作者:FIDO工作人员FIDO 工作人员
随着立法者和监管者努力帮助保护个人隐私并改善服务和数字经济的获取,身份格局将在 2023 年发生巨大转变。 强大的身份验证是实现新身份格局的主要基础。
1月25日,美国 更好身份认证联盟(Better Identity Coalition)、FIDO Alliance)和身份盗窃资源中心(ID Theft Resource Center,ITRC)在华盛顿特区共同主办了 “身份、认证和未来网络安全政策论坛”(Identity, Authentication, and the Road Ahead Cybersecurity Policy Forum),讨论身份和认证所面临的挑战和机遇。
全天的会议包括有关数据泄露现状的大量数据、政府领导人的演讲、关于通行证系统现状的小组讨论以及 2023 年及以后更好的身份识别之路。 来自政府和行业的专家们在当天的会议中经常重复的一个关键主题是身份认证环境的复杂性,以及加强合作和制定互操作标准的必要性。
“Venable LLP 技术业务战略常务董事兼更好身份认证联盟协调人杰里米-格兰特(Jeremy Grant)在活动开幕致辞中说:”我们要在一系列问题上取得进展,首先要解决一个更大的问题,即认识到身份认证是关键的基础设施,需要将其作为关键的基础设施来对待。
“除非我们开始以这种方式思考身份认同问题,否则我们将继续努力应对这一领域的挑战”。
身份风险继续增加
在开幕主旨发言中,金融犯罪执法网络(FinCEN)代理副主任吉米-科比(Jimmy Kirby)概述了该机构近年来遇到的与身份有关的问题。
柯比说,近年来,金融服务越来越多地转向以在线环境为主。 这种趋势为滥用创造了新的机会。 因此,FinCEN 一直在思考如何利用金融机构向其发送的所有数据来帮助遏制滥用行为。 他指出,从 2021 年到 2022 年,向 FinCEN 提交的与身份有关的可疑活动报告增长了 15%以上。
据 Kirby 称,从打样和注册阶段到身份验证阶段,客户身份验证过程中每个阶段的威胁报告都在不断增加,包括使用被泄露的凭证、冒名顶替和人工智能来进行非法金融活动。
挑战与机遇并存。
“柯比说:”我们看到了数字身份识别在解决客户入职、账户登录、交易监控以及调查中的客户身份识别问题方面的机遇。 “数字身份框架有许多特点,这些特点结合在一起,有可能在所有类型的金融服务中应对威胁并刺激创新”。
发现网络犯罪激增的组织不止 FinCEN 一家。 身份盗窃资源中心(ITRC)首席运营官 James Lee 介绍了该组织年度数据泄露报告中的数据。 报告的主要亮点之一是,全年共发生了 1802 起数据泄露事件,受害人数超过 4.22 亿。
Lee 评论说,一个普遍的趋势是供应链攻击越来越多,成为比恶意软件更受欢迎的攻击载体。 他还着重抱怨了许多数据泄露信息披露中存在的信息匮乏问题。 李说,66%的数据泄露事件不包括导致泄露的攻击根源信息或任何受害者的详细信息。
在一场题为 “数据泄露通知糟透了 “的小组讨论中,全国消费者联盟(NCL)负责公共政策、电信和欺诈的副总裁 John Breyault 对密码使用的现状表示遗憾,因为这不可避免地成为许多数据泄露事件的根源。
“Breyault 说:”我在 NCL 从事消费者教育工作已经 15 年了,我似乎没有一天不告诉消费者不要在多个账户中使用同一个密码。
实现美国政府的安全数字身份计划
在午餐时间的主题发言中,国会议员比尔-福斯特(Bill Foster,伊利诺伊州 11 号)概述了他对国会为美国引入安全数字身份政策所做努力的看法。
福斯特在主题演讲中一再强调,安全数字身份需要美国国会两党共同努力,因为这是一个影响所有美国人的问题。 他指出,美国政府拥有自己发布的用户身份数据库可能会引起一些担忧,但他认为,对大多数人来说,现实生活中对他们隐私的威胁更多来自于有人在网上冒充他们。
缺乏安全的数字身份也可能是美国政府在 COVID 福利方面遭遇大量欺诈的一个因素。 相反,如果没有一个安全的数字身份计划,可能会使一些人更难获得福利。 总之,福斯特表示,他希望国会能够达成一致。
“福斯特说:”它可以温和地提醒你,政府在你的生活中做了一些好事。 “我们可以做得更好的一件事就是防止身份欺诈,因为这对每年数千万美国人来说是生活中真正的痛苦”。
偏见和多样性是数字身份的要求
在活动期间的多个会议上,与会者讨论了与数字身份有关的公平、偏见和多样性话题。
Socure 公司副总裁兼公共部门战略主管乔丹-伯里斯(Jordan Burris)评论说,在他看来,偏差很多时候归根结底是现实中采取的身份识别方法解决了大多数人的问题,因此,少数人或那些在边缘运作的人被排除在生态系统之外。
美国劳工部失业保险现代化办公室负责政策的副主任安德鲁-斯特纳(Andrew Stettner)认为,他所在的机构和整个政府都非常重视身份公平问题。
“Stettner 说:”我们正在以一种更加有意识的方式来看待公平问题,这对我们来说是未来识别的一个非常关键的因素。
为什么 FIDO 对改善身份至关重要
安全身份认证的一个关键要素是具有强大的身份验证功能。
在主题演讲环节,FIDO联盟执行董事兼首席营销官安德鲁-希卡尔(Andrew Shikiar)概述了FIDO在帮助改善当今身份识别状况方面所发挥的作用。 他还预测,FIDO 在未来一年将变得越来越重要。
“Shikiar 说:”街上的普通人将开始理解身份验证的含义,并真正开始理解数字身份的含义。 “这是一个净收益,因为越多的人了解他们的身份意味着什么以及其重要性,他们就会采取更多的措施来切实保护他们的身份”。
Shikiar概述了FIDO在帮助改善身份识别方面所做的努力:
- 生物识别性能标准。 这是一项生物识别认证计划,由FIDO帮助评估对身份验证至关重要的不同生物识别组件的性能。
- 远程身份验证。 其中包括用于移动文档验证的文档真实性(DocAuth)认证,以及正在进行的人脸识别真实性和自拍匹配工作。
Shikiar 还详细介绍了通行钥匙,它为基于 FIDO 的强身份验证带来了更多的可用性。
“FIDO联盟的使命是减少业界对密码的依赖,”Shikiar说。 “简而言之,在绝大多数消费者的使用案例中,密码钥匙都将取代密码”。
用于身份验证的密码
在关于密码钥匙的小组会议上,小组成员讨论了密码钥匙将带来的好处和机遇。
微软身份标准架构师蒂姆-卡帕利(Tim Cappalli)详细介绍了通行密钥的功能,包括获取FIDO凭证并以类似于现在密码管理器的方式使用它的能力。 通行证密钥还可与云提供商同步,并可跨平台供应商互操作,从而提高整体可用性。
小组成员强调,通行密钥的承诺是让用户更容易地受益于强大的身份验证功能。 谷歌身份和安全产品经理克里斯蒂安-布兰德(Christiaan Brand)解释说,谷歌多年来一直在支持FIDO,包括支持基于安全密钥的方法。 在他看来,通行密钥代表了一种必要的可用性,可以让谷歌用户真正实现不可篡改凭据的强身份验证。
亚马逊身份服务首席产品经理保罗-格拉西(Paul Grassi)也强调了可用性这一主题,因为在他看来,过去采用强身份验证的努力并不完全成功
格拉西说:”说出来让我心碎,但消费者没有采用安全密钥,没有采用谷歌验证器,没有采用双因素,”他说。 “我们很高兴看到通行密钥成为这种替代品,并看到采用率急剧上升,在减少摩擦的同时提高安全性,我认为这是任何安全从业人员的目标”。
完整活动的录音可在此处获取。