От паролей к цифровым двойникам: NIST открывает ящик Пандоры

Безопасный VPN через Телеграмм – обойди все блокировки:

SP 800-63-4 знаменует новую эру стандартов цифровой идентификации.

Национальный институт стандартов и технологий США (NIST) объявил о публикации второго проекта четвертой редакции руководства по цифровой идентификации (Special Publication 800-63) из четырех томов.

Документ NIST.SP.800-63-4.2 представляет собой комплексное руководство по процессам и техническим требованиям для обеспечения различных уровней доверия в управлении цифровой идентичностью. Кроме того, новая редакция уделяет особое внимание аспектам, связанным с повышением конфиденциальности, справедливости и удобства использования решений и технологий в области цифровой идентификации.

Первоначальный проект четвертой редакции SP 800-63 был выпущен в декабре 2022 года. За период обсуждения авторы получили почти 4000 комментариев от различных организаций и частных лиц, которые помогли значительно усовершенствовать документ, обеспечив соответствие требованиям безопасности, конфиденциальности и справедливости в цифровых системах идентификации.

Купи VPN в России за минуту через наш Телеграмм-бот:

На основе полученной обратной связи были внесены значительные изменения во все тома руководства. В числе ключевых изменений – обновление текста и контекста управления рисками, включая добавление этапа определения и анализа онлайн-сервиса, который организация намеревается защищать с помощью системы идентификации. Также расширены требования по управлению мошенничеством, что позволяет лучше учитывать вызовы, возникающие при реализации проверок. Введена новая структура для управления подтверждением личности, основанная на типах предоставления доказательств (дистанционное, с личным присутствием и т.д.).

NIST также выделил несколько ключевых вопросов, по которым ожидаются комментарии и рекомендации от рецензентов:

  1. Управление рисками и модели идентичности:
    • Описание модели «кошелек с контролем пользователя» должно быть достаточно подробным, чтобы позволить организациям понять, как она соотносится с реальными примерами таких решений, как мобильные водительские удостоверения и проверяемые учетные данные.
    • Обновленный процесс управления рисками должен быть достаточно четко определен, чтобы поддерживать эффективное и повторяемое внедрение решений для защиты онлайн-сервисов и систем.
  2. Подтверждение личности и регистрация:
    • Структура требований по типам подтверждения личности должна быть достаточно ясной. Важно, чтобы различные типы подтверждения были подробно описаны.
    • Дополнительные требования к программам по борьбе с мошенничеством, которые могут стать общей базой для всех поставщиков удостоверяющих услуг и других организаций, должны быть введены по мере необходимости.
    • Требования к проверке подлинности и валидности доказательств идентичности, а также метрики их производительности, должны быть реалистичными и достижимыми с использованием существующих технологий.
  3. Аутентификация и управление аутентификаторами:
    • Требования к синхронизируемым аутентификаторам должны быть четко определены, чтобы обеспечить разумное принятие решений на основе рисков для публичного и корпоративного использования.
    • Необходимо рассмотреть возможность добавления дополнительных контрольных мер. Важно также учесть специфические рекомендации или соображения по реализации.
  4. Федерация и аттестации:
    • Концепция «кошельков с контролем пользователя» и «наборов атрибутов» должна быть достаточно ясно описана, чтобы поддерживать их реальное внедрение. Следует рассмотреть возможность добавления дополнительных требований или соображений для улучшения безопасности, удобства использования и конфиденциальности этих технологий.
  5. Общие вопросы:
    • Дополнительные рекомендации по внедрению, архитектурные схемы, метрики или другие вспомогательные ресурсы могли бы ускорить принятие и внедрение этих и будущих версий руководства по цифровой идентификации.
    • Следует определить направления прикладных исследований и измерений, которые могут оказать наибольшее влияние на рынок идентификации и способствовать развитию этих рекомендаций.
  Пользователи хотят скрыть статистику каналов: что скажет Telegram?

NIST приглашает всех заинтересованных сторон принять участие в обсуждении проекта и представить свои комментарии до 7 октября 2024 года.

Четвертая редакция руководства SP 800-63 направлена на адаптацию к изменяющемуся цифровому ландшафту и предоставляет организациям комплексные рекомендации для обеспечения безопасности, конфиденциальности и доступности цифровых систем идентификации. Внимание к этим аспектам особенно важно в условиях растущей зависимости от онлайн-сервисов и возрастающих угроз в цифровой среде.

Искусственный интеллект уже умнее вас. Как не стать рабом машин?

Узнайте у нас!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.

Добавить комментарий

Вернуться наверх