한 지원을 철회했습니다. NIST와의 논의에 따르면 이는 FIDO 인증자가 토큰 바인딩 손실을 완화하기 위한 다른 접근 방식을 구현하지 않고는 더 이상 AAL3를 충족할 수 없음을 의미합니다. NIST가 SP 800-63의 다음 개정판에 착수함에 따라 NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 하는 다른 대안을 모색할 것을 촉구합니다.

3. FIDO에 대한 보다 직접적인 참조 제공

SP 800-63B는 인증자 유형별 요구 사항을 설명하지만 해당 유형을 지원하는 표준을 가리키는 방식이 일관되지 않습니다. 이로 인해 구현자가 SP 800-63B를 참조하고 OTP 및 PKI와 같은 표준에 대한 참조를 볼 수 있지만 FIDO에 대한 특정 참조를 볼 수 없을 때 시장에 약간의 혼란이 발생했습니다. 이 의견에서는 구현자가 FIDO가 어디에 적합하고 요구 사항을 지원하는지 더 명확하게 이해할 수 있도록 지침에서 FIDO를 직접 참조할 수 있는 방법에 대한 세 가지 제안을 제공합니다.

NIST가 우리의 의견을 고려해준 것에 대해 깊이 감사드리며, 디지털 ID 지침을 업데이트하기 위해 지속적인 대화와 협력을 기대합니다.


More

새로운 데이터에 따르면 Passkeys 주류 추진력을 얻음에 따라 비밀번호 문제로 인해 젊은 고객을 잃고 있습니다.

글로벌 FIDO Alliance 연구는 인증 방법 및 온라인 보안에 대한 최신 소비자 동향 및 태도를…

자세히 보기 →

FIDO Alliance, Passkey 채택을 가속화하기 위한 포괄적인 웹 리소스 출시

Passkey Central은 리더에게 암호 키에 대한 교육과 소비자 로그인을 위해 암호 키를 구현하는 단계를 제공합니다…

자세히 보기 →

FIDO Alliance 사용자 선택을 촉진하고 Passkeys에 대한 UX를 개선하기 위한 새로운 사양을 게시합니다.

FIDO Alliance는 보안 자격 증명 교환을 위한 새로운 사양 세트의 작업 초안을 발표했으며, 자격 증명…

자세히 보기 →


12366 다음