Pedoman NIST 800-63-4: Seruan Tindakan untuk Identitas

Institut Nasional Standar dan Teknologi Amerika Serikat (NIST) telah menerbitkan Publikasi Khusus (SP) 800-63-4, revisi terbaru dari Pedoman Identitas Digitalnya.

Versi 2025 yang baru ini mewakili pemikiran ulang yang mendasar tentang apa yang dimaksud dengan "identitas digital yang aman" di era video yang dihasilkan oleh kecerdasan buatan (AI), pasar layanan kejahatan, identitas sintetis, dan serangan digital yang canggih. Jika Anda bertanggung jawab atas verifikasi identitas, otentikasi, atau kepercayaan digital, pedoman ini bukan hanya sumber daya kritis; ini adalah panggilan untuk bertindak.

Artikel ini menjelaskan perubahan yang terjadi, mengapa hal itu penting, dan apa artinya bagi strategi identitas dan kriteria solusi Anda.

Mengapa NIST Mengubah Aturan (Lanskap Ancaman Telah Berubah Total)

Ini adalah pembaruan pertama terhadap Pedoman Identitas Digital NIST sejak 2017, yang terjadi sebelum terjadinya transformasi besar-besaran dalam lanskap ancaman akibat ledakan kecerdasan buatan generatif (generative AI) dan demokratisasi alat serangan canggih yang menargetkan sistem identitas digital.

Sebenarnya, lanskap ancaman pada tahun 2025 sangat berbeda dibandingkan dengan tahun 2017:

• Alat pembuat deepfake tersedia secara luas dan terus berkembang.
• Identitas sintetis yang dihasilkan oleh kecerdasan buatan (AI) dapat tidak dapat dibedakan dari orang sungguhan.
• Deepfakes sedang disalurkan secara real-time ke platform konferensi video seperti Zoom dan Teams, memungkinkan penyerang untuk menyamar sebagai rekan kerja atau eksekutif selama panggilan langsung atau melewati verifikasi panggilan video.
• Kamera virtual, manipulasi perangkat, dan serangan injeksi dapat sepenuhnya melewati deteksi keaslian yang kurang memadai.

NIST secara eksplisit menyatakan bahwa pedoman ini menanggapi "perubahan lanskap digital" dan meningkatnya ancaman yang canggih dan didorong oleh kecerdasan buatan (AI). Dan hal ini terjadi pada saat semakin banyak layanan tradisional yang sebelumnya dilakukan secara langsung kini beralih ke platform online.

Pusat Operasi Keamanan iProov (iSOC) mencatat peningkatan sebesar 704% dalam serangan pertukaran wajah dari paruh pertama hingga paruh kedua tahun 2023, dengan peningkatan lebih lanjut 300% pada tahun 2024.

Pelajaran yang jelas: organisasi tidak lagi dapat mengandalkan model keamanan yang dirancang sebelum ledakan kecerdasan buatan generatif. 

Perubahan Kritis: Meningkatkan Standar PAD, Memperkenalkan IAD

NIST SP 800-63-4 mengatur Deteksi Serangan Presentasi (PAD) wajib untuk kasus penggunaan dengan tingkat keamanan tinggi di bawah IAL2 dan AAL2.

Standar dan pedoman identitas digital secara historis berfokus pada PAD, yang tidak mendeteksi apakah seseorang secara fisik hadir; melainkan mendeteksi artefak presentasi – foto, rekaman video, atau topeng – untuk menentukan: Apakah ini wajah asli atau palsu?

Berikut ini yang telah berubah: Definisi NIST tentang PAD yang memadai kini mencakup jauh lebih banyak daripada sekadar pemeriksaan keaslian. NIST kini mewajibkan baik PAD maupun perlindungan terhadap serangan injeksi – serangan siber yang melewati kamera pada perangkat atau disisipkan ke dalam aliran data – sebagai persyaratan terpisah dan saling melengkapi. Pedoman tersebut mewajibkan verifikator untuk “menentukan kinerja, integritas, dan keaslian sensor dan titik akhir.” Standar telah berubah secara fundamental karena organisasi kini harus menangani baik PAD maupun IAD.

Bar telah mengalami perubahan mendasar karena organisasi kini harus menangani baik PAD maupun IAD.

Sebagian besar solusi biometrik dapat menangani serangan presentasi dasar – ini adalah persyaratan minimum. Sangat sedikit yang dapat mendeteksi ketika seluruh aliran data telah disusupi pada tingkat digital atau diganti dalam aliran video asli, yang tepatnya merupakan persyaratan yang kini ditetapkan oleh NIST dan yang dilakukan oleh penyerang yang canggih.

Perbincangan telah berkembang dari "Apakah Anda memiliki deteksi keaslian?" menjadi "Bisakah Anda membuktikan bahwa orang yang tepat benar-benar hadir pada saat pengambilan data DAN mampu mengalahkan serangan injeksi yang canggih?"

Apa yang Direkomendasikan NIST dalam Pedoman Terbarunya?

NIST SP 800-63-4 memperkenalkan kontrol-kontrol spesifik yang mengubah permainan:

• Untuk Tingkat Jaminan Identitas 2 (IAL2): Organisasi yang menggunakan verifikasi identitas jarak jauh asinkron harus menerapkan deteksi serangan presentasi dan menganalisis media untuk tanda tangan konten yang dihasilkan oleh kecerdasan buatan (AI) dan deepfakes.
• Untuk Tingkat Jaminan Otentikasi 2 (AAL2): Sistem otentikasi yang menggunakan verifikasi wajah harus menerapkan PAD. Secara kritis, verifikator perlu menentukan kinerja dan integritas sensor serta titik akhir yang terkait untuk mendeteksi serangan injeksi.
• Untuk Tingkat Jaminan Federasi 2 (FAL2): Sistem harus melindungi terhadap klaim palsu dan serangan injeksi – khususnya “seorang penyerang yang menyediakan media yang tidak tepercaya, seperti video palsu seorang pengguna.”

NIST telah menetapkan batasan yang jelas antara pemeriksaan keaslian dasar dan jaminan kehadiran yang sebenarnya, yang mencakup perlindungan terhadap serangan injeksi dan media palsu.

Jadi, bagaimana Anda memastikan bahwa solusi Anda sesuai dengan pembaruan pada pedoman Identitas Digital NIST?

Validasi Independen: Standar CEN untuk IAD

Meskipun NIST menetapkan persyaratan, pengujian standar industri diperlukan untuk memvalidasi klaim vendor di luar pernyataan sendiri. Standar tersebut kini telah ada: CEN TS 18099 untuk deteksi serangan injeksi, satu-satunya standar pengujian yang dirancang khusus untuk menguji kemampuan sistem biometrik dalam mendeteksi dan menangkis ancaman berbasis injeksi.

Pada awal tahun ini, iProov mencapai Level 2 (Tinggi), yang diberikan oleh Ingenium Biometric Laboratories, laboratorium independen yang terakreditasi ISO/IEC 17025. Kami adalah yang pertama lulus dengan Ingenium karena arsitektur kami dirancang khusus untuk mengatasi serangan media palsu dan injeksi.

Keselarasan antara pedoman NIST dan CEN bukanlah kebetulan. Ketika dua otoritas independen sepakat pada model ancaman yang sama, satu menetapkan persyaratan baru dan satu lagi menyediakan standar pengujian, hal ini membuktikan bahwa ancaman berbasis injeksi adalah nyata, canggih, dan memerlukan pertahanan yang diuji secara independen. CEN TS 18099 memberikan dukungan objektif dari pihak ketiga terhadap tuntutan NIST: perlindungan terhadap serangan injeksi dan media palsu.

Tanyakan Pertanyaan Ini…

Berikut cara mengidentifikasi penyedia identitas yang tahan terhadap ancaman AI:

“Apakah Anda dapat membuktikan bahwa subjek yang hidup benar-benar hadir pada saat penangkapan DAN melindungi terhadap berbagai metode/alat serangan injeksi yang canggih?”

Deteksi keaslian dasar dan pencegahan spoofing fisik saja tidak cukup untuk memenuhi pedoman NIST. Bukti harus berasal dari sertifikasi yang diverifikasi oleh laboratorium pengujian yang terakreditasi. Pastikan vendor dapat membuktikan:

• Bagaimana mereka melindungi integritas seluruh aliran data dan memverifikasi integritas sensor/endpoint untuk mendeteksi serangan injeksi, sebagaimana direkomendasikan oleh NIST.
• Uji standar apa yang telah mereka lalui untuk deteksi serangan injeksi, bukan hanya yang diklaim. 
• Tingkat Penerimaan Serangan Penipu (IAPAR) mereka dan perbandingannya dengan ambang batas NIST.

Bagaimana Arsitektur iProov Selaras

Pendekatan iProov menggabungkan tiga lapisan yang secara langsung sesuai dengan standar eksplisit NIST:

• Kehidupan Dinamis® dengan Flashmark™  teknologi menyediakan PAD dan IAD canggih yang diwajibkan oleh NIST – memastikan kehadiran asli seseorang secara real-time pada saat pengambilan data. Flashmark menciptakan data biometrik unik untuk setiap verifikasi yang tidak dapat direplikasi, dicuri, atau digunakan kembali. Kami telah mencapai kesesuaian iBeta PAD dengan ISO/IEC 30107-3 Level 1 & 2 (tingkat keberhasilan serangan 0%) dan Sertifikasi Verifikasi Wajah FIDO, mencapai 0% Tingkat Penerimaan Presentasi Serangan Peniru (IAPAR). 
• Platform biometrik berbasis sains iProov menganalisis seluruh aliran data untuk mendeteksi tanda-tanda injeksi, replay, dan media yang dihasilkan oleh AI, secara langsung memenuhi persyaratan NIST untuk melindungi terhadap "video palsu" dan serangan injeksi. Lulus CEN TS 18099, standar satu-satunya di dunia untuk deteksi serangan injeksi. 
• iSOC menyediakan intelijen ancaman dan pemantauan 24/7 – kewaspadaan berkelanjutan yang direkomendasikan oleh NIST untuk mendeteksi ancaman berbasis AI yang terus berkembang.

Tabel di bawah ini mencocokkan bukti kesesuaian dengan pedoman spesifik: 

Arsitektur ini menunjukkan bahwa iProov adalah vendor pertama dan satu-satunya yang memenuhi persyaratan verifikasi biometrik yang tercantum dalam pedoman baru NIST.

Apa yang akan terjadi selanjutnya?

Penerbitan NIST SP 800-63-4 sudah langsung mempengaruhi proses pengadaan.

Arsitek keamanan perlu melakukan audit terhadap alur kerja saat ini sesuai dengan pedoman ini. Tim pengadaan dan pemangku keputusan perlu memahami persyaratan teknis untuk both PAD dan IAD. Rencana dasar telah berubah, dan organisasi kini memiliki kewenangan untuk mengajukan pertanyaan yang terinformasi kepada vendor biometrik mereka. 

Dalam posting berikutnya dalam seri ini, kami akan memberikan Anda kerangka kerja praktis untuk melakukan audit terhadap solusi biometrik saat ini atau yang akan datang Anda sesuai dengan NIST SP 800-63-4.

Bagaimana Tingkat Keamanan Verifikasi Identitas Anda Saat Ini? 

• Gunakan alat alat penilaian vendor interaktif kami
• Unduh eBook gratis kami eBook "Cara Mengevaluasi Penyedia Layanan Biometrik" 
• Daftarkan diri Anda untuk demo konsultatif dengan salah satu ahli kami untuk konsultasi khusus.