มาตรฐานการยืนยันตัวตน NIST SP 800-63 (มีเอกสารย่อยอีก 4 ฉบับ) เปิดรับฟังความเห็นมาตั้งแต่ปีที่แล้ว ตอนนี้กระบวนการรับฟังความเห็นได้จบลงแล้วและเอกสารตัวจริงออกมาให้องค์กรต่างๆ นำไปใช้งานต่อไป
ความเปลี่ยนแปลงสำคัญในเวอร์ชั่นใหม่ ได้แก่
- เพิ่มแนวทางสำหรับการยืนยันตัวตนแบบแสดงตน (in person): แนะนำให้มีการตรวจข้อมูลชีวภาพ เช่น ใบหน้าและลายนิ้วมือ และขณะตรวจเจ้าหน้าที่จะต้องตรวจสอบเสมอว่าไม่มีสิ่งแปลกปลอมบนส่วนของร่างกายที่ใช้ตรวจสอบนั้น และยอมรับการแสดงตนจากระยะไกล เช่นวิดีโอคอล แต่กำหนดให้บุคคลที่แสดงตนต้องแสดงตนอย่างต่อเนื่อง, ฝั่งหน่วยงานต้องมีเจ้าหน้าที่จริงตอบโต้กับผู้ใช้, สถานที่ที่ใช้ยืนยันตัวตนต้องตรวจสอบการดัดแปลงแก้ไขได้ เช่น ตู้ kiosk ที่ติดตั้งในพื้นที่ปลอดภัย
- การยืนยันตัวตนด้วยความรู้ของผู้ใช้ (knowledge-based verification - KBV) ระบุให้ใช้คำถามที่ตัวผู้ใช้เท่านั้นที่รู้ ข้อมูลที่อาจจะหาได้จากสาธารณะหรือแม้แต่มีขายในตลาดมืดก็ห้ามใช้, ผู้ใช้ต้องขอไม่ใช้งาน KBV ได้ ทำให้องค์กรต้องหาทางอื่นในการยืนยันตัวตน, จำกัดเวลา KBV ไว้ไม่เกิน 2 นาที, ไม่ใช้คำถามที่ไม่เคยเปลี่ยนแปลงคำตอบเลย
- จำกัดการยืนยันตัวตนด้วย SMS: SMS และการโทรศัพท์พื้นฐาน (PSTN) ถูกจัดให้เป็นการยืนยันตัวตนแบบ out-of-band (OOB) ในหมวดจำกัดการใช้งาน (RESTRICTED) หน่วยงานที่จะใช้งานต้องเสนอทางเลือกอื่นให้ผู้ใช้เพิ่มเติม, แจ้งเตือนผู้ใช้ว่าการใช้ SMS มีความเสี่ยงและแนะนำทางเลือกอื่น, วางแนวทางการจำกัดความเสี่ยงจากการใช้ SMS ส่วนการทำ OOB ด้วยอีเมลนั้นไม่ได้รับรองโดยเอกสารอีกเลย
นอกจากการเปลี่ยนแปลงตัวมาตรฐานเอง เอกสารในเวอร์ชั่นนี้ยังปรับรูปแบบใหม่ ขยายความจำต่างๆ ให้ชัดเจนขึ้น และแยกส่วนของข้อมูลทั่วไปออกมาทำให้อ่านง่ายขึ้นมาก
ที่มา - NIST
Comments