近日，美国国家标准与技术研究院（NIST）对《数字身份指南》 进行了自2017年以来的首次重大修订。此次更新旨在应对快速演变的威胁环境，特别是人工智能滥用、深度伪造（Deepfake）和钓鱼攻击带来的新挑战。

对企业而言，这份指南不仅提出了技术层面的要求，还提供了组织管理和风险控制的实践建议。由于很多安全机制已逐步普及，NIST 认为多数组织可以相对顺利地将更新内容纳入现有身份策略中。

攻击者不断提升技能，以绕过组织的身份和访问管理 (IAM) 协议获取关键访问权限，目前攻击者借助人工智能 (AI) 则使网络钓鱼攻击更加有效，深度伪造更是能迷惑最资深的安全人员。

尽管 无密码认证（如生物识别、FIDO Passkeys）已出现，但落地挑战仍然存在。NIST 此次更新聚焦于，反欺诈措施、“更新的身份验证风险和威胁模型以应对新的攻击”，以及 FIDO 密钥等新的防网络钓鱼身份验证选项，该机构认为这些措施将有助于组织应对当前的威胁形势。

此外，文件还对身份核验、注册验证器、管理流程、认证协议和联邦身份等环节提出了明确的技术要求。其中，身份核验部分的核心是强化防欺诈控制，以检测深度伪造和合成身份。

—— 在身份联合模型中引入“数字钱包”概念，让用户对身份凭证的管理更自主。

2.支持可同步的认证器（如 Passkeys）

—— 明确纳入无密码认证，推动主流应用更好地支持同步认证方式。

3.新增防御注入攻击与伪造媒体（Deepfakes）的控制措施

—— 特别强调远程身份验证中的 AI 滥用与合成媒体风险。

4.引入新的持续评估指标（Continuous Evaluation Metrics）

—— 认证与风险管理不再是“一次性事件”，而是动态、持续的过程。

此外，NIST 明确要求：所有 AI/ML 的使用必须有文档记录并告知依赖这些系统的组织。

Keeper Security 联合创始人兼 CEO Darren Guccione 认为，这一修订正视了身份安全的根本性问题：一次性、静态验证已不足以应对持久且复杂的威胁。

• Keeper 调研显示，67% 的组织仍遭遇钓鱼攻击，即便已采用混合身份认证。

• 因此，持续评估、抗钓鱼认证和基于风险的身份验证，已是市场与安全领导者的发展方向。

Jamf 高级安全经理 Adam Boynton 指出，这次更新主要受三方面驱动：

1）生成式 AI 滥用，深度伪造、注入式攻击频发，NIST因此新增了防控措施。

2）无密码认证普及，支持同步的Passkeys，提升跨设备安全体验。

3）风险持续演变，需要跨部门协作的风险管理与持续验证机制。

Boynton 提醒，身份不再是“一次性事件”，企业必须：

• 尽快采用 抗钓鱼认证器（如生物识别、硬件令牌、FIDO Passkeys）

• 推动身份风险治理向安全、隐私与业务多方协作的模式转型

不过，他也强调：

“文件详细但可用，且后续会有实施资源支持。多数现代技术栈已兼容这些方向，更多是配置优化，而非推倒重建。”