O padrão agora vai além dos cartões de identificação físicos para incluir tokens eletrônicos e senhas de uso único
Para garantir que os funcionários federais americanos tenham um conjunto mais amplo de opções modernas para acessar instalações e recursos eletrônicos, o Instituto Nacional de Padrões e Tecnologia (NIST) aumentou o número de tipos aceitáveis de credenciais que as agências federais podem permitir como identidade digital oficial.
O aumento faz parte da atualização mais recente do Federal Information Processing Standard (FIPS) 201, que especifica as credenciais que podem ser usadas por funcionários e contratados federais para acessar sites federais.
A atualização, formalmente intitulada FIPS 201-3: Personal Identity Verification (PIV) of Federal Employees and Contractors, também permite a comprovação e emissão remota de identidade, além de fazê-lo pessoalmente, conforme exigido anteriormente.
“Nós expandimos o conjunto de credenciais que podem ser usadas para obter acesso a instalações federais e também para fazer login em estações de trabalho e outros recursos de TI”, disse Hildegard Ferraiolo, cientista da computação do NIST. “Não se trata mais de cartões PIV.”
O padrão FIPS anterior, versão 201-2, foi lançado em 2013 e especificou credenciais incorporadas em cartões PIV como o principal meio de autenticação, com exceções limitadas para credenciais projetadas para dispositivos móveis que não possuíam leitores de cartão PIV. Milhões de cartões PIV foram emitidos para funcionários federais.
A atualização 201-3, resultado de um ciclo de revisão regular, ainda especifica que os cartões PIV podem ser usados, mas agora oferece opções adicionais. Mantém o padrão alinhado com as políticas federais mais recentes, incluindo o Memorando M-19-17 do Escritório de Administração e Orçamento sobre gerenciamento de identidade, credencial e acesso. Também garante que o padrão reflita as capacidades e necessidades tecnológicas atuais, disse Ferraiolo.
“Tornou-se importante fornecer mais flexibilidade às agências na escolha de credenciais para autenticação”, disse ela. “Nem todos os laptops estão disponíveis com slots de cartão PIV integrados, por exemplo, e muitas vezes há aplicativos baseados em nuvem que não usam a infraestrutura de chave pública fornecida pelos cartões PIV. Para essas situações, precisamos de alternativas.”
As novas opções são um subconjunto de credenciais especificadas no NIST SP 800-63-3 , uma publicação em vários volumes sobre identidade digital. As filiais do governo terão um conjunto mais rico de credenciais multifatoriais para diferentes dispositivos – incluindo, por exemplo, tokens FIDO (Fast ID Online) e senhas de uso único (OTP).
Com o marco de revisão agora concluído, o foco do NIST mudou para fornecer diretrizes adicionais e detalhes de implementação, disse Ferraiolo. O NIST está atualmente no processo de atualização das diretrizes para o conjunto expandido de credenciais PIV na Revisão 1 do NIST SP 800-157. Além disso, para garantir que diferentes credenciais sejam interoperáveis em diferentes agências, um conceito conhecido como “federação”, o NIST fornecerá diretrizes no NIST SP 800-217.
Ferraiolo disse que essas e outras publicações do NIST associadas ao FIPS 201-3 serão atualizadas nos próximos meses.
Personal Identity Verification (PIV) of Federal Employees and Contractors
Para obter mais informações, consulte a atualização completa do FIPS, disponível online.
Fonte: NIST
AET Europe lança SafeSign Identity Client versão 3.7.1.0 para Microsoft, MacOS e Linux
Conheça a programação 2021 do Authenticate Conferences & Virtual Summits – FIDO
EMVCo, FIDO Alliance e W3C formam grupo de interesses sobre segurança dos pagamentos pela Web
AES – Padrão de criptografia avançado: o que é e como funciona
Worldline conquista certificação para novo padrão de pagamento sem contato da Mastercard
Trend Micro produz estudo sobre padrão de segurança digital de carros conectados
