美国政府首席信息官为一种被广泛使用的单点登录工具进行了辩护。去年,窃贼从美国卫生与公众服务部(Department of Health and Human Services)的授权支付系统中窃取了数百万美元,由于该系统不符合某些安全标准,美国卫生与公众服务部(Department of Health and Human Services)放弃了该工具。
HHS悄悄地将Login.gov换成了私营部门的工具ID。Nextgov/FCW首先报道称,去年,骗子从7个赠款接收组织那里偷走了至少750万美元,为了加强其安全性,他们从受助平台上撤下了我。该工具不应对此次泄露负责,但它没有满足身份保证级别2的组件,这是美国国家标准与技术研究所(National Institute for Standards and Technology)为数字身份验证设定的标准,旨在检查用户是否伪装成网络中的其他人。
联邦政府首席信息官克莱尔·马托拉纳在周四的一次采访中表示,联邦政府“需要继续依赖Login.gov”,该工具正在为联邦生态系统提供更好的安全性和可用性。
她表示:“我认为(Login)显然正在迈向IAL2。”
去年,一份令人震惊的监管报告指出,Login.gov不符合NIST的IAL2标准,该报告发现,管理Login的总务管理局在其遵守身份证明标准方面误导了其他机构。GSA最近表示,计划为Login添加面部识别技术,以帮助其达到门槛。
GSA表示,login .gov与被盗资金没有关联,其账户也没有受到影响,但这一事件促使HHS要求其支付管理系统的登录选项包括身份验证功能,从而删除了login,以及另一家第三方供应商Twilio的双因素身份验证选项。
Martorana拒绝透露她是否同意搬迁。“无论他们这么做的理由是什么,我都不敢评论,”她说。“我没有参与决策过程,但我信任我的HHS同事,我也信任Login平台。”
即使是在去年的监督报告发布之后,马托阿纳之前也曾加倍为洛恩辩护。近50个联邦机构使用该平台,但由于担心其安全功能,有些机构不愿将其绑定到某些系统中。
在网络事件中,身份数据经常成为攻击目标,黑客试图利用身份和访问管理漏洞,获取用户的个人信息,并利用这些信息吸走资金或实施其他欺诈计划。特别是联邦系统,一再成为恶意行为者使用网络钓鱼和其他类似于HHS盗窃的社会工程技术的目标。
据Nextgov/FCW此前报道,白宫一直在考虑让登录系统在联邦数字身份授权中发挥更大的主导作用,尽管这些努力已经停滞不前。
Nextgov/FCW工作人员记者娜塔莉·阿姆斯(Natalie Alms)对本文也有贡献。
微信扫一扫打赏
