English
 
查看详细details
您当前所在位置:首页 奥航智讯 行业最新动态 查看详细
行业最新动态 会员企业动态 GDPR
ATO希望验证公民是否还活着并亲自参加myGovID注册
文章来源:奥航智讯  作者:网喵  发布时间:2020-09-28  浏览次数:729


澳大利亚税务局(Australian Taxation Office,ATO)希望为澳大利亚政府的数字身份凭证myGovID引入“活力”功能。


负责处理myGovID的机构已经在市场上寻找供应商,以提供一种软件解决方案,让正在注册的人能够证明自己是一个活生生的人,并且身在现场,此外,用户还可以通过自拍与存储的身份文件(如护照或驾照)核对自己的身份。


ATO去年悄悄发布了这款应用程序,允许公民通过一次身份验证,这样他们就可以使用已验证的身份在线访问政府服务,而不必不断地接受每个英联邦实体进行的验证。


ATO强调,成功的承包商将需要遵守严格的安全准则。其中包括根据澳大利亚网络安全中心(ACSC)信息安全手册和基本八项强制性要求提供安全管理和治理功能,为单个ATO用户提供认证登录,并配置其IT系统和环境以有效响应应对最新威胁。


此外,ATO表示,供应商必须使用安全配置的加密数据传输协议和算法,以跨越不受信任的网络传输信息,并且能够控制外围设备到存储、处理或传输ATO信息的IT系统的连接。


上周,有消息透露,ATO使用的myGovID代理的默认登录选项容易受到代码重放攻击。


在一篇博客文章中,安全研究人员Ben Frengley和Vanessa Teague描述了攻击者如何使用恶意登录表单来捕获用户详细信息,然后攻击者可以使用该表单登录myGovID用户所拥有的其他帐户。


两人表示,他们已于8月19日将此问题告知了澳大利亚信号局(Australian Signals Directorate),且ATO告诉他们“他们无意更改协议,同时我们立即通知他们,我们将向用户发出警告”。


ATO的一名发言人表示,该漏洞不是“myGovID解决方案或应用程序的安全漏洞”,它可以用于对抗登录程序,包括“密码、短信(SMS)、物理代码生成器和移动应用程序代码”。


该发言人说:“研究人员发现的方法是,通过将用户重定向到一个恶意钓鱼网站来欺骗用户,在整个身份验证系统中是众所周知且常见的挑战,并不是myGovID平台所独有的。”


“ ATO非常重视IT安全性。”


去年10月,数字转换机构表示,近7000名澳大利亚人创建了一个myGovID。


ATO表示,预计在myGoveID应用上线的前三年中,将有约500万澳大利亚人注册。


作为遴选过程的一部分,税务局表示,它计划进行软件试用活动,以确保入围的投标者符合其要求。


该合同有效期至2021年9月30日,可选择延长三次,每次延长最多两年。投标截止日期为10月20日。


*本文出自SCA安全通信联盟,转载请注明出处。


 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司