Andrew Shikiar,FIDO 联盟执行董事兼首席执行官
自不到两年前 引入 同步功能以来,通行密钥的采用率迅速增长,世界上访问量最大的网站和服务中有很大一部分提供通行密钥,而且比例越来越大。这种采用在很大程度上是因为密钥提供了真正的密码替换,有助于解决基于知识的身份验证(如密码)甚至其他第二因素方法(如短信 OTP)的众所周知的安全性和用户体验弱点。
新技术的市场采用速度自然比相关的政策和监管指南要快——对于用户身份验证,这些指南通常仍然反映了制定此类指南时以密码为中心的世界观。这就是为什么我们很高兴 NIST 在政府机构中处于领先地位,并迅速采取行动提供 新的补充指南 ,确认同步的密钥符合身份验证保证级别 2 (AAL2)。
这项新的 NIST 指南明确指出,与其他 FIDO 身份验证器一样,密钥可以同时支持 AAL2 和 AAL3 要求。同步的通行密钥可以是 AAL2,设备绑定的通行密钥可以是 AAL3。
至关重要的是,NIST 补充文件还指出,以符合指南的方式部署的同步密钥具有防网络钓鱼功能。在当今 87% 的黑客相关违规行为是由弱密码或被盗密码引起的,并且自 2022 年以来凭证网络钓鱼增加了 967%,这具有明显的好处。
“保证的保证”将促进密钥的采用
虽然迄今为止,密钥的采用率非常惊人,但一些组织(尤其是受监管行业的组织)希望看到主要政府机构在大规模支持密钥等新技术之前接受并推荐它们,这是可以理解的。
我们从全球的合作伙伴和选民那里听到了关于 NIST 的消息,尤其是 NIST,其数字身份指南是其他国家经常引用的全球黄金标准。NIST 今天的补充指南将消除通行密钥采用的关键障碍,现在通行密钥的采用将进一步加速。
然而,仍有工作要做。我们正在与全球其他机构密切合作,向他们介绍密钥和防网络钓鱼身份验证的重要性,并鼓励他们更新旧政策、指南和法规,最终让所有组织,无论他们身在何处,都能自信地为其用户和客户提供更安全、更方便的身份验证。
将 NIST 指南纳入业务最佳实践
身份和身份验证架构师应考虑将 NIST 的补充指南作为其更广泛的数字身份战略的一部分。例如,对于过去使用密码 + OTP 的每个用例,根据新的 NIST 指南部署的同步密钥不仅足以满足 AAL2 要求,而且更有效。在绝大多数部署场景中,同步密钥将比当今的身份验证模式提供显着的安全性和用户体验改进,几乎所有身份验证模式都容易受到网络钓鱼的影响。
如果组织有特定的业务、监管或其他安全要求,他们可以选择是接受同步的密钥作为主要身份验证方法、第二个因素、将其与风险引擎配对,还是需要设备绑定密钥。今天的指南使架构师无需考虑身份验证层,而是专注于业务需求和相关威胁模型。当今的主要网络钓鱼和社会工程威胁模型可以通过使用密钥直接解决。
