今天是个重要的日子！《数字身份指南》第4版终于发布了……这是一段令人兴奋的旅程，NIST很荣幸能参与其中。

我们可以期待什么？作为近四年协作过程的成果，这个过程包括了基础研究、两份公开草案以及来自公众的大约6000条个别意见，《特别出版物800-63》第4版《数字身份指南》旨在应对自2017年该系列上一次主要修订以来出现的不断变化的数字格局。

第4版中提出的指南解释了达到身份验证、身份证明和联邦身份管理的数字身份保证级别所需的过程和技术要求——包括安全和隐私要求，以及改善数字身份解决方案和技术客户体验的考量。该指南还将身份管理确立为一个跨职能过程，涉及网络安全、隐私、可用性、项目完整性、任务和业务部门以及其他学科的专业人士。

第4版中的身份风险管理继续朝着“团队协作”的方向发展，以更有效地满足组织及其服务对象的需求。

第4版还包含许多实质性的内容变更，包括：

• 更新了风险管理的背景设定，重构了风险管理流程，并提出了加强跨职能协作的新期望。
• 新的推荐持续评估指标。
• 扩展了身份证明流程的欺诈要求和推荐措施。
• 重构了身份证明控制措施，以更好地定义身份证明的角色和类型。
• 增加了应对注入攻击和伪造媒体（例如，“深度伪造”）的控制措施。
• 整合了可同步验证器（例如，同步的通行密钥）。
• 在联邦模型中体现了由用户控制的钱包。
• 还有……对于那些正在寻找它的人来说，因为我们知道你们的存在，文件中还包含了对密码组合和更换期望的更改。所有这些变更代表了NIST SP 800-63第3版的广泛更新——大量汲取了现实世界的经验教训和创新。

这些指南最终旨在通过提供一个理解在线风险和控制措施的框架，以更好地保护我们关键的在线服务，使数字世界的导航更加安全和便捷。

我们将何去何从？我们的旅程当然不会随着第4版的发布而结束。与之前的修订版一样，实施资源已经在开发中，我们正在探索诸如机器可读的符合性标准和数字身份风险管理工具等概念。

虽然评论期已经结束，但我们始终欢迎参与、反馈和问题。请发送电子邮件至：dig-comments@nist.gov。

快速链接 | 探索各卷： 《数字身份指南》| NIST SP 800-63 第4版 卷A | 身份证明与注册 卷B | 身份验证与验证器管理 卷C | 联邦身份管理与断言 我们的第4版公开网络研讨会于2025年8月20日举行 | 查看活动录像和幻灯片

关于作者

Ryan Galluzzo Ryan是美国国家标准与技术研究院应用网络安全部门的数字身份项目负责人。在此职位上，他协调数字身份项目、倡议和努力，以推进NIST的标准与指南，并推动基础研究以促进数字身份领域的创新。他曾为包括NIST SP 800-63《数字身份指南》在内的多份NIST特别出版物做出贡献。在加入NIST之前，Ryan是德勤会计师事务所的专家负责人，在那里他花费了超过10年的时间，为包括美国国税局、总务管理局和NIST在内的多个联邦机构提供网络安全和身份管理的专业知识见解。

Connie LaSalle Connie LaSalle在NIST领导一个技术专家团队，他们的工作致力于推进数字生态系统中的网络安全和隐私实践的研究和标准化。Connie曾作为NIST的代表担任商务部的局级联络员，就与全球标准生态系统、国家的计量需求以及关键和新兴技术（如数字身份、隐私增强技术、网络安全、人工智能、区块链，以及这些主题与美国经济和国家安全利益的交叉点）相关的战略和政策选择向高级领导人提供建议。Connie为NIST带来了几年的行业经验，包括管理客户成功和产品开发团队、联邦IT咨询以及全球技术政策工作。她的经验还包括联邦政府服务，特别是在白宫管理和预算办公室领导几项网络安全和IT现代化倡议，并担任美国司法部首席信息官的首席政策顾问。

Andrew Regenscheid Andrew Regenscheid是NIST计算机安全部门应用密码学领域的项目负责人。作为密码技术小组15年的成员，Andrew致力于应用密码算法和工具来提高计算机平台、通信协议和身份验证机制的安全性。作为个人身份验证标准计划的技术负责人，Andrew负责为联邦政府雇员和承包商制定身份管理标准和技术指南，同时作为NIST SP 800-63的合著者，为NIST更广泛的数字身份指导组合做出贡献。