Nem elég jó második faktor az SMS
Ott konzultáljunk, ahol a közösség amúgy is találkozik - mondta a NIST, így az autentikációs irányelveket először GitHubon lehet majd véleményezni. A legfontosabb újdonság, hogy az SMS-ben küldött belépési kódokat nem ajánlja már
Kivezetné az SMS-t az kétfaktoros autentikációból az amerikai szabványügyi hivatal - derül ki a NIST által közzétett új tervezetből. A NIST adja ki azokat a különböző ajánlásokat, amelyeket a különböző szövetségi amerikai kormányhivataloknak és ügynökségeiknek követniük kell, de az egész iparág számára irányelvnek számítanak a szervezet által megfogalmazott feltételek és kritériumok.
Ezért fontos, hogy a NIST közzétette a 800-63-as "Speciális Kiadvány" (Special Publication) új verzióját, pontosabban annak tervezetét. A 800-63 a digitális autentikációt (beléptetést) szabályozza, ennek idei kiadása pedig sok helyen eszközöl majd változást a 2013-ban publikált verzióhoz képest. Az egyik legfontosabb ezek közül a standard SMS-ben kiküldött belépő kód kivezetése lesz, ezt a módszert a NIST már nem tartja eléggé biztonságosnak, helyette alternatív második faktorok bevezetését javasolja a szervezet.
Mentorhatás: tapasztalt szememmel vezetem a kezedet A sikeres IT karrierek többsége mögött ott áll egy erős mentor, szerepének azonban nagyon sokféle árnyalata lehet.
De nem ez az egyetlen változás, az identitásellenőrzés eddig használt négy szintjét például háromra redukálja a tervezet, kivezetve a második szintet, amely eddig a harmadik szint és az első szint kombinációjaként létezett.
GitHubon az egyeztetés
Újdonság, hogy a NIST most úgy döntött, hogy a nyilvános konzultációhoz a GitHub felületét (is) használja, a tervezet dokumentumát ide töltötte fel a szervezet, itt lehet módosítási javaslatokat küldeni a szöveg különböző pontjaihoz. Sajnos a törvény nem ismeri a GitHubot, így ezt követően egy újabb, immár hivatalosan elismert konzultációt kell tartania a NIST-nek, amelyen a különböző érintett szereplőknek is válaszolniuk kell a tervezetre. Emiatt a most közzétett dokumentum nem a "nyilvános tervezet", hanem a "nyilvános előnézet" státuszt kapta, ami puszta formalitás.
És miért pont a GitHub? "Ez nekünk elég egyértelmű választás volt. A GitHub a fejlesztői és szabványosítási közösségek találkozóhelye már évek óta, olyan kollaboratív terület, ahol a szabad szoftverek készülnek. Találónak tűnt, hogy a tervezetet itt bocsássuk vitára, a közösség már itt van és dolgozik együtt." Egy másik szempont pedig az, hogy a GitHub eszközkészlete kimondottan hatékony az ilyen munkához, egyrészt széles körből gyűjthető visszajelzés, másrészt a fejlett verziózás és a többféle visszajelzési módozatok is alkalmassá teszik a nyilvános konzultációra - mondja a szervezet.