Brett McDowell,FIDO联盟执行董事

许多私营和公共部门组织都希望采用 NIST的《改善关键基础设施网络安全框架》 ,于 2014 年 2 月首次发布,作为制定可靠网络安全战略的指南。 但是,原始框架中缺少任何现代网络安全战略的一个关键部分——多因素身份验证(MFA,又称强身份验证)的建议。 此排除, 根据 NIST 的说法 ,这是由于 2013-2014 年与身份验证相关的挑战,包括缺乏促进安全性和互操作性的标准以及可用解决方案固有的可用性挑战。

快进到今天,NIST已经提出了框架的更新草案。 FIDO联盟欢迎有机会对拟议的更新进行审查和评论。 您可以查看我们提交的完整评论 FIDO联盟网站

FIDO 联盟在其意见中建议 NIST 澄清其语言,并在框架的下一次更新中明确要求 MFA。 我们敦促NIST在框架核心中添加一个新的“身份验证”子类别,并建议:“授权用户的身份验证受到多种因素的保护。 用这种语言明确处理 MFA 是必要的,可帮助政府和行业应对因身份验证薄弱而导致的日益增长的风险,这也应成为对《框架》进行适当更新的一部分。

虽然 FIDO 联盟强烈支持的框架更新中有一些以身份为中心的积极变化,但必须明确建议使用 MFA。 自该框架首次发布以来,发生了两件事——一件是积极的,一件是不太积极的——这使得强身份验证成为当今任何改善网络安全的框架的基本要求。

首先,好消息。 早在 2014 年,与实施强身份验证相关的挑战(导致在框架中排除 MFA)已由行业通过与 NIST 和全球其他标准机构和政策制定者的公私、多方利益相关者合作来解决。 特别是,FIDO联盟提供了一个全面的开放行业标准框架,以实现更简单、更强大的身份验证,从根本上改变了格局,并缩小了框架作者最初观察到的差距。 这些开放的行业标准,已被值得信赖的广泛采用 品牌和技术提供商 通过利用经过验证的公钥加密技术来改进在线身份验证,从而实现更强大的安全性和隐私保护,从而在设备上进行用户验证,从而提高可用性。

FIDO 生态系统现在包括全球数以亿计的 FIDO 合规设备和数十亿个合规账户。 然而,这并不是自 2014 年以来强身份验证的唯一进步,但它是一个重要的例子,说明一个大规模的、由行业主导的、多方利益相关者的计划如何应对市场挑战,并以一种根本的方式改变格局,当NIST更新框架时必须认识到这一点。

现在,坏消息来了。 尽管该行业在满足对确保用户隐私并实现单手势可用性创新的强大身份验证标准的需求方面取得了重大进展,但单因素密码身份验证引起的问题只会变得更糟。 就在上周,Verizon的数据泄露调查报告称 去年,81%的黑客相关违规行为可归因于被盗或可猜测/可破解的密码 ——高于前一年的63%。 这 正如前国土安全部部长迈克尔·切尔托夫(Michael Chertoff)最近指出的那样,网络安全思想领袖之间正在形成共识,即“密码是迄今为止网络安全中最薄弱的环节”。

毫无疑问,多因素身份验证是改善关键基础设施网络安全的关键要求,NIST应将其作为一项要求纳入其框架的下一次更新中。