NIST：NIST SP 800-63B-4：数字身份指南-身份验证和验证器管理（2025） 130页

NIST SP 800 - 63B - 4《数字身份指南：认证与认证器管理》主要围绕政府信息系统网络认证相关技术要求展开： - **适用范围与目标**：聚焦网络环境下与政府信息系统交互主体的认证，为组织实施数字身份服务提供技术指南，规范认证过程及认证器全生命周期管理。 - **认证保证级别**：分三个级别。AAL1提供基本信心，支持单因素或多因素认证，对认证器要求相对宽松；AAL2提供高信心，需证明拥有和控制两个不同认证因素，要求部分认证器具备防钓鱼等特性；AAL3提供极高信心，基于密钥证明，使用不可导出私钥的加密认证器，全面要求防钓鱼、重放抵抗等。各级别对认证器类型、FIPS 140验证、重新认证等有不同规定。 - **认证器和验证器要求**：针对多种认证器类型，如密码、查找秘密、带外设备等，分别明确具体技术要求，包括生成、存储、传输等方面。同时提出通用要求，如物理认证器保护、速率限制、生物识别使用规范、防钓鱼要求等。 - **认证器事件管理**：涵盖认证器绑定、账户恢复、丢失被盗等事件处理。绑定分多种情况，账户恢复有多种方法且依IAL/AAL不同有别，对各类事件处理有详细规范。 - **会话管理**：介绍会话绑定机制，要求会话秘密满足特定条件。强调定期重新认证及设置超时机制，可进行会话监测以降低欺诈风险。 - **威胁与安全、隐私及用户体验**：分析认证器面临的各类威胁及缓解策略，阐述认证过程中的隐私风险评估、控制及使用限制等，从可用性和客户成功角度提出考虑因素及建议。