今年6月,NIST就其数字身份指南的下一次迭代SP 800-63-4发出了征求意见的征集。 我们欢迎有机会发表评论;在 网站的“政府与公共政策”区域阅读我们的完整评论。
首先,我们注意到 SP 800-63-3 代表了 NIST 数字身份指南的重大改进,采用了更现代的身份证明、身份验证和联合方法。 也就是说,技术和威胁从来都不是一成不变的,我们欣喜地看到NIST正在着手对该文件进行另一次修订。
在我们的评论中,我们对 SP 800-63-4 提出了三项建议:
1. NIST 应调整其 AAL 方法,以帮助实施者明确区分哪些工具可以抵御网络钓鱼,哪些工具不能防止网络钓鱼。
如今,基于共享密钥的各种身份验证器(包括查找密钥、带外设备(即推送)以及 OTP 应用和令牌)在 AAL2 中被赋予与基于非对称公钥加密(如 FIDO)的身份验证器相同的权重。 鉴于攻击者如何赶上前者,将这两种类型的身份验证器组合在一个名称下不再有意义。 这样做会误导实施者,让他们认为这两类身份验证器在强度或复原能力方面是相当的。 在我们的评论中,我们向 NIST 提供了一些关于如何调整 AAL 的想法,以便在防网络钓鱼的工具和不防网络钓鱼的工具之间提供更多的区分。
2. NIST 应与 FIDO 联盟合作,探索其他替代方案,使 FIDO 身份验证器能够满足 AAL3 要求
当 SP 800-63-3 首次发布时,它为一些经过 FIPS 140 验证的 FIDO 身份验证器创建了满足 AAL3 的路径 – 如果这些身份验证器与令牌绑定一起部署以提供验证程序模拟抵抗。 从那时起,大多数主要的浏览器供应商都撤回了对令牌绑定的支持。 根据与 NIST 的讨论,我们了解到这意味着如果不实施其他方法来减轻令牌绑定的丢失,FIDO 身份验证器将无法再满足 AAL3。 随着 NIST 开始对 SP 800-63 进行下一次修订,我们敦促 NIST 与 FIDO 联盟合作,探索其他替代方案,以使 FIDO 身份验证器能够满足 AAL3 要求。
3. 提供对FIDO的更直接的引用
SP 800-63B 按身份验证器类型描述要求,但在指向支持该类型的标准方面不一致。 当实施者查阅 SP 800-63B 并看到对 OTP 和 PKI 等标准的引用,但没有看到任何对 FIDO 的具体引用时,这在市场上造成了一些混乱。 在我们的评论中,我们就指南如何直接引用 FIDO 提出了三项建议,以便实施者更清楚地了解 FIDO 在哪些方面适合和支持这些要求。
我们非常感谢NIST考虑我们的意见,并期待在寻求更新数字身份指南时进行持续的对话和合作。