NIST دومین پیش نویس عمومی دستورالعمل های هویت دیجیتال را برای بررسی نهایی منتشر می کند

Gaithersburg, Md. – وقتی نیاز به اثبات هویت داشته باشیم، ممکن است گواهینامه رانندگی خود را بگیریم – یا شاید زودتر از آنچه بسیاری از ما تصور می کنیم، ممکن است یک اعتبار دیجیتال ذخیره شده در تلفن هوشمند را انتخاب کنیم. مؤسسه ملی استانداردها و فناوری وزارت بازرگانی ایالات متحده (NIST) برای اطمینان از اینکه می توانیم از هر دو روش جدید و آزمایش شده برای اثبات هویت خود به صورت ایمن هنگام دسترسی به خدمات ضروری استفاده کنیم، پیش نویس راهنمای هویت دیجیتال خود را به روز کرده است.

پیش نویس رهنمودهای هویت دیجیتال (نشر ویژه NIST (SP) 800-63 ویرایش 4 و انتشارات همراه آن SPs 800-63A، 800-63B و 800-63 درجه سانتیگراد) به‌روزرسانی شده‌اند تا بازخورد قوی‌ای را که NIST در سال 2023 به عنوان بخشی از یک دوره نظرات چهار ماهه و یک دوره یک ساله تعامل خارجی دریافت کرد، منعکس کند.

جیسون میلر، معاون مدیریت در دفتر مدیریت و بودجه گفت: «پیش‌نویس بازنگری امروز NIST تعهد دولت بایدن هریس به تقویت کنترل‌های ضد تقلب و در عین حال تضمین دسترسی گسترده و عادلانه به خدمات دیجیتال را نشان می‌دهد. NIST با ترکیب بازخورد از صنعت خصوصی، آژانس‌های فدرال، گروه‌های مدافع حریم خصوصی و حقوق مدنی و اعضای عمومی، پیش‌نویس دستورالعمل‌های قوی و منصفانه‌ای را تهیه کرده است که در صورت نهایی شدن، به آژانس‌های فدرال کمک می‌کند تا در مقابل تهدیدات در حال تحول بهتر دفاع کنند و در عین حال مزایای حیاتی را ارائه کنند. و خدمات به مردم آمریکا، به ویژه آنهایی که بیشتر به آنها نیاز دارند.”

گفت: «همه باید بتوانند به طور قانونی به خدمات دولتی دسترسی داشته باشند، صرف نظر از روش‌های شناسایی انتخاب شده‌شان». معاون وزیر بازرگانی برای استانداردها و فناوری و مدیر NIST Laurie E. Locascio. این دستورالعمل‌های بهبودیافته برای کمک به سازمان‌ها از هر نوع در مدیریت ریسک و جلوگیری از تقلب و در عین حال حصول اطمینان از دسترسی قانونی به خدمات دیجیتال برای همه در نظر گرفته شده است.»

مجموعه اسناد، دومین پیش نویس عمومی دستورالعمل های به روز شده است، که ابتدا NIST بود در دسامبر 2022 اعلام شد. NIST به دنبال اظهار نظر عمومی در مورد این تکرار جدید است که هدف آن ایجاد دسترسی ایمن و ساده به خدمات آنلاین است، صرف نظر از ابزاری که شخص برای اثبات هویت خود انتخاب می کند.

“رایان گالوزو، سرپرست برنامه هویت دیجیتال NIST، یکی از نویسندگان این نشریه، گفت: ما در تلاش هستیم تا مطمئن شویم که مسیرهای زیادی را برای فعال کردن دسترسی آنلاین امن به خدمات حفظ می کنیم. ما می‌خواهیم استفاده از مسیرهای دیجیتال مدرن را باز کنیم و در عین حال امکان استفاده از روش‌های فیزیکی و دستی را در صورت لزوم فراهم کنیم.»

اثبات هویت اغلب یک مرحله ضروری برای دسترسی است خدمات از آژانس های فدرال مدیریت هویت برای این آژانس ها و سایر سازمان ها مهم است، به ویژه به این دلیل ادعاهای تقلبی می تواند باشد بسیار پرهزینه هم برای سازمان ها و هم برای افراد، اما همه از روش های یکسانی برای نشان دادن هویت خود به صورت حضوری یا آنلاین استفاده نمی کنند. گالوزو گفت که دفاع در برابر تقلب و در عین حال حفظ دسترسی برای تعداد زیادی از کاربران بالقوه، دو هدفی است که NIST در تلاش برای ایجاد تعادل با به‌روزرسانی است.

NIST نزدیک به 4000 نظر از 140 سازمان و فرد در مورد نسخه 2022 پیش نویس دریافت کرد. بسیاری از این نظرات بر گسترش راهنمایی در مورد دو فناوری متمرکز بودند که به سرعت در حال رشد هستند: تأیید کننده های همگام سازی و اعتبار دیجیتال ارائه شده از طریق کیف پول های کنترل شده توسط کاربر. احراز هویت قابل همگام سازی، که اغلب نامیده می شود کلیدهای عبور، امنیت بیشتری نسبت به گذرواژه ها ارائه می دهد و در عین حال به کاربر اجازه می دهد یک کلید عبور واحد را در چندین دستگاه ذخیره کند. کیف پول های کنترل شده توسط کاربر، که چندین اصلی شرکت ها در حال حاضر ارائه می شود، می تواند به طور ایمن اطلاعات پرداخت را همراه با موارد دیگری مانند بلیط هواپیما و نسخه های دیجیتال اسناد شناسایی فیزیکی مانند گواهینامه رانندگی ذخیره کند.

گالوزو گفت که راهنمایی گسترده در مورد کلیدهای عبور در حجم SP 800-63B یافت می شود، در حالی که موارد اضافه شده در مورد کیف پول های دیجیتال در حجم SP 800-63C هستند.

او گفت: «در پاسخ به نظراتی که در مورد اولین پیش نویس دریافت کردیم، جزئیات بیشتری در مورد کیف پول اضافه کردیم. ما راهنمایی هایی در مورد نحوه اعتماد به خود کیف پول و نحوه اعتماد به محتوای آن اضافه کردیم. اطلاعات بیشتری در مورد نحوه ارائه ایمن اطلاعات ذخیره شده در کیف پول و همچنین نحوه اعتماد طرف مقابل به آن وجود دارد.”

با این حال، همه احساس راحتی نمی‌کنند یا نمی‌توانند از رمزهای عبور دیجیتال یا کیف پول استفاده کنند، و همه گوشی هوشمند ندارند. گالوزو گفت که پیش نویس به روز شده همچنین دستورالعمل هایی را در مورد اینکه چگونه آژانس ها می توانند دسترسی به خدمات را برای افرادی که از اشکال سنتی تر شناسایی استفاده می کنند، حفظ کنند، گسترش می دهد. این شامل جزئیات در مورد اثبات هویت حضوری و مکانیسم‌هایی برای رسیدگی به استثناها می‌شود. همچنین شامل مفهوم “مرجع متقاضی” است. – به معنای فردی مورد اعتماد که می تواند برای شخصی که به مدارک شناسایی دسترسی ندارد تضمین کند، از جمله شخصی که ممکن است واجد شرایط شواهد سنتی نباشد یا کسی که شواهدش گم شده یا از بین رفته باشد.

نویسندگان همچنین به دنبال نظرات تیم NIST بودند تشخیص و تحلیل چهره کارشناسان برای اصلاح دستورالعمل استفاده از بیومتریک برای شناسایی یک فرد از طریق تصویر چهره. گالوزو گفت که روش‌های تأیید هویت مبتنی بر بیومتریک در راهنما حفظ شده‌اند، اما برای این مسیر برای دستیابی به هدف NIST در برقراری تعادل بین امنیت و دسترسی، سیستم‌هایی که از این فناوری‌ها استفاده می‌کنند باید با دقت عمل کنند و به الزامات حفظ حریم خصوصی مندرج در راهنما پایبند باشند. و شامل فرآیندهای دستی برای رسیدگی به خطاها یا چالش هایی است که کاربران ممکن است با آن مواجه شوند.

او گفت: «ما همچنان به تقویت دستورالعمل‌ها ادامه می‌دهیم تا بر اهمیت ارائه جایگزین‌هایی برای تشخیص چهره و بیومتریک، به‌ویژه برای سیستم‌هایی که از خدمات عمومی پشتیبانی می‌کنند، تأکید کنیم».

NIST نظرات عمومی در مورد مجموعه انتشارات را می پذیرد حفاری-نظرات (در) nist.gov (dig-comments(at)nist(dot)gov) تا 7 اکتبر 2024. دستورالعمل های کامل ارسال در یادداشت به بازبینان موجود در هر جلد گنجانده شده است. NIST همچنین در حال برنامه‌ریزی وبیناری درباره به‌روزرسانی‌های دستورالعمل برای 28 آگوست است. ثبت‌نام برای وبینار الزامی است.