FIDO团队联盟
身份和身份验证的交集以及它如何帮助改善企业和人们的生活是 2 月 4 日身份、身份验证和未来之路:虚拟政策论坛活动第一天讨论的核心话题。
FIDO 联盟与 Better Identity Coalition 和 ID 盗窃资源中心 (ITRC) 一起举办了为期两天的活动,该活动于 2 月 4 日至 5 日举行,有 1,000 多名注册与会者聚集在一起了解更多信息并讨论身份和身份验证的当前和未来状态。 活动的第一天非常关注美国能够和正在做的事情,以帮助改善国家认同,同时认识到未来道路上的许多挑战。
身份是一个国家安全问题
在开幕式主题演讲中,美国财政部金融犯罪执法网络(FinCEN)副主任兼数字创新官迈克尔·莫西尔(Michael Mosier)(如图 )概述了数字身份的利害关系。
莫西尔说:“我认为身份是一个国家安全问题,需要我们所有人的智力和创造力来弄清楚如何确保身份并防止人们受到伤害。
Mosier强调,数字身份解决方案是帮助防止欺诈和金融犯罪的关键因素。 他补充说,为了获得正确的支付,显然需要首先正确地完成身份识别。 在他看来,正确的方法是在确保系统完整性的同时保护隐私。
“检测和解决风险的能力取决于确定与谁接触的能力,”Mosier说。 “因此,与身份相关的风险的真正问题是,你是否拥有必要的信息来可靠地评估你的对手或客户的风险。
FinCen 面临的一个关键挑战是在开户阶段,包括身份证明和验证。 FinCen 2020 年 7 月的一份公告强调了该问题,报告称犯罪分子正在通过身份盗窃和合成身份欺诈来破坏身份验证流程。
Mosier说:“我们看到很多身份认证泄露,导致账户接管,因为缺乏多因素和多步骤身份验证在整个金融领域太普遍了。
这些收购的成本远非微不足道。 FinCEN 每月收到大约 5,000 份账户接管报告,在过去两个月中每月达到约 4 亿美元。
Mosier说:“最重要的是,由于未能在身份验证过程中实施更高水平的保证和身份验证,许多帐户接管和欺诈正在发生。
网络钓鱼是身份盗窃和网络犯罪的主要来源
根据该组织最近发布的 2020 年数据泄露报告,身份盗窃资源中心 (ITRC) 看到了与 FinCEN 相同的趋势,网络钓鱼和凭据盗窃是身份盗窃的主要来源。 在主题演讲中,ITRC总裁兼首席执行官Eva Velasquez和首席运营官James Lee( 如图 )概述了该报告的高层次发现及其影响。
“凭证是当今领域的硬币,而不是我们传统上认为的威胁行为者想要收集的那种信息。” “李说。
虽然其他故障和漏洞(包括未打补丁的软件)可能而且确实会导致数据泄露,但Lee强调,网络攻击的大多数根本原因主要依赖于用户登录名和密码
新冠疫情如何加速了对强身份验证的需求
在疫情期间,数以千万计的美国人向美国政府寻求帮助,因此显然需要强大的身份验证和身份识别技术。
在一次小组讨论中,美国小企业管理局 (SBA) 首席技术官 Sanjay Gupta 指出,SBA 能够在大流行期间提高规模,部分原因是部署了利用 FIDO 联盟标准的基于强大身份验证的单点登录技术。 SBA 使用美国政府总务管理局 (GSA) 的 login.gov 平台。
在主题演讲中,国会议员比尔·福斯特(D-IL)( 如图 )表示,COVID危机暴露了美国身份识别系统的许多不足之处。
举个例子,福斯特指出,超过一百万张刺激支票被发送给死者,而对于数百万人来说,刺激支票被推迟了,因为在根据他们居住的地方验证谁有资格方面存在挑战。 虽然存在挑战,但福斯特指出,也有很多相关的技术进步,独立于政府行动。
“在现代手机上使用安全飞地作为FIDO第二因素设备是向前迈出的一大步,”福斯特说。 “在智能手机上越来越多地使用保护隐私的生物识别传感器,作为为人类身份提供数字在线身份验证的一种手段,这将是变革性的。
在主题演讲之后的小组讨论中,政府可以在哪些方面提供帮助,R Street Institute网络安全和新兴威胁的常驻高级研究员Paul Rosenzweig评论说,良好的身份显然是经济理论教给我们的那些常见的公共产品之一,最好在政府层面提供。 小组成员、美国总务管理局(GSA)身份执行主任Phil Lam( 如图 )同意这一想法。
“我认为,作为一个政府,我们今天正在为美国人提供很多好处,为了促进提供这种好处,我们需要知道你是谁,你是否有资格获得福利,”林说。
Lam重申,支持FIDO的 login.gov 门户是美国政府身份验证策略的关键部分,目前为超过2500万用户提供服务。
当天的最后一个小组讨论了在身份和个人方面具有社会重要性的公平和包容话题。 小组成员中有本·罗伯茨牧师( 如图 ),他负责身份部,该部旨在帮助弱势群体获得身份,以便他们有资格获得政府援助,甚至只是为了获得银行账户。
罗伯茨详细介绍了一些令人心碎的案例,这些案例在获得某种形式的验证身份方面遇到了极端挑战。 他向政府政策制定者和技术开发人员传达了一个强烈的信息,即如何实现强大的身份验证和身份系统。
罗伯茨说:“随着我们把东西带到网上,随着新政策和新系统的出现,真正尽最大努力确保人们不会被抛在后面。