1月30日，美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）發(fā)布了新的數(shù)字身份指南的公開草案。新指南被稱為"過去修訂版的重大更新"，反映了自2013年8月電子認(rèn)證指南發(fā)布以來，不斷發(fā)展的業(yè)界創(chuàng)新和更多新的威脅。

修訂指南的動機(jī)之一是2014年10月奧巴馬總統(tǒng)發(fā)布的行政命令，要求"......在適當(dāng)情況下，所有通過數(shù)字應(yīng)用向公民提供個人數(shù)據(jù)訪問的機(jī)構(gòu)都需要使用多重認(rèn)證和有效的身份證明程序。"

該指南描述了可接受的多重認(rèn)證（MFA）的用法，包括你知道的東西（例如密碼）、你擁有的東西（例如加密密鑰）和/或你是什么（生物識別數(shù)據(jù)）的組合。此外，當(dāng)使用生物識別數(shù)據(jù)作為一個認(rèn)證因素時，它必須與你擁有的東西一起使用。

在對以前的NIST指南征求反饋時，Mnemonic安全公司總裁Hitoshi Kokumai提供了關(guān)于安全使用生物識別的建議。新的要求不允許回退到密碼，他對此表示理解。

Hitoshi Kokumai："對生物識別產(chǎn)品的用戶，如果他們具有安全意識，則建議在提供密碼登錄作為后備手段時關(guān)閉生物識別。只使用密碼的認(rèn)證是安全的。在一些情況下，他們愿意用‘低于只使用密碼’的安全性來換取更好的便利性，那么他們可以在激活后備密碼的同時繼續(xù)使用生物識別。"

該指南的公眾評論期截止于2017年3月31日。NIST正在使用GitHub repo進(jìn)行編輯協(xié)作和公眾評論。該指南的全文和評論說明可在https://pages.nist.gov/800-63-3/上查到。

查看英文原文： NIST Guidelines Require Second Auth Factor When Using Biometrics