Todos nós precisamos de suplementos às vezes. Seja um pouco mais de vitamina C durante a temporada de gripe ou um pouco de vitamina D durante os dias escuros do inverno. Quando usados corretamente, os suplementos ajudam nosso corpo a se ajustar às mudanças nas condições ao nosso redor. Da mesma forma, estamos aplicando esse mesmo conceito pela primeira vez ao nosso NIST SP 800-63B, Diretrizes de identidade digital: autenticação e gerenciamento do ciclo de vida. Hoje, publicamos um suplemento que fornece orientações provisórias para as agências que pretendem utilizar «autenticadores sincronizáveis» (por exemplo, senhas) em casos de uso voltados para empresas e para o público.
O que é um suplemento?
Um suplemento é um tipo de documento específico que se destina a aprimorar, aumentar ou elaborar uma Publicação Especial (SP) do NIST existente. Eles permitem atualizações ou modificações direcionadas sem a necessidade de passar pelo processo de atualização de todo o SP. Eles fornecem um mecanismo para que o NIST se adapte mais rapidamente às mudanças na tecnologia e nos ambientes de risco (por exemplo, fornecendo requisitos para novos tipos de autenticadores, como autenticadores sincronizáveis).
O que é um autenticador sincronizável?
Um autenticador sincronizável é qualquer autenticador criptográfico que permite que a chave privada seja clonada e armazenada separada do autenticador para suportar o uso dessa chave em diferentes dispositivos (por exemplo, sincronização). Na prática, essas são normalmente chamadas de ‘chaves de acesso’ pelo Aliança FIDO e fazer uso de vários padrões e protocolos, como o Client-to-Authenticator Protocol e o World Wide Web Consortium (W3C) Web Authentication (WebAuthn).
Quando implementados corretamente, eles fornecem um autenticador resistente a phishing com muitos benefícios, como recuperação simplificada, suporte entre dispositivos e suporte à autenticação de plataforma amigável ao consumidor (por exemplo, biometria nativa). Esses autenticadores teriam sido considerados não conformes no contexto de Diretrizes de identidade digital, e o suplemento fornece requisitos e considerações adicionais para permitir seu uso no Nível de Garantia de Autenticação 2 (AAL2).
O que mudou desde então Diretrizes de identidade digital foram publicados?
Muita coisa mudou. Os padrões e especificações para suportar autenticadores sincronizáveis não haviam sido desenvolvidos quando as Diretrizes foram inicialmente desenvolvidas e publicadas. Desde então, os padrões amadureceram e a maioria das principais plataformas de consumo implementou suporte para autenticadores sincronizáveis. Até agora, a FIDO Alliance estima que mais de 8 bilhões* de contas de usuários agora têm a opção de usar senhas para autenticação. Embora ainda não sejam onipresentes, eles estão se tornando mais comuns a cada dia.
Não há riscos para clonar chaves?
Sim, sempre há riscos. Os requisitos do suplemento destinam-se a abordar o maior número possível deles, incluindo métodos para armazenar, transmitir e proteger as chaves. Existem riscos exclusivos que acompanham os autenticadores sincronizáveis, especificamente a capacidade em algumas implementações técnicas para que os usuários compartilhem sua chave de autenticação com outros indivíduos. A capacidade de compartilhar autenticadores não é exclusiva das chaves sincronizáveis – quase todos os autenticadores AAL2 podem ser compartilhados. Mas, ao contrário de anos de políticas de segurança, algumas implementações promovem o compartilhamento de autenticador sincronizável como uma alternativa segura ao compartilhamento de senha em muitos cenários de consumidor.
Como em todas as instâncias, as organizações devem avaliar cada tipo de autenticador que oferecem e pesar os benefícios e riscos associados a eles antes de implementá-los. Os autenticadores sincronizáveis não serão apropriados para todos os aplicativos ou serviços, mas representam uma opção emergente de autenticador AAL2 com muitos benefícios para o usuário final e para a parte confiável.
Haverá um período de comentários públicos?
Não paraEste suplemento. O feedback do período inicial de comentários públicos sobre o SP 800-63-4 foi incorporado a este suplemento. Comentários adicionais sobre autenticadores sincronizáveis e o conteúdo geral do suplemento podem ser enviados até o próximo segundo período de comentários públicos para a Revisão 4. Isso ocorrerá ainda este ano.
Por que não esperar que a Revisão 4 seja concluída?
Como observado acima, os órgãos seguem rigorosamente o texto normativo da Diretrizes de identidade digital não teria permissão para usar autenticadores sincronizáveis. Este suplemento aborda uma necessidade imediata para muitas agências, fornecendo orientação sobre como usar uma nova tecnologia de segurança que fornece autenticação forte, utilizável e resistente a phishing em apoio à estratégia Federal Zero Trust. Assim que a Revisão 4 for finalizada, este suplemento será rescindido.
Perguntas?
Sinta-se à vontade para nos enviar um e-mail via dig_comments [at] nist.gov (dig_comments[at]Nist[dot]gov).
*Esta estatística foi fornecida pela Fido Alliance e não implica que 8 bilhões de usuários optaram por usar o recurso de chave de acesso.