美國(guó)欲在2021年前徹底杜絕因身份原因?qū)е碌拇笠?guī)模信息泄露事件
白宮下屬網(wǎng)絡(luò)安全促進(jìn)委員會(huì)向唐納德·特朗普政府提出了一系列建議——包括杜絕因身份泄露導(dǎo)致的重大安全事件。
美國(guó)國(guó)家網(wǎng)絡(luò)安全委員會(huì)已經(jīng)敲定了有關(guān)網(wǎng)絡(luò)安全和推動(dòng)數(shù)字經(jīng)濟(jì)的16個(gè)重要建議。
這份厚達(dá)一百頁(yè)的pdf報(bào)告提出了一個(gè)頗具挑戰(zhàn)的目標(biāo),即在2021年之前,徹底杜絕個(gè)人信息(尤其是密碼)受攻擊的重大案件發(fā)生。
這一目標(biāo)需要更先進(jìn)的身份認(rèn)證技術(shù)的研發(fā)和廣泛應(yīng)用。
委員會(huì)公開(kāi)提到FIDO聯(lián)盟(線上快速身份認(rèn)證聯(lián)盟,包括Google、PayPal等)應(yīng)協(xié)助這一進(jìn)程:“身份驗(yàn)證的發(fā)展面臨著重重難關(guān),我們必須發(fā)展開(kāi)源的標(biāo)準(zhǔn)和規(guī)則,在這方面我們要向FIDO學(xué)習(xí)。”
在一篇博客文章中,F(xiàn)IDO提出了美國(guó)政府是如何實(shí)現(xiàn)其無(wú)密碼化的目標(biāo)。
FIDO聯(lián)盟的執(zhí)行董事布雷特·麥克道爾說(shuō):“通過(guò)行業(yè)和政府間持續(xù)的合作,并遵循委員會(huì)就身份信息及其認(rèn)證的的建議——我相信在FIDO這樣的國(guó)際聯(lián)盟的幫助下,新一屆美國(guó)政府可以一步步達(dá)成其五年的目標(biāo),即徹底消除個(gè)人信息泄露案件。”
他補(bǔ)充道:“委員會(huì)認(rèn)識(shí)到,我們的工作必須圍繞兩個(gè)重點(diǎn):一是解決密碼問(wèn)題,二是保護(hù)易被竊取的身份信息。”
FIDO聯(lián)盟現(xiàn)已擁有超過(guò)250名成員,設(shè)備制造商、銀行、網(wǎng)絡(luò)支付平臺(tái)甚至多國(guó)政府和幾十家生物識(shí)別技術(shù)企業(yè)均在此列。它的主要宗旨是推動(dòng)更簡(jiǎn)單、更有效的身份認(rèn)證。
FIDO聯(lián)盟的工作包括為更簡(jiǎn)單、更有效的身份認(rèn)證的嘗試起草規(guī)范,從而減少對(duì)密碼的依賴,并保護(hù)人們免受網(wǎng)絡(luò)釣魚(yú)和信息泄露造成的個(gè)人登錄信息被盜用之苦。微軟,谷歌,PayPal和美國(guó)銀行都是這一聯(lián)盟的成員。
上個(gè)月,英國(guó)政府公布了一項(xiàng)國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略,這一戰(zhàn)略直截了當(dāng)?shù)刂赋隽私o(wú)密碼化的在線身份認(rèn)證的努力方向,這和美國(guó)的種種目標(biāo)如出一轍。FIDO的麥克道爾總結(jié)道:“兩國(guó)都切實(shí)感受到需要在安全的基礎(chǔ)上追求可用性、隱私和互動(dòng)性。”
HYPR生物技術(shù)公司的首席執(zhí)行官兼創(chuàng)始人之一,喬治·阿維提索夫,也贊同新總統(tǒng)提高網(wǎng)絡(luò)安全的種種舉措中身份認(rèn)證應(yīng)當(dāng)具于首位。
他補(bǔ)充說(shuō),“掃碼支付”等技術(shù)的快速應(yīng)用揭示了一種迫切的需要:即支付形式由繁瑣的密碼支付轉(zhuǎn)變成“快、易、捷”的身份認(rèn)證支付。
然而,PKWARE首席技術(shù)官喬·斯圖羅納斯指出,這篇又臭又長(zhǎng)的報(bào)告中缺乏對(duì)加密手段的詳實(shí)描述。
值得注意的是,加密這個(gè)詞只在該委員會(huì)的100頁(yè)報(bào)告中出現(xiàn)了2次,對(duì)于一篇專門(mén)談?wù)揘IST網(wǎng)絡(luò)安全框架和物聯(lián)網(wǎng)(該文中提到物聯(lián)網(wǎng)52次)的報(bào)告來(lái)說(shuō),這個(gè)數(shù)字少得匪夷所思。
今年人事管理辦公室的數(shù)據(jù)泄露事件已為美國(guó)政府敲響警鐘,所以對(duì)敏感的數(shù)據(jù)加密應(yīng)當(dāng)是下屆政府采納各項(xiàng)議案時(shí)的重中之重。然而,看看最近發(fā)生的這些泄密事件,對(duì)數(shù)據(jù)加密的缺乏在每個(gè)案件中都是使信息系統(tǒng)易損的主要因素,而國(guó)家網(wǎng)絡(luò)安全協(xié)會(huì)在其倡議中閉口不談加密很令人擔(dān)憂。
根據(jù)HYPR的觀點(diǎn),F(xiàn)IDO聯(lián)盟的開(kāi)源標(biāo)準(zhǔn)和規(guī)范將提供最優(yōu)質(zhì)、最安全的在線身份認(rèn)證體驗(yàn)。
