[美国下一届政府网2021年12月23日报道] 拜登政府正在采用一种源自行业的密码学标准，该标准有望使密码成为过去。

联邦首席信息安全官克里斯·德鲁沙（Chris DeRusha）澄清了该标准是否适合政府使用的一些挥之不去的不确定性，因为联邦机构正在努力实施一项行政命令，该命令要求基于个人用户身份的有效性与建立的新全面防御 “零信任”安全概念围绕组织的内部网络。

5月的行政命令主要是为了回应去年联邦IT管理公司SolarWinds的违规行为，该命令强调了对密码的依赖如何为对手提供现成的攻击面。最近，美国国家安全局警告说，虚拟专用网络的漏洞，主要出现在传统的外围防御安全模型中为转向零信任创造了更大的紧迫性。

对于已经在民用方面使用个人身份验证 (PIV) 卡或在军用方面使用通用访问卡 (CAC) 的人来说，有关解决方案听起来很熟悉。这些安全功能通常在物理设备中包含一个加密密钥，网络钓鱼者无法像处理密码或回答安全问题那样从毫无戒心的员工那里提取密钥。

这两种协议都依赖于公钥加密。呼叫和响应过程通过将用户拥有的密钥与唯一绑定到设备的密钥（例如政府发行的卡、USB记忆棒、使用近场通信技术的那些或移动电话）进行匹配来验证用户的身份，并由授予对第二台设备（例如台式计算机或笔记本电脑）上的请求实体的访问权限的实体。行业主导的协议还促进了指纹等生物识别身份验证器的使用。

由组成快速身份在线联盟的一大群主要公司为该流程建立的第二版开放标准的本质区别是，它要求身份验证设备的管理员直接向身份验证设备注册他们的身份信息。他们试图访问的Web服务的提供者，而不是一个集中的权威。

这引发了如围绕端到端加密的棘手问题，也是多年来一直在政府和行业领导者之间制造局势紧张的原因。

国防部身份凭证和访问管理部门负责人塞拉斯·卡尔霍恩说，“既然我们拥有所有身份，并且试图从根本上将它们全部集中起来，是否应该在一个中心位置完成，然后让终端决定谁可以访问什么，”。 “你知道，这确实是我们现在试图分析的问题集。”。

9月16日，卡尔霍恩在高级技术学术研究中心举办的网络研讨会上发表了讲话，该研讨会讨论了政府对 FIDO 系统的探索。他提出了集中化的理由，并指出需要在密钥需要失效的情况下有效跟踪和更新设备的状态。

卡尔霍恩说，例如，CAC系统使用的公钥基础设施或PKI由国家安全局、国防信息系统局和国防人力数据中心共同管理。

“CAC丢失或被盗，或被滥用，或被撤销，然后这个撤销信息可以分发给国防部网络内的所有国防部依赖方，”他说。 “但据我所知，对于非PKI多因素身份验证，这种集中式基础设施都不存在。”

当被问及为什么指导各机构实施联邦政策的国家标准与技术研究所（National Institute of Standards and Technology）为何没有对 FIDO 友好设备的供应商 Yubico公共部门负责时，卡尔霍恩说，这是一个显著的缺点。

鉴于更安全的开放标准，其他扩展和采用问题也抑制了完全取消讨厌的密码的前景。但就目前而言，政府致力于采用基于网络的协议作为第二种身份验证形式。

管理和预算办公室于今年秋天发布的执行行政命令《零信任授权的政策草案》特别强调了这种第二因素身份验证对政府公民服务的重要性。

“为了平衡安全性和可用性，面向公众的政府系统需要为用户提供更多的身份验证选项，”《草案》写道。 “为此，支持 MFA 的面向公众的机构系统必须为用户提供使用防钓鱼身份验证的选项。由于大多数公众没有 PIV 或 CAC 卡，因此机构必须通过支持基于 Web 身份验证的方法（例如安全密钥）来满足这一要求。”

《草案》还呼吁通过单一登录为尽可能多的政府提供这种安全访问。这可能会促使更多机构使用 Login.gov，政府服务的用户已经可以使用 FIDO 密钥安全地访问多个政府网站。

但 FIDO2 的支持者表达了担忧，即 NIST 在确定 OMB 表示现在需要防止网络钓鱼攻击的“验证者防假冒”机制时没有按名称提及该标准。

根据上次于 8 月更新的路线图，NIST 预计将在 2021 年秋季和 2022 年春季之间的某个时间发布有关该问题的最新指南版本——特别出版物 800-63-4。该机构没有回应置评请求。

“身份是美国政府零信任战略的关键支柱，其中一个重要组成部分是确保联邦机构使用强大的多因素身份验证来防御网络钓鱼，这是最常见的企业威胁媒介之一，”他告诉 Nextgov。“为了始终如一地实现这一目标，我们预计联邦机构需要通过支持FIDO2和Web身份验证标准的设备来补充他们对PIV的使用，同时逐步淘汰对现实世界网络钓鱼活动提供较少保护的较弱方法。”

随着机构制定计划以遵守OMB的指示，谷歌于2014年在其整个企业中引入并实施为“BeyondCorp”的 FIDO系统也给负责塑造其内部流程的安全专业人员留下了深刻的印象。

FIDO 系统在网络安全和基础设施安全局的新网络安全咨询委员会中也具有吸引力。网络安全记者 妮可·珀罗斯和斯坦福互联网观察站负责人、前 Facebook 安全负责人亚历克斯·斯塔莫斯现在与前CISA董事克里斯托弗·克雷布斯一起经营一家咨询公司，在本月早些时候的委员会第一次会议上，他们都支持更普遍地使用FIDO加密密钥。

9 月16 日ATARC网络研讨会上的行业和政府小组成员表示，PIV和CAC 发卡机构的瓶颈，以及员工在远程工作时越来越依赖的移动设备与卡的不兼容是机构开始试点的一些原因FIDO2 可以填补防钓鱼MFA的空白。

“FIDO2 将在两个月内进入陆军，”陆军企业信息系统项目执行办公室负责身份访问管理的技术总监兼项目官约翰·普雷茨 (John Pretz) 说。 “我们现在正在尝试实施它，每个人都在试图弄清楚如何处理MFA的不同层，”他说，并补充说陆军已经建立了一个身份凭证访问管理门户来管理各种身份验证设备供军事人员和承包商使用。早在 4 月份，陆军就宣布了将FIDO密钥作为替代身份验证器的实施计划。

“建立一个收购工具以购买大部分这些代币的举措，这也是所缺少的，”他说。 “因为如果我们谈论的是企业，那么当涉及到这些代币时，我们将如何制定企业住宿的成本模型？这就是现在出现很多问题的地方。”（国家工业信息安全发展研究中心 张昇）