白宫下属网络安全促进委员会向唐纳德·特朗普政府提出了一系列建议——包括杜绝因身份泄露导致的重大安全事件。
美国国家网络安全委员会已经敲定了有关网络安全和推动数字经济的16个重要建议。
这份厚达一百页的pdf报告提出了一个颇具挑战的目标,即在2021年之前,彻底杜绝个人信息(尤其是密码)受攻击的重大案件发生。
这一目标需要更先进的身份认证技术的研发和广泛应用。
委员会公开提到FIDO联盟(线上快速身份认证联盟,包括Google、PayPal等)应协助这一进程:“身份验证的发展面临着重重难关,我们必须发展开源的标准和规则,在这方面我们要向FIDO学习。”
在一篇博客文章中,FIDO提出了美国政府是如何实现其无密码化的目标。
FIDO联盟的执行董事布雷特·麦克道尔说:“通过行业和政府间持续的合作,并遵循委员会就身份信息及其认证的的建议——我相信在FIDO这样的国际联盟的帮助下,新一届美国政府可以一步步达成其五年的目标,即彻底消除个人信息泄露案件。”
他补充道:“委员会认识到,我们的工作必须围绕两个重点:一是解决密码问题,二是保护易被窃取的身份信息。”
FIDO联盟现已拥有超过250名成员,设备制造商、银行、网络支付平台甚至多国政府和几十家生物识别技术企业均在此列。它的主要宗旨是推动更简单、更有效的身份认证。
FIDO联盟的工作包括为更简单、更有效的身份认证的尝试起草规范,从而减少对密码的依赖,并保护人们免受网络钓鱼和信息泄露造成的个人登录信息被盗用之苦。微软,谷歌,PayPal和美国银行都是这一联盟的成员。
上个月,英国政府公布了一项国家网络安全战略,这一战略直截了当地指出了建立无密码化的在线身份认证的努力方向,这和美国的种种目标如出一辙。FIDO的麦克道尔总结道:“两国都切实感受到需要在安全的基础上追求可用性、隐私和互动性。”
HYPR生物技术公司的首席执行官兼创始人之一,乔治·阿维提索夫,也赞同新总统提高网络安全的种种举措中身份认证应当具于首位。
他补充说,“扫码支付”等技术的快速应用揭示了一种迫切的需要:即支付形式由繁琐的密码支付转变成“快、易、捷”的身份认证支付。
然而,PKWARE首席技术官乔·斯图罗纳斯指出,这篇又臭又长的报告中缺乏对加密手段的详实描述。
值得注意的是,加密这个词只在该委员会的100页报告中出现了2次,对于一篇专门谈论NIST网络安全框架和物联网(该文中提到物联网52次)的报告来说,这个数字少得匪夷所思。
今年人事管理办公室的数据泄露事件已为美国政府敲响警钟,所以对敏感的数据加密应当是下届政府采纳各项议案时的重中之重。然而,看看最近发生的这些泄密事件,对数据加密的缺乏在每个案件中都是使信息系统易损的主要因素,而国家网络安全协会在其倡议中闭口不谈加密很令人担忧。
根据HYPR的观点,FIDO联盟的开源标准和规范将提供最优质、最安全的在线身份认证体验。
