2022 年,身份识别和身份验证的交叉领域将非常繁忙。
在 1 月 24-25 日的两天时间里 更好身份联盟、FIDO 联盟和 身份证盗窃资源中心 (ITRC)共同主办了 “身份、认证和未来网络安全政策论坛”,来自政府和行业的代表就 2022 年及以后身份和认证的政策、挑战和机遇发表了见解。
身份验证一直都很重要,而在大流行病期间,身份验证能力方面的差距通过多种方式暴露无遗。 美国大流行病应对问责委员会(PRAC)身份欺诈减少与补救工作组主席苏珊-吉布森(Susan Gibson)和更好身份联盟协调人杰里米-格兰特(Jeremy Grant)在主题对话中详细阐述了大流行病中的身份挑战。 吉布森解释说,PRAC 是由美国政府成立的,其目标是提高联邦政府大流行病应对措施的透明度并促进协调监督,该措施的援助总额约为 5 万亿美元。
吉布森指出,大流行病援助欺诈事件屡见不鲜,这在很大程度上是由于身份验证和协调方面的薄弱环节造成的。 例如,她指出,一个社会保险号码在 29 个不同的州被用来申请失业保险。
虽然利用社会安全号码和其他手段进行身份欺诈的现象很普遍,但吉布森强调,试图阻止身份窃贼并不是解决问题的唯一办法,因为已经公开的个人身份信息数量庞大。
“Gibson 说:”实际上,我们需要减少通过阻止身份盗用来解决问题的努力,而更多地关注:在意识到身份盗用已经发生的情况下,如何实现强身份验证。
数据泄露事件不断发生
身份往往是数据泄露的根源,既是根本原因,也是后果。
在上午的会议上,身份盗窃资源中心(ITRC)首席运营官詹姆斯-李(James Lee)概述了该组织2021 年年终数据泄露报告中的一些关键数据。 其中的亮点是,2021 年是有史以来数据泄露最严重的一年,共发生了 1862 起事件,影响了 2.94 亿受害者。
李说,在数据泄露事件中,被窃取的首要数据属性是用户姓名,其次是社会安全号。 尽管如此,他指出,在欺诈论坛上,被盗的社会安全号码每个售价 2 美元。 相比之下,与电子邮件账户,特别是 Gmail 账户相关的登录名和密码每个价值 80 美元。
第一天的活动以两场关于身份和认证不同方面的小组讨论结束。 在一个关于政府正在开展的协调和改进身份识别工作的小组讨论中、 Jason Lim美国运输安全局安检技术集成计划 (STIP) 部门经理、 Phil Lam 美国总务管理局身份执行主任、 蒂姆-韦勒 美国众议院经济政策顾问兼立法顾问 Bill Foster,以及 凯特-韦克斯勒消费者第一联盟执行主任分别详细介绍了他们对不同机构所做工作的看法。
身份还与使用权有关,而使用权并非对所有社会成员都一样。 这是身份盗窃资源中心 (ITRC) 总裁兼首席执行官 Eva Velasquez 主持的当天最后一个小组讨论的一个关键主题,小组成员是 Synchrony 集中式共享服务高级副总裁 Birdell Lewis; 本·罗伯茨(Ben Roberts)牧师,铸造联合卫理公会(Foundry United Methodist Church); 和 Chris Peterson,Penny Forward 和社区成员。
第二天:强身份验证的未来
在活动第二天的开幕主题演讲中,白宫管理和预算办公室(OMB)高级顾问埃里克-米尔(Eric Mill)发表了主题演讲,概述了政府中强认证的发展方向。
米尔指出,2021 年秋季,OMB 发布了联邦零信任战略草案,其中将防御网络钓鱼定义为一个关键优先事项。 米尔斯说,网络钓鱼是对手在企业中获得立足点的最常见方式之一,政府希望重点加强对这种攻击的防御。
“米尔斯说:”我们正试图为民用联邦机构建立一个明确的基准,即不使用无法抵御网络钓鱼的多因素身份验证方法。
Mills 指出,PIV(即个人身份验证卡)在政府中普遍使用,可以有效阻止网络钓鱼。 他补充说,FIDO WebAuthn 平台认证器也需要有更广泛的方法。
“Mills 说:”我们确实希望看到 PIV、FIDO 和基于网络的验证器在整个联邦政府中得到混合使用,以及在网络钓鱼和中断的情况下使用其他较弱的方法。
零信任战略在会议次日正式发布,要求使用防网络钓鱼的 MFA,如 FIDO Authentication。
FIDO 联盟为实现强大的身份验证和身份识别所做的努力
在主题演讲中,FIDO联盟执行董事安德鲁-希卡尔(Andrew Shikiar)概述了该组织为帮助改善强身份验证状况而取得的进展和采取的举措。
Shikiar强调说,FIDO所要解决的当务之急不仅仅是成为多因素身份验证(MFA)的一个复选框,而是要真正成为确保对当今网络社会至关重要的联网服务安全的基础。
Shikiar 预测,2022 年将是 MFA 攻击成为主流的一年。 FIDO 提供的防网络钓鱼方法至关重要。 多国政府已将防网络钓鱼的 MFA 和强身份验证需求列为最佳实践。
“Shikiar 说:”密码是我们生活的一部分,因为它们无处不在,是网络 DNA 的一部分。 “简而言之,我们需要取代他们,不让他们扮演这个角色,取而代之”。
实现 MFA 的障碍和改进身份证明的必要性
在关于政府和行业如何重新思考身份验证的小组讨论中,小组成员深入探讨了阻碍采用身份验证的原因以及下一步需要采取的措施。
微软身份标准总监帕姆-迪恩格尔(Pam DIngle)评论说,虽然人们已经意识到需要强大的身份验证和 MFA,但有几个原因导致它并不总是得到实施。 一种不部署 MFA 的组织是存在某种组织障碍的组织。
“Dingle 说:”所以客户来找我们,说他们知道需要做得正确,但他们有传统技术,或者有其他原因无法采用。 “对于其他人来说,我相信这是在人们的名单上”。
Guidehouse 网络安全高级解决方案总监Christine Owen表示,她发现 MFA 部署面临的一个挑战是服务账户。 Owen 指出,为这些类型的账户添加 MFA 并不总是那么容易。来自 CISA 的Grant Dasher指出,在他的组织看来,身份显然是零信任架构的基础。 Dasher补充说,总统的行政命令已经承诺政府在民事和国家安全两方面都要朝着这个方向努力。事实上,CISA在其最近的指南中已经将FIDO称为身份验证的黄金标准。
帮助确保特定身份真实可信的是身份证明领域,这也有助于对身份证件和属性进行初步验证。 在下午举行的专题讨论会上,FIDO联盟认证项目总监Rae Rivera概述了目前为创建身份证明认证项目所做的努力。
美国众议院金融服务委员会法律顾问布莱顿-哈斯莱特指出,重要的是,身份证明领域的任何新法规都必须以真实信息为基础。
“哈斯莱特说:”我认为,这一领域最大的威胁是任何因误解和恐惧而产生的立法或监管。 “我认为,当我们看到急于监管一项新技术时,通常是试图减轻不良后果,无论这些后果是否真实存在”。
强认证、身份和银行系统
对于金融部门及其政府监管机构来说,需要强大的身份验证功能来确保身份安全至关重要。
“联邦存款保险公司首席创新官Sultan Meghji 评论说:”如果你看一下给美国金融业带来风险的许多事情,它们都是以身份为基础的。
金融犯罪执法网数字身份、包容性和数字支付基础设施部主任高级顾问凯-特纳对 Meghji 的观点表示赞同。 她指出,金融犯罪执法网作为《银行保密法》的主要管理机构和美国金融情报机构,在金融领域的作用是帮助防止非法金融、洗钱和相关犯罪,如打击资助恐怖主义行为。
“特纳说:”身份是所有金融服务的核心,也是信任的核心。 “因此,我们认识到,评估风险的能力只能与你弄清楚与谁接触的能力一样好”。
美国财政部负责恐怖主义融资和金融犯罪事务的助理国务卿伊丽莎白-罗森伯格(Elizabeth Rosenberg)在主旨发言中也表达了特纳的许多观点。
罗森伯格说,困扰金融系统的许多关键问题都源于无法随时可靠地知道谁在与谁打交道。
“罗森伯格说:”就政策而言,数字身份证有可能立即显著改善我们保护国家安全和金融安全的方式。
罗森伯格表示,美国财政部不仅认识到身份验证的重要性,还将 2022 年作为数字身份验证的行动年。
“罗森伯格说:”我不希望明年召开身份认同论坛时,我们还在解决同样的问题。 “至少我不希望看到同样的问题像现在这样频繁发生,而且达到同样的程度,财政部致力于实现这一目标。”
在闭幕式主题演讲中,白宫国家安全委员会(NSC)网络安全和安全数字创新主任卡罗尔·豪斯(Carole House)也指出,她认为身份对国家安全至关重要。
“豪斯说:”我们看到的许多网络事件涉及的入侵载体本可以通过更强大的身份和访问管理解决方案(包括实施多因素身份验证解决方案)来挫败。
