身份、认证和未来之路：虚拟政策论坛第 2 天

5 2 月, 2021

FIDO团队联盟

2 月 5 日，身份、身份验证和未来之路：虚拟政策论坛活动的第二天也是最后一天，政府官员、技术专家和政策倡导者齐聚一堂，议程紧凑。

为期两天的活动由 FIDO 联盟与 Better Identity Coalition 和 ID 盗窃资源中心（ITRC）共同主办，有 1,000 多名注册与会者。在活动的第一天，会议概述了政府和行业明确而现实的需求，即使身份和强大的身份验证系统更加普遍，以帮助保护和服务个人和企业。相比之下，第二天的重点是对强身份验证的需求，并由一个专家小组强调，该小组解释了 FIDO 身份验证如何能够帮助确保 2020 年美国大选的安全。

当天的活动以国会议员约翰·卡特科（R-NY）的主题演讲拉开帷幕，他强调了对安全数字身份的迫切需求。

“我们的国土安全、国家安全、经济安全和生活方式正以前所未有的方式受到高度复杂的对手的威胁，仅仅保持警惕已经不够了，”卡特科（如图）说。 “当今的威胁环境需要坚定不移的韧性。对于确保我们数字身份的神圣性和弹性尤其如此。

FIDO 如何帮助确保 2020 年大选

在2016年大选期间，数字身份和强身份验证的弹性受到质疑，当时黑客能够渗透到民主党工作人员的电子邮件帐户中，特别是克林顿竞选主席约翰·波德斯塔（John Podesta）的Gmail帐户遭到攻击。

在 2020 年的选举周期中，相同类型的事件没有再次发生，这在一定程度上要归功于 FIDO 标准以及确保民主党和共和党官员都能获得强大认证的共同努力。在活动期间的小组讨论中， Defending Digital Campaigns 总裁兼首席执行官Michael Kaiser（如图）解释说，他的组织旨在帮助解决政治运动没有合适的网络安全资源来保护自己的挑战。由于公司不能直接向竞选活动捐款，因此成立了 Defending Digital Campaigns 作为中介，使政治竞选活动能够免费或低成本获得网络安全服务，包括基于 FIDO 的强身份验证资源。

Kaiser解释说，政治活动与典型的组织不同，因为它们是短暂的，并且没有对安全成熟度模型的长期思考。尽管如此，政治运动需要受到保护，因为它们掌握着非常有价值和重要的信息。

“我认为，在2020年的周期中，我们在政治部门赠送了10,000多个安全密钥，”凯泽说。 “这是很多人和很多客户，因为我们向 183 个活动赠送了价值超过 100 万美元的产品。”

民主党全国委员会（DNC）首席安全官鲍勃·洛德（Bob Lord ）（如图 ）指出，在2016年大选事件发生后，安全问题显然处于显微镜下。

“安全是一个真正的挑战，每个人都真正理解它的重要性，但美元数字确实会成为障碍，”洛德说。 “确保安全密钥等信息有可靠的来源，这对向前发展确实很有帮助。”

在 DNC 内部和整个活动中，Lord 和他的团队严格实施了基于 FIDO 的安全密钥的使用，以提供强大的身份验证功能并限制潜在网络钓鱼攻击的风险。

“今天，DNC 100% 需要访问他们的电子邮件和文件的人都在使用安全密钥——没有例外，没有行政特权可以选择退出，”洛德说。

DNC 还受益于 Google 的高级保护计划（APP），该计划提供了超出基本 gmail 帐户功能的额外保护和保证级别。

“我们是FIDO安全密钥和APP组合的忠实支持者和真正的忠实信徒，”Lord说。

为什么 DNC 相信 FIDO

Lord指出，他成为FIDO标准的大力支持者的原因有很多。一方面，FIDO标准内置于Google Chrome浏览器中。 Lord 解释说，DNC 正在推动 Chromebook 在活动中的使用，集成的 FIDO 功能使部署强身份验证变得更加容易。

虽然市场上有多种类型的双因素身份验证，但对于 Lord 来说，实际上只有两类。

“我认为在消费者领域确实有两种多因素可用——我认为有 FIDO 安全密钥，然后是其他一切，”Lord 强调说。 “当我提到其他一切时，我把其他多因素系统称为遗留系统，我这样做是因为我希望人们得到一种心理模型，即这是要被遏制、最小化并最终被淘汰的东西。

Lord 观察到，其他多因素方法虽然比完全不使用多因素要好，但也显示出弱点，这就是为什么在他看来，作为一个行业，真正推动人们走上 FIDO 强身份验证采用的道路非常重要。

虽然 Lord 是采用基于 FIDO 的安全密钥强身份验证的倡导者，但他也指出，他的团队必须解决一些可用性挑战，以及教育和引导用户所需的培训。从DNC的努力中学到的知识现在都由Lord在 https://democrats.org/security/ 的团队公开分享。

“这是一件无党派的事情，所以这些最佳实践没有什么红色或蓝色，但你会看到我们真的非常努力地推动安全密钥，特别是APP，”他说。

谷歌安全和身份高级总监Mark Risher（如图）在小组讨论中强调，一般来说，添加第二个因素仍然客观地降低了用户成为网络钓鱼攻击受害者的机会。也就是说，他指出，对于攻击者来说，网络钓鱼密码，或者只是网络钓鱼密码加上一次性密码（OTP）PIN码基本上只需要攻击者再多一行代码。

“它不需要民族国家的资金，”Rischer谈到绕过OTP进行网络钓鱼攻击的能力时说。 “因此，我们需要让世界了解其中的区别，并开始要求这些更严格的基于硬件的强身份验证技术和标准。

FIDO 如何向前迈进以实现数字化转型

下午的活动主题演讲由FIDO联盟执行董事Andrew Shikiar（如图）发表。 Shikiar 指出，无密码身份验证是数字化转型的重要基石。

Shikiar 说：“由于大流行，一切都加速了，数字化转型的安全和身份验证方面脱颖而出。

Shikiar 指出，随着网络钓鱼继续成功，社会工程学在 2020 年出现了复兴。

“简单地说，打破这个循环的唯一方法是消除我们对服务器端凭据和密码的依赖，”Shikiar说。 “服务器上的任何东西都可能而且最终会被盗，因此它们很容易被网络钓鱼、收集和重播。”

创建更强大的身份验证的需求是 FIDO 诞生的原因。 Shikiar解释说，FIDO联盟的使命是创建开放标准，通过公钥加密和非对称公钥加密为更简单、更强大的身份验证，这是普通消费者永远不必发音的东西，更不用说知道它意味着什么了。

Shikiar 还概述了 FIDO 联盟 2020 年的一些亮点，包括 Apple 加入该组织。他补充说，苹果的加入向业界发出了一个强有力的信号，即每个人都在围绕FIDO联盟团结起来，作为组织，在基于标准的用户友好和强大的身份验证方面进行合作。 2020 年 FIDO 的另一个关键亮点是跨操作系统和浏览器组合的支持级别，以及身份验证器的不同传输机制。

“超过 40 亿台设备可以支持 FIDO 身份验证，”Shikiar 说。 “所以简而言之，我们认为FIDO正在成为网络本身DNA的一部分，这是一件非常大胆的事情。

“总而言之，FIDO在很大程度上是用户身份验证的现在和未来。

Solarwind #Solorigate 攻击是身份验证问题

在政策论坛的第二天，一个引起共鸣的关键话题是最近Solarwinds攻击的影响，该攻击通常也被称为Solorigate。

在关于拜登政府应该考虑哪些身份政策的小组讨论中，ITI 政策高级副总裁兼高级顾问 John Miller 评论说，Solarwinds 攻击已被准确地描述为软件供应链攻击，但实际上它也被公平地定性为身份攻击。