La actualización 201-3, resultado de un ciclo de revisión regular, aún especifica que se pueden usar tarjetas PIV, pero ahora ofrece opciones adicionales.
Para garantizar que los empleados federales tengan un conjunto más amplio de opciones modernas para acceder a instalaciones y recursos electrónicos, el Instituto Nacional de Estándares y Tecnología (NIST) ha aumentado la cantidad de tipos de credenciales aceptables que las agencias federales pueden permitir como identidad digital oficial.
El aumento es parte de la última actualización del Estándar federal de procesamiento de información (FIPS) 201, que especifica las credenciales que pueden usar los empleados y contratistas federales para acceder a los sitios federales. La actualización, formalmente titulada FIPS 201-3: Verificación de identidad personal (PIV) de empleados y contratistas federales , también permite la prueba y emisión de identidad remota, además de hacerlo en persona como se requería anteriormente.
“Hemos ampliado el conjunto de credenciales que se pueden usar para obtener acceso a instalaciones federales y también para iniciar sesión en estaciones de trabajo y otros recursos de TI”, dijo Hildegard Ferraiolo, científica informática del NIST. "Ya no se trata solo de tarjetas PIV".
El estándar FIPS anterior, la versión 201-2 , apareció en 2013 y especificaba las credenciales integradas en las tarjetas PIV como el principal medio de autenticación, con excepciones limitadas para las credenciales diseñadas para dispositivos móviles que carecían de lectores de tarjetas PIV. Se han emitido millones de tarjetas PIV a empleados federales.
La actualización 201-3, resultado de un ciclo de revisión regular, aún especifica que se pueden usar tarjetas PIV, pero ahora ofrece opciones adicionales. Mantiene el estándar alineado con las políticas federales más recientes, incluido el Memorando M-19-17 de la Oficina de Administración y Presupuesto sobre administración de identidad, credenciales y acceso. También asegura que el estándar refleje las capacidades y necesidades tecnológicas actuales, dijo Ferraiolo.
“Se ha vuelto importante brindar más flexibilidad a las agencias en la elección de las credenciales que se usarán para la autenticación”, dijo. “No todas las computadoras portátiles están disponibles con ranuras para tarjetas PIV integradas, por ejemplo, y, a menudo, hay aplicaciones basadas en la nube que no utilizan la infraestructura de clave pública que proporcionan las tarjetas PIV. Para estas situaciones necesitamos alternativas”.
Las nuevas opciones son un subconjunto de credenciales que se especifican en NIST SP 800-63-3 , una publicación de varios volúmenes sobre identidad digital. Las ramas del gobierno tendrán un conjunto más rico de credenciales multifactor para diferentes dispositivos, incluidos, por ejemplo, tokens FIDO (Fast ID Online) y contraseñas de un solo uso (OTP).
Ahora que se completó el hito de la revisión, el enfoque del NIST se ha desplazado a proporcionar pautas adicionales y detalles de implementación, dijo Ferraiolo. NIST se encuentra actualmente en el proceso de actualizar las pautas para el conjunto ampliado de credenciales PIV en la Revisión 1 de NIST SP 800-157. Además, para garantizar que las diferentes credenciales sean interoperables entre diferentes agencias, un concepto conocido como "federación", NIST proporcionará pautas en NIST SP 800-217.
Ferraiolo dijo que estas y otras publicaciones del NIST asociadas con FIPS 201-3 se actualizarán en los próximos meses.
Fuente: http://www.hstoday.us/subject-matter-areas/cybersecurity/nist-updates-fips-201-personal-identity-credential-standard/
No hay comentarios.:
Publicar un comentario