新闻中心

NEWS CENTER

ID政策论坛回顾:2023身份、认证和未来之路

发布时间:2023-02-24 07:00:32|浏览次数:758

2023年,随着立法者和监管机构都在努力保护个人隐私,改善服务获取和数字经济,身份格局将发生巨大变化。实现新身份格局的主要基础是强身份认证。


1月25日,更好身份联盟(the Better Identity Coalition、FIDO联盟和身份反盗窃中心(ITRC)在华盛顿特区联合主办了身份、认证和未来之路网络安全政策论坛,讨论身份和认证的机遇与挑战。


全天活动包括数据泄露现状的会议、政府领导人的演讲、FIDO PassKey(密钥通行证)现状和2023年及未来改善身份的途径的小组讨论。政府和行业专家反复提及的一个关键主题是身份格局的复杂性,以及需要更多的协作和可互操作标准。


Venable LLP技术业务战略董事总经理兼更好身份联盟the Better Identity Coalition的协调员Jeremy Grant在为活动致开幕词时表示:“我们在解决一系列问题方面取得进展的能力很大程度上是从一个更大的问题开始的,即认识到身份是关键的基础设施,需要这样对待。”


“在我们开始思考身份之前,我们将继续努力应对这一领域的挑战。”


身份风险持续增长


在开幕主题会议上,金融犯罪执法网络(FinCEN)代理副主任Jimmy Kirby概述了该机构近年来遇到的与身份相关的问题。


Kirby说,近年来,金融服务越来越多地向线上环境迁移。这种趋势为身份信息泄漏、滥用创造了新的机会。因此,FinCEN一直在思考如何利用金融机构发送给它的数据来遏制滥用。他指出,从2021年到2022年,提交给FinCEN的身份相关可疑活动报告(SAR)增长了15%以上。


根据Kirby的说法,关于客户身份识别过程中每个阶段的威胁的报告不断增加,从身份核验、注册到认证阶段,包括使用泄露的口令、冒充和人工智能进行非法融资。


虽然存在挑战,但也是机会。


“我们发现数字身份有机会解决客户登录、账户登录、交易监控以及调查中的客户身份问题,”Kirby说,“数字身份框架有许多特点,综合起来就有可能解决各种威胁,并促进各类金融服务的创新。”


FinCEN并不是唯一网络犯罪激增的组织。ITRC(身份反盗窃中心)首席运营官James Lee介绍了该组织的年度数据泄露报告。该报告最突出的亮点之一是,这一年共有1802起数据泄露事件,影响了超过4.22亿名受害者。


Lee评论说,一个普遍的趋势是供应链攻击成为首选攻击载体,而不仅仅是恶意软件的增加。他还强烈抱怨了许多数据泄露披露中缺乏必要信息。Lee表示,66%的数据泄露不包括导致泄露的攻击的根本原因、受害者的详细信息。


在题为“数据泄露真的很糟糕”的小组会议上,国家消费者联盟(NCL)公共政策、电信和欺诈副总裁John Breyault对口令使用现状表示担忧,这不可避免地成为许多数据泄露的根本原因。


Breyault说:“我在NCL从事消费者教育工作已经15年了,似乎没有一天不在提醒消费者不要在多个账户使用同一个口令。”


美国政府关于安全数字身份的计划


在午餐时间的主题演讲中,美国国会议员Bill Foster(IL-11)概述了他对国会为美国引入安全数字身份政策所作努力的观点。


Foster 在演讲中一再强调,安全数字身份需要美国国会两党共同努力,因为这是一个影响所有美国人的问题。虽然他指出,美国政府拥有用户身份数据库可能会引起一些担忧,但他认为,对大多数人来说,对他们隐私的真正威胁更多来自于有人在网上冒充他们。


缺乏安全的数字身份可能也是美国政府在新冠疫情发放福利期间遭遇大量欺诈的一个原因。相反,没有一个安全的数字身份方案的这个事实可能使一些人更难获得福利。总体而言,Foster 表示,他希望国会能够做出一些努力。


“这也可以委婉地提醒公民,政府为他们的生活做了一些好事。”Foster 说,“我们可以做得更好的事情之一是防止身份欺诈,因为这对每年数以千万计的美国人的生活来说是一个真正的痛苦来源。”


为什么FIDO对更好的身份认证至关重要


安全身份的一个关键要素是强身份认证。


在主题会议上,FIDO联盟执行董事兼CMO Andrew Shikiar概述了FIDO在通过多种努力帮助改善当今身份认证状况方面发挥的作用。他还预测,FIDO在未来一年将变得越来越重要。


“普通群众会开始理解身份认证意味着什么,也会开始理解数字身份真正意味着什么。”Shikiar说,“这是非常好的情况,因为人们越是理解身份意味着什么,以及身份的重要性,他们就会采取更多的措施来保护自己的身份。”


Shikiar概述的FIDO帮助改善身份的努力包括:

1. 评估生物特征。这是一个生物特征识别认证计划,FIDO帮助评估对身份认证至关重要的不同生物特征组件的指标。

2. 远程身份核验。这包括用于身份证信息的实名(DocAuth)认证,以及用于实时性和自拍匹配的人脸认证。


Shikiar还详细讨论了PassKey(密钥通行证),这为基于FIDO的强身份认证带来了更多的可用性。


“FIDO联盟的使命是减少行业对口令的依赖。”Shikiar说,“简而言之,对于绝大多数消费者用例来说,密钥会让口令失效。”


PassKey身份认证的未来


在关于PassKey的小组会议上,小组成员讨论了PassKey将带来的好处和机会。


微软身份标准架构师Tim Cappalli详细介绍了PassKey的功能,包括获取FIDO凭证并以类似于操作口令管理器的方法来使用它的能力。PassKey还可以与云提供商同步,在跨平台供应商之间互操作,以提高总体可用性。


小组成员强调,PassKey的目的是让用户更容易从强身份认证中受益。谷歌身份和安全产品经理Christiaan Brand解释说,谷歌多年来一直支持FIDO,包括支持基于安全硬件的方法。在他看来,PassKey代表了使具有不可篡改凭据的强身份认证成为谷歌用户现实所需的可用性。


可用性也是亚马逊身份服务首席产品经理Paul Grassi强调的主题,因为在他看来,过去为强身份认证的采用所做的努力并不完全成功。


“说起来很让人心碎,但消费者没有采用安全密钥,他们没有采用Google 认证器,也没有采用双因素。”Grassi说,“我们很高兴看到PassKey成为替代品,并看到采用率飙升,在增加安全性的同时提升用户体验,我认为这是任何安全从业者的目标。”


数字身份需要更多关注边缘群体和多样性


在活动期间的多次会议上,讨论了与数字身份相关的公平、偏见和多样性。


Socure副总裁兼公共部门战略负责人Jordan Burris评论道,在他看来,偏见很多时候都终结于现实,即采取的身份认证方法正在解决大多数人的问题,因此,只有少数人或边缘人被排除在这个系统之外。


美国劳工部失业保险现代化办公室政策副主任Andrew Stettner认为,他的机构和整个政府都非常重视身份平等。


Stettner表示:“我们正在以一种更加自觉的方式看待公平,这是未来身份认证的一个非常关键的因素。”