NIST SP 800-63-3 A/B/C

2016-05-26
Etiam blandit ex sit amet felis ullamcorper elementum. Fusce sagittis enim in enim sagittis porttitor.

Glöm LoA 1-4, nu heter det snart IAL, AAL och FAL. Identity Assurance Level, Authentication Assurance Leveloch Federation Assurance Level. Dessutom kommer det bara att finnas 3 nivåer att välja på. LoA 1 och 2 kommer att vara AAL 1, LoA 3 blir AAL 2 och LoA 4 till sist AAL 3, eller IAL beroende på vad man avser, FAL verkar fortsatt ha 4 nivåer.

Krångligt? Ja lite, men det klarnar ganska snabbt, och vi tror att det är ett bra initiativ att dela upp SP 800-63 i olika delar.

NIST håller på att ta fram en ny SP 800-63, nämligen SP 800-63-3 (och A, B samt C…) De har beslutat sig för att köra en ”public preview” på GitHub vilket är ett helt nytt grepp i sammanhanget.

Som det ser ut i dagsläget kommer SP 800-63 kommer att bestå av 4 delar:

  • Ett huvuddokument: SP 800-63-3, Digital Authentication Guideline
  • Ett dokument för enrollment och grundidentifiering: SP 800-63A, Digital Authentication Guideline – Enrollment and Identity Proofing Requirements
  • Ett dokument för tekniska och procedurella regler: SP 800-63B, Digital Authentication Guideline – Authentication and Lifecycle Management
  • Ett dokument för federationer och attribut: SP 800-63C, Digital Authentication Guideline – Federation and Assertions

Några av de nyheter som finns i förslagen för närvarande är:

  • LoA 2 försvinner. Likställs i princip med LoA 1.
  • Större frihet att välja och vraka. Till exempel kan man välja ett värsting-smartcard, men utfärdat enligt ”snällare” regler.
  • Maskinell verifiering av ID-handlingar ger högre IAL.
  • Virtuell personlig kontakt kommer att godkännas, typ online kiosk-utfärdande. Naturligtvis med maskinell verifiering av din ID-handling.
  • En token heter numera ”Authenticator”.
  • Lösenord skall vara minst 8 tecken, men helst 64… Och utan utgångsdatum eller komplexitetsregler.
  • Engångslösenord ”over the air” (till exempel engångslösenord via SMS) försvinner som metod. Man får, men man ska inte…

Certezza kommer att följa det här arbetet noga, och vi kommer med all sannolikhet att ha anledning att återkomma till det här i bloggen.

Alla som vill hjälpa till i processen kan registrera sig på GitHub och på så sätt delta i arbetet.
https://pages.nist.gov/800-63-3/

Information och frågor
För mer information och frågor, kontakta oss på sales@certezza.net