Nem elég jó második faktor az SMS
Ott konzultáljunk, ahol a közösség amúgy is találkozik - mondta a NIST, így az autentikációs irányelveket először GitHubon lehet majd véleményezni. A legfontosabb újdonság, hogy az SMS-ben küldött belépési kódokat nem ajánlja már
Kivezetné az SMS-t az kétfaktoros autentikációból az amerikai szabványügyi hivatal - derül ki a NIST által közzétett új tervezetből. A NIST adja ki azokat a különböző ajánlásokat, amelyeket a különböző szövetségi amerikai kormányhivataloknak és ügynökségeiknek követniük kell, de az egész iparág számára irányelvnek számítanak a szervezet által megfogalmazott feltételek és kritériumok.
Ezért fontos, hogy a NIST közzétette a 800-63-as "Speciális Kiadvány" (Special Publication) új verzióját, pontosabban annak tervezetét. A 800-63 a digitális autentikációt (beléptetést) szabályozza, ennek idei kiadása pedig sok helyen eszközöl majd változást a 2013-ban publikált verzióhoz képest. Az egyik legfontosabb ezek közül a standard SMS-ben kiküldött belépő kód kivezetése lesz, ezt a módszert a NIST már nem tartja eléggé biztonságosnak, helyette alternatív második faktorok bevezetését javasolja a szervezet.
Ollé, lesz SYSADMINDAY! Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.
De nem ez az egyetlen változás, az identitásellenőrzés eddig használt négy szintjét például háromra redukálja a tervezet, kivezetve a második szintet, amely eddig a harmadik szint és az első szint kombinációjaként létezett.
GitHubon az egyeztetés
Újdonság, hogy a NIST most úgy döntött, hogy a nyilvános konzultációhoz a GitHub felületét (is) használja, a tervezet dokumentumát ide töltötte fel a szervezet, itt lehet módosítási javaslatokat küldeni a szöveg különböző pontjaihoz. Sajnos a törvény nem ismeri a GitHubot, így ezt követően egy újabb, immár hivatalosan elismert konzultációt kell tartania a NIST-nek, amelyen a különböző érintett szereplőknek is válaszolniuk kell a tervezetre. Emiatt a most közzétett dokumentum nem a "nyilvános tervezet", hanem a "nyilvános előnézet" státuszt kapta, ami puszta formalitás.
És miért pont a GitHub? "Ez nekünk elég egyértelmű választás volt. A GitHub a fejlesztői és szabványosítási közösségek találkozóhelye már évek óta, olyan kollaboratív terület, ahol a szabad szoftverek készülnek. Találónak tűnt, hogy a tervezetet itt bocsássuk vitára, a közösség már itt van és dolgozik együtt." Egy másik szempont pedig az, hogy a GitHub eszközkészlete kimondottan hatékony az ilyen munkához, egyrészt széles körből gyűjthető visszajelzés, másrészt a fejlett verziózás és a többféle visszajelzési módozatok is alkalmassá teszik a nyilvános konzultációra - mondja a szervezet.