Le NIST a augmenté le nombre de types d’informations d’identification acceptables que les agences fédérales peuvent autoriser en tant qu’identité numérique officielle, dans le cadre de la dernière mise à jour de la norme FIPS (Federal Information Processing Standard) 201. La norme va désormais au-delà des cartes d’identité physiques pour inclure des jetons électroniques et un- mots de passe temporels.
Crédit image : N. Hanacek/NIST
Pour garantir que les employés fédéraux disposent d’un ensemble plus large d’options modernes pour accéder aux installations et aux ressources électroniques, le National Institute of Standards and Technology (NIST) a augmenté le nombre de types d’informations d’identification acceptables que les agences fédérales peuvent autoriser en tant qu’identité numérique officielle.
L’augmentation fait partie de la dernière mise à jour de la norme FIPS (Federal Information Processing Standard) 201, qui spécifie les informations d’identification pouvant être utilisées par les employés et sous-traitants fédéraux pour accéder aux sites fédéraux. La mise à jour, officiellement intitulée FIPS 201-3 : Vérification de l’identité personnelle (PIV) des employés fédéraux et des sous-traitantspermet également de vérifier et de délivrer l’identité à distance, en plus de le faire en personne comme c’était auparavant requis.
« Nous avons élargi l’ensemble des informations d’identification qui peuvent être utilisées pour accéder aux installations fédérales et également pour se connecter aux postes de travail et autres ressources informatiques », a déclaré Hildegard Ferraiolo, informaticienne du NIST. « Il ne s’agit plus uniquement de cartes PIV. »
La norme FIPS précédente, édition 201-2, est sorti en 2013 et a spécifié les informations d’identification intégrées sur les cartes PIV comme principal moyen d’authentification, avec des exceptions limitées pour les informations d’identification conçues pour les appareils mobiles dépourvus de lecteurs de cartes PIV. Des millions de cartes PIV ont été délivrées aux employés fédéraux.
La mise à jour 201-3, issue d’un cycle de révision régulier, précise toujours que les cartes PIV peuvent être utilisées mais propose désormais des options supplémentaires. Il maintient la norme alignée sur les politiques fédérales les plus récentes, y compris le Bureau de la gestion et du budget Mémorandum M-19-17 sur la gestion des identités, des identifiants et des accès. Cela garantit également que la norme reflète les capacités et les besoins technologiques actuels, a déclaré Ferraiolo.
« Il est devenu important de fournir plus de flexibilité aux agences dans le choix des informations d’identification à utiliser pour l’authentification », a-t-elle déclaré. « Tous les ordinateurs portables ne sont pas disponibles avec des emplacements de carte PIV intégrés, par exemple, et souvent, il existe des applications basées sur le cloud qui n’utilisent pas l’infrastructure à clé publique fournie par les cartes PIV. Pour ces situations, nous avons besoin d’alternatives.
Les nouvelles options sont un sous-ensemble d’informations d’identification spécifiées dans NIST SP 800-63-3, une publication en plusieurs volumes sur l’identité numérique. Les branches du gouvernement auront un ensemble plus riche d’informations d’identification multifactorielles pour différents appareils – y compris, par exemple, FIDO (Fast ID Online) jetons et mots de passe à usage unique (OTP).
L’étape de révision étant maintenant terminée, le NIST s’est concentré sur la fourniture de directives supplémentaires et de détails de mise en œuvre, a déclaré Ferraiolo. Le NIST est actuellement en train de mettre à jour les directives pour l’ensemble étendu d’informations d’identification PIV dans la révision 1 du NIST SP 800-157. De plus, pour garantir que différentes informations d’identification sont interopérables entre différentes agences, un concept connu sous le nom de «fédération», le NIST fournira des directives dans le NIST SP 800-217.
Ferraiolo a déclaré que ces publications et d’autres publications du NIST associées à FIPS 201-3 seraient mises à jour dans les mois à venir.
Pour plus d’informations, consultez la mise à jour FIPS complète, qui est disponible en ligne.
La source: NIST
