E安全6月24日讯 美国国家标准与技术研究所（NIST）的联邦科学家宣布已经完成了《数字身份指南》新版草案，《NIST特别出版物800-63》，其中淘汰了“定期修改密码”等过时的要求，引入生物特征、Keystick（用游戏手柄或操纵杆替代键盘和鼠标控制电脑）或其它双因素认证元素。

NIST高级标准与技术顾问保罗·格拉西在博文中表示，《NIST特别出版物800-63》是指南的第三次修订版，经过超过一年的公众意见征询程序最终得以完成。

他表示，过去一年，超过7.4万名唯一访客在NIST网站查看了该修订版草案，并提交了超过1.4万条意见。如果利益相关者不参与其中安全问题便无法全面囊括。这是NIST首次使用开源代码共享和开发网站GitHub公开征询意见。格拉西表示，使用GitHub取得了巨大成功。

格拉西指出，自2013年发布上一版指南以来，联邦机构和私有部门市场的数字身份发生了巨大变化。因此，指南去除了“保证等级”（LOA）的概念（身份验证和登录验证程序的安全衡量标准）。相反，新数字身份程序分为三个阶段，每个阶段的等级取决于需要实现的安全程度：

• 身份保证等级（IAL）：身份证明程序，以及将验证器与（一名或多名）和特定用户数据进行绑定。

• 验证器保证等级（AAL）：衡量认证过程的安全，即用户如何向系统证明身份。

• 联邦保证等级（FAL）：联邦环境中使用的认定安全等级，其中，几个系统依赖一个身份验证程序。

格拉西指出，根据以上三个阶段，SP 800-63分为四部分，未来还会新增（但取决于数字身份变化）：

• SP 800-63-3 《数字身份指南》，主指南，包含符合行政管理和预算办公室（OMB）指南的风险管理规定。

• SP 800-63A《注册与身份证明》

• SP 800-63B 《验证与生命周期管理》

• SP 800-63C《联合与断言》（注：联合是指允许在联网系统传输验证和用户归属信息的过程；断言是指身份提供商向相关各方提供的用户信息相关陈述。）