NIST 指南要求使用生物识别时需要第二个认证因素

1 月 30 日，美国国家标准与技术研究所（NIST）发布了新的数字身份指南的公开草案。新指南被称为"过去修订版的重大更新"，反映了自 2013 年 8 月电子认证指南发布以来，不断发展的业界创新和更多新的威胁。

修订指南的动机之一是 2014 年 10 月奥巴马总统发布的行政命令，要求"…在适当情况下，所有通过数字应用向公民提供个人数据访问的机构都需要使用多重认证和有效的身份证明程序。"

该指南描述了可接受的多重认证（MFA）的用法，包括你知道的东西（例如密码）、你拥有的东西（例如加密密钥）和 / 或你是什么（生物识别数据）的组合。此外，当使用生物识别数据作为一个认证因素时，它必须与你拥有的东西一起使用。

在对以前的 NIST 指南征求反馈时，Mnemonic 安全公司总裁 Hitoshi Kokumai 提供了关于安全使用生物识别的建议。新的要求不允许回退到密码，他对此表示理解。

Hitoshi Kokumai：“对生物识别产品的用户，如果他们具有安全意识，则建议在提供密码登录作为后备手段时关闭生物识别。只使用密码的认证是安全的。在一些情况下，他们愿意用‘低于只使用密码’的安全性来换取更好的便利性，那么他们可以在激活后备密码的同时继续使用生物识别。”

该指南的公众评论期截止于 2017 年 3 月 31 日。NIST 正在使用 GitHub repo 进行编辑协作和公众评论。该指南的全文和评论说明可在 https://pages.nist.gov/800-63-3/ 上查到。

查看英文原文： NIST Guidelines Require Second Auth Factor When Using Biometrics

感谢刘志勇对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们。