지난 6월, NIST는 디지털 ID 지침의 다음 버전인 SP 800-63-4에 대한 의견 수렴을 요청했습니다. 우리는 논평할 기회를 환영했습니다. 웹사이트의 Government & Public Policy(정부 및 공공 정책) 영역에서 전체 의견을 읽어보십시오.

SP 800-63-3은 NIST의 디지털 ID 지침이 크게 개선되어 ID 증명, 인증 및 페더레이션에 대한 보다 현대적인 접근 방식을 취했습니다. 그렇긴 하지만, 기술과 위협은 모두 결코 정적이지 않으며, NIST가 이 문서의 또 다른 개정에 착수하고 있다는 점은 고무적입니다.

의견에서 SP 800-63-4에 대한 세 가지 권장 사항을 제시합니다.

1. NIST는 구현자가 피싱 방지 도구와 그렇지 않은 도구를 명확하게 구분할 수 있도록 AAL에 대한 접근 방식을 조정해야 합니다.

오늘날 조회 비밀, 대역 외 장치(예: 푸시), OTP 앱 및 토큰을 포함하여 공유 암호를 기반으로 하는 다양한 인증자는 FIDO와 같은 비대칭 공개 키 암호화를 기반으로 하는 인증자와 동일한 가중치를 AAL2에서 부여받습니다. 공격자가 전자를 따라잡은 방식을 감안할 때 이 두 가지 유형의 인증자를 단일 지정으로 결합하는 것은 더 이상 의미가 없습니다. 이렇게 하면 구현자가 이 두 범주의 인증자가 강도 또는 복원력 면에서 동일하다고 생각하게 됩니다. 의견에서 NIST는 피싱 방지 도구와 그렇지 않은 도구를 더 잘 구분할 수 있도록 AAL을 조정하는 방법에 대한 몇 가지 아이디어를 제공합니다.

2. NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 다른 대안을 모색해야 합니다.

SP 800-63-3이 처음 게시되었을 때 일부 FIPS 140 유효성이 검사된 FIDO 인증자가 검증 도구 가장 저항을 제공하기 위해 토큰 바인딩과 함께 배포된 경우 AAL3을 충족할 수 있는 경로를 만들었습니다. 그 이후로 대부분의 주요 브라우저 공급업체는 토큰 바인딩에 대한 지원을 철회했습니다. NIST와의 논의에 따르면 이는 FIDO 인증자가 토큰 바인딩 손실을 완화하기 위한 다른 접근 방식을 구현하지 않고는 더 이상 AAL3를 충족할 수 없음을 의미합니다. NIST가 SP 800-63의 다음 개정판에 착수함에 따라 NIST는 FIDO Alliance와 협력하여 FIDO 인증자가 AAL3 요구 사항을 충족할 수 있도록 하는 다른 대안을 모색할 것을 촉구합니다.

3. FIDO에 대한 보다 직접적인 참조 제공

SP 800-63B는 인증자 유형별 요구 사항을 설명하지만 해당 유형을 지원하는 표준을 가리키는 방식이 일관되지 않습니다. 이로 인해 구현자가 SP 800-63B를 참조하고 OTP 및 PKI와 같은 표준에 대한 참조를 볼 수 있지만 FIDO에 대한 특정 참조를 볼 수 없을 때 시장에 약간의 혼란이 발생했습니다. 이 의견에서는 구현자가 FIDO가 어디에 적합하고 요구 사항을 지원하는지 더 명확하게 이해할 수 있도록 지침에서 FIDO를 직접 참조할 수 있는 방법에 대한 세 가지 제안을 제공합니다.

NIST가 우리의 의견을 고려해준 것에 대해 깊이 감사드리며, 디지털 ID 지침을 업데이트하기 위해 지속적인 대화와 협력을 기대합니다.


More

FIDO Alliance, Passkeys를 통한 사용자 로그인 경험 최적화를 위한 새로운 디자인 가이드라인 발표

2024년 5월 29일 – FIDO Alliance는 오늘 Passkey 채택 및 배포를 가속화하는 데 도움이 되는…

자세히 보기 →

FIDO 타이베이 워크숍: FDO를 통한 엣지 보안

[FIDO 타이베이 워크숍 요약 비디오보기 ] 2024년 4월 24일, 타이베이의 중화민국 정보과학원 난강 캠퍼스에서 FIDO…

자세히 보기 →

새로운 설문조사: 암호에 대한 불만이 계속되면서 절반의 사람들이 Passkeys를 사용합니다.

현재 전 세계 상위 100대 웹사이트 중 20%가 비밀번호 대체 기능을 지원합니다. 캘리포니아주 마운틴뷰, 2024년…

자세히 보기 →