详细内容或原文请订阅后点击阅览
身份验证:GSA 需要解决 NIST 指导、技术问题和经验教训
GAO 发现的内容Login.gov 从访问政府应用程序和网站的用户那里收集各种个人身份信息 (PII)。从用户那里收集 PII 后,Login.gov 与多个第三方供应商共享数据,以确定用户所声称的身份是否是其真实身份。Login.gov 使用多种方法来保护收集和共享的 PII,例如多因素身份验证。在 24 个《1990 年首席财务官法案》(CFO Act)机构中,有 21 个报告使用 Login.gov 提供身份验证服务。这些机构发现了使用它的好处。具体而言,16 个报告运营得到改善,11 个报告用户体验得到增强,7 个报告成本降低。这些机构还报告了挑战,其中 12 个认为 Login.gov 不符合美国国家标准与技术研究院 (NIST) 数字身份指南,9 个发现技术问题,8 个指出成本不确定性。总务管理局 (GSA) 尚未完全解决与 NIST 指南的一致性问题或已发现的技术问题。例如,GSA 一直在采取措施使 Login.gov 与 NIST 数字身份指南保持一致,包括 (1) 于 2024 年 3 月完成现场身份验证试点,以及 (2) 开始单独的远程身份验证试点。但是,远程身份验证试点尚未启动,因为 GSA 尚未确定试点的预计完成日期。因此,不合规
来源:美国政府问责局__政府运作信息Gao发现了什么
login.gov从访问政府应用程序和网站的用户收集各种个人身份信息(PII)。从用户收集PII后,login.gov与多个第三方供应商共享数据,以确定用户声称的身份是否是其真实身份。 login.gov使用一系列方法来保护收集和共享的PII,例如多因素身份验证。
1990年《首席金融官法》(CFO法案)中的21个(CFO法案)中的机构报告了使用login.gov进行身份证明服务。这些机构从其使用中确定了好处。具体来说,有16个报告了改进的操作,11例报告了用户的经验增强,并报告了7个降低的成本。这些机构还报告了挑战,其中12个引用登录。Gov与国家标准与技术研究院(NIST)数字身份指南,9个识别技术问题以及八个指出成本不确定性的一致性。
通用服务管理局(GSA)尚未与NIST指南或已确定的技术问题完全解决。例如,GSA一直在采取步骤将登录和NIST数字身份指南对齐,包括(1)在2024年3月完成对面对面身份证明的飞行员,以及(2)在远程身份证明上开始单独的飞行员。但是,由于GSA尚未确定飞行员的预期完成日期,因此尚不可用远程身份验证飞行员。因此,不遵守NIST指导仍在继续。
两个飞行员计划完全与五个领先实践中的四个结合。
表:GAO评估通用服务管理局的身份证明试点计划