:

Szerző: Gálffy Csaba

2016. július 26. 18:31

Nem elég jó második faktor az SMS

Ott konzultáljunk, ahol a közösség amúgy is találkozik - mondta a NIST, így az autentikációs irányelveket először GitHubon lehet majd véleményezni. A legfontosabb újdonság, hogy az SMS-ben küldött belépési kódokat nem ajánlja már

Kivezetné az SMS-t az kétfaktoros autentikációból az amerikai szabványügyi hivatal - derül ki a NIST által közzétett új tervezetből. A NIST adja ki azokat a különböző ajánlásokat, amelyeket a különböző szövetségi amerikai kormányhivataloknak és ügynökségeiknek követniük kell, de az egész iparág számára irányelvnek számítanak a szervezet által megfogalmazott feltételek és kritériumok.

Ezért fontos, hogy a NIST közzétette a 800-63-as "Speciális Kiadvány" (Special Publication) új verzióját, pontosabban annak tervezetét. A 800-63 a digitális autentikációt (beléptetést) szabályozza, ennek idei kiadása pedig sok helyen eszközöl majd változást a 2013-ban publikált verzióhoz képest. Az egyik legfontosabb ezek közül a standard SMS-ben kiküldött belépő kód kivezetése lesz, ezt a módszert a NIST már nem tartja eléggé biztonságosnak, helyette alternatív második faktorok bevezetését javasolja a szervezet.

Ollé, lesz SYSADMINDAY!

Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.

Ollé, lesz SYSADMINDAY! Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.

De nem ez az egyetlen változás, az identitásellenőrzés eddig használt négy szintjét például háromra redukálja a tervezet, kivezetve a második szintet, amely eddig a harmadik szint és az első szint kombinációjaként létezett.

GitHubon az egyeztetés

Újdonság, hogy a NIST most úgy döntött, hogy a nyilvános konzultációhoz a GitHub felületét (is) használja, a tervezet dokumentumát ide töltötte fel a szervezet, itt lehet módosítási javaslatokat küldeni a szöveg különböző pontjaihoz. Sajnos a törvény nem ismeri a GitHubot, így ezt követően egy újabb, immár hivatalosan elismert konzultációt kell tartania a NIST-nek, amelyen a különböző érintett szereplőknek is válaszolniuk kell a tervezetre. Emiatt a most közzétett dokumentum nem a "nyilvános tervezet", hanem a "nyilvános előnézet" státuszt kapta, ami puszta formalitás.

És miért pont a GitHub? "Ez nekünk elég egyértelmű választás volt. A GitHub a fejlesztői és szabványosítási közösségek találkozóhelye már évek óta, olyan kollaboratív terület, ahol a szabad szoftverek készülnek. Találónak tűnt, hogy a tervezetet itt bocsássuk vitára, a közösség már itt van és dolgozik együtt." Egy másik szempont pedig az, hogy a GitHub eszközkészlete kimondottan hatékony az ilyen munkához, egyrészt széles körből gyűjthető visszajelzés, másrészt a fejlett verziózás és a többféle visszajelzési módozatok is alkalmassá teszik a nyilvános konzultációra - mondja a szervezet.

Derítsd ki, hol tartasz a felhőérettségben a Devertix Cloud Readiness felmérésével, mellyel átfogó képet kaphatsz vállalatod felkészültségéről. Töltsd ki 3 perces, ingyenes felmérőnket!

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 1. 16:59

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.