NIST เปิดรับความเห็นร่างเอกสาร NIST SP-800-63B มาตรฐานการยืนยันตัวตนที่เคยอัพเดตไปเมื่อปี 2017 โดยรอบนี้มีจุดสำคัญคือการเพิ่มมาตรฐานความปลอดภัยของ Passkey ที่ใช้ล็อกอินโดยไม่ต้องการรหัสผ่าน และยังสามารถซิงก์ข้ามอุปกรณ์ได้

เอกสารเรียกการยืนยันตัวตนแบบนี้ว่า Syncable Authenticator พร้อมกำหนดแนวทางการพัฒนาว่าต้องใช้กระบวนการเข้ารหัสลับที่ได้รับการรับรอง, เก็บกุญแจลับในรูปแบบที่เข้ารหัสเสมอ, แม้จะซิงก์ผ่านคลาวด์ก็ต้องอ่านค่าได้โดยผู้ใช้เท่านั้น, กระบวนการเข้าถึงกุญแจต้องยืนยันตัวตนผู้ใช้ในระดับ AAL2 ขึ้นไป, และระบบต้องมีตัวเลือกห้ามซิงก์ข้ามอุปกรณ์ (non-exportability) ซึ่งจำเป็นสำหรับการยืนยันตัวตนระดับ AAL3

ตัว authenticator ตามมาตรฐานนี้ต้องมีฟีเจอร์ ยืนยันว่าผูใช้ยังอยู่ (user present) เช่นการแตะปุ่มที่กุญแจ USB, ยืนยันตัวตนผู้ใช้แล้ว (user verified) เช่น การตรวจลายนิ้วมือก่อนส่งข้อความยืนยัน, สถานะกุญแจลับว่าสำรองค่าไปยังอุปกรณ์อื่นได้หรือไม่ (backup eligible), และสถานะว่ากุญแจถูกสำรองไปหรือยัง

เอกสารแนะนำว่าแอปพลิเคชั่นที่ให้บริการสาธารณะไม่ควรห้ามใช้ฟีเจอร์ซิงก์กุญแจข้ามเครื่อง เพราะจะทำให้ผู้ใช้หันไปใช้ตัวเลือกอื่นที่ปลอดภัยน้อยกว่า เช่น OTP ผ่านโทรศัพท์

เอกสารรับฟังความคิดเห็นถึงวันที่ 7 ตุลาคมนี้

ที่มา - NIST