白宮下屬網(wǎng)絡安全促進委員會向唐納德·特朗普政府提出了一系列建議——包括杜絕因身份泄露導致的重大安全事件。

[[179220]]

美國國家網(wǎng)絡安全委員會已經(jīng)敲定了有關網(wǎng)絡安全和推動數(shù)字經(jīng)濟的16個重要建議。

這份厚達一百頁的pdf報告提出了一個頗具挑戰(zhàn)的目標，即在2021年之前，徹底杜絕個人信息(尤其是密碼)受攻擊的重大案件發(fā)生。

這一目標需要更先進的身份認證技術的研發(fā)和廣泛應用。

委員會公開提到FIDO聯(lián)盟(線上快速身份認證聯(lián)盟，包括Google、PayPal等)應協(xié)助這一進程：“身份驗證的發(fā)展面臨著重重難關，我們必須發(fā)展開源的標準和規(guī)則，在這方面我們要向FIDO學習。”

在一篇博客文章中，F(xiàn)IDO提出了美國政府是如何實現(xiàn)其無密碼化的目標。

FIDO聯(lián)盟的執(zhí)行董事布雷特·麥克道爾說：“通過行業(yè)和政府間持續(xù)的合作,并遵循委員會就身份信息及其認證的的建議——我相信在FIDO這樣的國際聯(lián)盟的幫助下，新一屆美國政府可以一步步達成其五年的目標，即徹底消除個人信息泄露案件。”

他補充道：“委員會認識到，我們的工作必須圍繞兩個重點：一是解決密碼問題，二是保護易被竊取的身份信息。”

FIDO聯(lián)盟現(xiàn)已擁有超過250名成員，設備制造商、銀行、網(wǎng)絡支付平臺甚至多國政府和幾十家生物識別技術企業(yè)均在此列。它的主要宗旨是推動更簡單、更有效的身份認證。

FIDO聯(lián)盟的工作包括為更簡單、更有效的身份認證的嘗試起草規(guī)范，從而減少對密碼的依賴，并保護人們免受網(wǎng)絡釣魚和信息泄露造成的個人登錄信息被盜用之苦。微軟，谷歌，PayPal和美國銀行都是這一聯(lián)盟的成員。

上個月，英國政府公布了一項國家網(wǎng)絡安全戰(zhàn)略，這一戰(zhàn)略直截了當?shù)刂赋隽私o密碼化的在線身份認證的努力方向，這和美國的種種目標如出一轍。FIDO的麥克道爾總結(jié)道：“兩國都切實感受到需要在安全的基礎上追求可用性、隱私和互動性。”

HYPR生物技術公司的首席執(zhí)行官兼創(chuàng)始人之一，喬治·阿維提索夫，也贊同新總統(tǒng)提高網(wǎng)絡安全的種種舉措中身份認證應當具于首位。

他補充說，“掃碼支付”等技術的快速應用揭示了一種迫切的需要：即支付形式由繁瑣的密碼支付轉(zhuǎn)變成“快、易、捷”的身份認證支付。

然而，PKWARE首席技術官喬·斯圖羅納斯指出，這篇又臭又長的報告中缺乏對加密手段的詳實描述。

值得注意的是，加密這個詞只在該委員會的100頁報告中出現(xiàn)了2次，對于一篇專門談論NIST網(wǎng)絡安全框架和物聯(lián)網(wǎng)(該文中提到物聯(lián)網(wǎng)52次)的報告來說，這個數(shù)字少得匪夷所思。

今年人事管理辦公室的數(shù)據(jù)泄露事件已為美國政府敲響警鐘，所以對敏感的數(shù)據(jù)加密應當是下屆政府采納各項議案時的重中之重。然而，看看最近發(fā)生的這些泄密事件，對數(shù)據(jù)加密的缺乏在每個案件中都是使信息系統(tǒng)易損的主要因素，而國家網(wǎng)絡安全協(xié)會在其倡議中閉口不談加密很令人擔憂。

根據(jù)HYPR的觀點，F(xiàn)IDO聯(lián)盟的開源標準和規(guī)范將提供最優(yōu)質(zhì)、最安全的在線身份認證體驗。