2024 年身份识别和认证的发展状况如何?
在为期一天的年度会议上,演讲者的演讲和小组讨论都很有见地。 身份、认证与未来之路政策论坛 1 月 25 日在华盛顿特区举行。 更好身份联盟、FIDO Alliance和 身份证盗窃资源中心 (ITRC)。
会议主题包括有关身份盗窃的最新数据、涉及身份泄露的金融犯罪以及身份和身份验证所面临的总体挑战。 防网络钓鱼身份验证标准和密码的机会也在整个活动中引起了共鸣。 更好身份联盟的杰里米-格兰特(Jeremy Grant)在开场白中指出,身份既是造成安全问题的原因,也是解决安全问题的潜在办法。
白宫推进强认证议程
在开幕主题演讲中,白宫国家安全委员会高级主任凯特琳-克拉克详细介绍了拜登-哈里斯政府为改善数字身份和打击日益猖獗的网络犯罪而采取的一些措施。
“克拉克说:”金钱助长了犯罪生态系统,但我们经常看到,身份要么是目标,要么是我们每天看到的网络事件的罪魁祸首。
为了帮助改善身份和身份验证状况,政府正在所有联邦政府系统中实施多因素身份验证(MFA)。 Clarke 还强调,政府坚信应实施防网络钓鱼的 MFA。
“她说:”我们需要要求并确保一个人除了用户名和密码外,还能证明自己的身份,从而使威胁行为者更难进入系统。 “正因为如此,身份验证也是我们为提高关键基础设施网络安全所做工作的核心,我们都依赖于关键基础设施”。
生物识别技术的作用
一个专家小组认为,生物识别技术可以在身份验证和身份识别领域发挥作用。
小组成员包括生物识别专家兼 ITRC 顾问委员会成员 Arun Vemury、身份盗窃资源中心首席运营官 James Lee、克拉克森大学身份识别技术研究中心 (CITeR) 主任 Stephanie Schuckers 博士和全国消费者联盟电信与欺诈部公共政策副总裁 John Breyault。
专家小组成员普遍认为,适当实施生物识别技术并结合其他安全措施,有助于贬低被盗身份数据的价值并加强整体安全。
“Breyault 说:”生物识别技术有可能影响欺诈数量。 “这不是灵丹妙药,不能阻止所有人,也不一定在任何情况下都有用,但它与我们现在所做的不同”。
5 年后更好的身份
五年前,美国更好身份认证联盟出版了《美国更好身份认证》:决策者蓝图》回应了政府和行业提出的重要问题,即美国未来应如何应对远程身份证明方面的挑战以及影响身份和认证的其他关键问题。
更好身份联盟协调员杰里米-格兰特(Jeremy Grant)详细介绍了过去五年取得的进展,并 详细介绍了 2024 年的 新指南。
报告评估认为,虽然在某些领域取得了一些进展,如推广强身份验证,但总体而言,政府未能优先发展现代远程身份验证系统或制定国家数字身份战略,因此得分较低。
修订后的蓝图为政策制定者概述了 21 项新建议和行动项目,以帮助弥补美国数字身份基础设施的不足,应对合成身份欺诈和深度伪造等问题带来的日益严峻的安全和隐私挑战。
“我们今天要传达的信息与 2018 年时一样,那就是如果你把它作为一个整体,如果这个政策蓝图得到政府的颁布和资助,它将解决数字身份领域的一些非常关键的挑战,正如我们联盟的名称所暗示的那样,让事情变得更好,”格兰特说。
密码年
身份识别和认证的现状固然令人遗憾,但也值得乐观。
FIDO Alliance执行董事安德鲁-希卡尔(Andrew Shikiar)详细介绍了过去一年在推广和采用通行密钥部署方面取得的进展。
“他说:通行密钥是一种更简单、更强大的身份验证,是密码的替代品。
Shikiar 指出,现在已有数百家公司允许消费者使用通行密钥,这有助于显著改善整个身份验证环境。 他还强调,与传统密码和 MFA 方法相比,密钥不仅更安全,而且更易于组织使用。
“他说:”如果你的业务是销售产品或提供内容,或者做任何类似的事情,你都希望人们能尽快进入你的网站,而通行证就能做到这一点。
Shikiar指出,FIDO Alliance认为用户身份验证只是身份价值链中的一个环节。 为此,FIDO Alliance在通行钥匙之外还开展了多项工作,包括生物识别认证计划和文件真实性认证计划等。
不想被入侵? 使用强大的防网络钓鱼身份验证功能
管理和预算办公室(OMB)联邦首席信息安全官 Chris DeRusha 强调了强身份验证的首要重要性,他详细介绍了网络安全审查委员会最近发布的一份关于 Lapsus 网络安全团伙的报告。
DeRusha 指出,Lapsus 黑客能够利用各种技术击败 MFA 提示,包括社会工程学,甚至只是向员工大量发送提示信息,让他们采取行动。
报告提出的一项重要建议是,摒弃包括短信在内的可钓鱼形式的 MFA,转而采用基于 FIDO 的密码验证。
来自 FinCEN 的观点
美国财政部金融犯罪执法网络(英文缩写为 FinCEN)是美国金融体系的重要组成部分。
FinCEN 主任 Andrea Gacki 在活动上介绍了该机构在实益拥有权报告和 FinCEN 身份项目方面的最新进展。 FinCEN 身份项目是指 FinCEN 正在开展的与分析犯罪分子如何利用与身份有关的程序来实施金融犯罪有关的工作。 为此,FinCEN 于本月早些时候发布了一份金融趋势分析报告,其中研究了 2021 年《银行保密法》数据,以量化不良行为者在开户、访问和交易过程中如何利用身份流程。
“强大的客户身份识别流程是安全可信的美国金融体系的基础,也是每家金融机构有效运作的根本,”Gacki 说。
FinCEN 首席网络分析师肖恩-埃文斯(Sean Evans)指出,最近的报告审查了 2021 年提交的 380 多万份可疑活动报告,发现约有 160 万份报告涉及某种形式的身份剥削,涉及金额达 2 120 亿美元。埃文斯解释说,网络犯罪分子正在想方设法规避或利用身份验证、核实和认证过程中的弱点来进行欺诈等非法活动。
FinCEN 首席数字身份顾问凯-特纳强调,加强身份验证对安全至关重要。
“特纳表示:”我们必须确保身份的正确性,这对于在系统中建立信任至关重要。
CISA 称赞推动通行证系统的发展
最后,国土安全部网络安全和基础设施安全局(CISA)网络安全执行助理局长 Eric Goldstein 发表了主题演讲。
戈尔茨坦强调,重要的是要注意到,虽然存在挑战,但也取得了进展。 现在,消费者每天都在使用通行密钥,越来越多的企业也开始采用无密码部署。
戈德斯坦说:”值得首先反思的是,我们在迈向无密码未来的道路上已经走了多远。””我们看到越来越多的企业在企业权限、管理、员工身份验证解决方案方面转向无密码,这是一个了不起的转变。”