联邦机构应该选择FIDO,因为他们寻求遵守新的行政命令,该行政命令要求在未来180天内实施多因素身份验证。

作者:Andrew Shikiar,FIDO 联盟执行董事兼首席营销官

面对最近暴露美国关键基础设施资产薄弱环节的攻击,拜登总统周三签署了一项新的 行政命令,以帮助加强美国的网络安全

近几个月来,针对美国关键基础设施的一系列引人注目的攻击事件,包括Solarwinds供应链攻击,该攻击使政府的大部分部门面临潜在风险。 最近几天最令人头疼的是针对 Colonial Pipeline 的勒索软件攻击,这严重影响了美国各地的成品油流动。 这些攻击暴露了美国关键基础设施的脆弱性,拜登政府正在发布联邦指令,将风险降至最低或消除。

行政命令的一个关键部分是要求各机构尽可能对静态和传输中的数据采用多因素身份验证 (MFA) 和加密。 联邦文职部门机构将有180天的时间来遵守行政命令,并且需要每60天报告一次进展情况,直到通过完成。 如果由于某种原因,各机构无法在 180 天内完全采用 MFA 和加密,他们必须通过 CISA 主任、OMB 主任和 APNSA 向国土安全部长报告,并说明未在截止日期前完成的理由。

在FIDO联盟,我们欢迎拜登政府今天的指示,并赞扬其对多因素身份验证重要性的关注。 这项行政命令值得注意的是,白宫正在优先考虑各地的 MFA,而不是将 MFA 限制在各机构依赖超过 15 年的 PIV/PKI 平台上。 今天的行政命令标志着向前迈出了重要的一步,因为它明确了当务之急是保护每个具有MFA的帐户,而无需强制使用任何特定技术。 这是一个值得注意的转变,因为我们知道最弱的 MFA 形式仍然可以阻止某些以密码为攻击媒介的攻击。 我们还知道,FIDO 身份验证是 PIV 的唯一基于标准的替代方案,适用于需要防范网络钓鱼攻击的应用程序。 这项行政命令为各机构部署FIDO认证打开了大门 – 我们听说他们想这样做,但由于不允许使用任何非PIV认证而推迟了。

这不是美国政府第一次提倡使用MFA和强加密。 在 CISA 于 2020 年 9 月发布的关于选举安全的 公告 中,该政府机构指出,大多数网络间谍事件都是由网络钓鱼促成的,而 FIDO 安全密钥是唯一一种 100% 提供网络钓鱼攻击保护的 MFA 形式。

事实上,美国政府不仅一直在倡导对 FIDO 使用强身份验证,而且实际上至少从 2018 年开始就在 login.gov 门户网站上实施了它。 有了 login.gov ,美国政府已经提供了一种安全的方法,帮助公民和机构安全地获取联邦资源。 2019 年 6 月,FIDO 联盟举办了一场网络研讨会,详细介绍了 login.gov 的部署案例研究,现在由于各机构需要在未来 180 天内采用强身份验证,因此该 网络研讨会 更加及时。

自成立以来,FIDO 联盟一直将行业合作伙伴聚集在一起,包括所有主要的操作系统供应商以及所有垂直行业的技术和消费者服务提供商,包括金融服务、电子商务和政府。 所有这些不同的团体一直在共同努力,以实现强身份验证的标准化。 如今,全球数十亿台设备可以支持 FIDO 身份验证,并已准备好在确保强大的身份验证未来方面发挥自己的作用。 事实上,大多数主要的云提供商、设备制造商和浏览器供应商都提供了对 FIDO 的支持,这意味着机构可以轻松利用内置的 MFA,而不是需要“附加”的其他产品。

如果说最近一连串的攻击再次提醒我们一件事,那就是私营部门和公共部门需要强有力的安全措施来保护关键基础设施——FIDO联盟认为,这要从身份验证开始。

我们敦促政府机构在遵守该指令时仅采用最强的MFA形式。 FIDO 联盟及其成员随时准备为各机构提供教育、资源和工具,以实施强身份验证,以帮助降低风险并改善美国政府的网络安全态势。