Diretrizes NIST 800-63-4: Um apelo à ação em matéria de identidade

11 de dezembro de 2025

O Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) divulgou sua Publicação Especial (SP) 800-63-4, a mais recente revisão de suas Diretrizes de Identidade Digital.

A nova versão de 2025 representa uma reformulação fundamental do que significa “identidade digital segura” em uma era de vídeos gerados por IA, mercados de “crime como serviço”, identidades sintéticase ataques digitalmente sofisticados. Se você é responsável pela verificação de identidade, autenticação ou confiança digital, essas diretrizes não são apenas um recurso essencial; elas são um chamado à ação.

Este artigo detalha o que mudou, por que isso é importante e o que isso significa para sua estratégia de identidade e seus critérios de solução.

Por que o NIST reformulou as regras (O panorama das ameaças mudou completamente)

Esta é a primeira atualização das Diretrizes de Identidade Digital do NIST desde 2017, que antecedeu uma transformação radical no panorama de ameaças, com a explosão da IA generativa e a democratização de ferramentas de ataque sofisticadas direcionadas a sistemas de identidade digital.

Na verdade, o panorama de ameaças de 2025 está irreconhecível em comparação com o de 2017:

As ferramentas de geração de deepfakes estão amplamente disponíveis e em constante aperfeiçoamento
As identidades sintéticas geradas por IA podem ser indistinguíveis das pessoas reais
Deepfakes estão sendo transmitidos em tempo real para plataformas de videoconferência como o Zoom e o Teams, permitindo que invasores se façam passar por colegas e executivos durante chamadas ao vivo ou contornem verificação de chamadas de vídeo
Câmeras virtuais, manipulação de dispositivos e ataques de injeção podem contornar totalmente sistemas de detecção de vida de baixa qualidade.

O NIST afirma explicitamente que essas diretrizes abordam o “cenário digital em constante mudança” e o aumento de ameaças sofisticadas impulsionadas pela IA. E tudo isso ocorre em um momento em que um número cada vez maior de serviços tradicionais presenciais passou a ser prestado online.

O Centro de Operações de Segurança da iProov (iSOC) registrou um aumento de 704% nos ataques de troca de rosto entre o primeiro e o segundo semestre de 2023, com um novo aumento de 300% em 2024.

A lição é clara: as organizações não podem mais confiar em modelos de segurança concebidos antes da explosão da IA generativa.

Uma mudança decisiva: elevando o padrão para a DAP e apresentando a DIA

A norma NIST SP 800-63-4 define a Detecção de Ataques de Apresentação (PAD) obrigatória para casos de uso de alta segurança sob IAL2 e AAL2.

Historicamente, as normas e diretrizes de identidade digital têm se concentrado na PAD, que não detecta se alguém está fisicamente presente; ela detecta artefatos de apresentação — fotos, gravações de vídeo ou máscaras — para determinar: trata-se de um rosto real ou falso?

Eis o que mudou: a definição do NIST de PAD adequado agora abrange muito mais do que verificações de vitalidade. O NIST agora exige tanto o PAD quanto proteções contra ataques de injeção – ataques cibernéticos que contornam a câmera de um dispositivo ou são injetados em um fluxo de dados – como requisitos separados e complementares. As diretrizes exigem que os verificadores “determinem o desempenho, a integridade e a autenticidade do sensor e do terminal”. O padrão mudou fundamentalmente, pois as organizações agora devem abordar tanto o PAD quanto o IAD.

O panorama mudou radicalmente, pois as organizações precisam agora lidar tanto com a PAD quanto com a IAD.

A maioria das soluções biométricas consegue lidar com ataques básicos de falsificação de dados – esse é um requisito mínimo. Pouquíssimas são capazes de detectar quando todo o fluxo de dados foi comprometido no nível digital ou substituído dentro de fluxos de vídeo nativos, que é exatamente o que o NIST agora exige e o que invasores sofisticados estão fazendo.

A discussão evoluiu de “você tem detecção de presença?” para “você consegue comprovar que a pessoa correta está realmente presente no momento da captura E neutralizar ataques sofisticados de injeção?”

O que o NIST recomenda em suas diretrizes atualizadas?

O NIST SP 800-63-4 apresenta controles específicos que representam uma virada de jogo:

Para o Nível 2 de Garantia de Identidade (IAL2): As organizações que utilizam verificação de identidade remota assíncrona devem implementar a detecção de ataques de apresentação e analisar as mídias em busca de sinais de conteúdo gerado por IA e deepfakes.
Para o Nível de Garantia de Autenticação 2 (AAL2): Os sistemas de autenticação que utilizam verificação facial devem implementar o PAD. É fundamental que os verificadores determinem o desempenho e a integridade do sensor e do terminal associado para detectar ataques de injeção.
Para o Nível 2 de Garantia da Federação (FAL2): Os sistemas devem proteger contra afirmações falsificadas e ataques de injeção – especificamente “um invasor que forneça mídia não confiável, como um vídeo falsificado de um usuário”.

O NIST estabeleceu uma distinção clara entre verificações básicas de vitalidade e a garantia de presença genuína, que inclui proteção contra ataques de injeção e mídias falsificadas.

Então, como você pode verificar se sua solução está em conformidade com as atualizações das diretrizes de identidade digital do NIST?

Validação independente: Norma CEN para IAD

Embora o NIST estabeleça requisitos, são necessários testes em conformidade com os padrões do setor para validar as alegações dos fornecedores, para além da autocertificação – especialmente contra ataques de injeção. Essa norma já existe: CEN TS 18099, a única norma de teste projetada especificamente para testar a capacidade dos sistemas biométricos de detectar e neutralizar ameaças baseadas em injeção.

No início deste ano, a iProov obteve a classificação CEN/TS 18099 High com o Nível 4 da Ingenium para detecção de ataques por injeção — o nível mais alto de testes independentes sob a norma CEN. Essa foi umaconcedida pela Ingenium Biometric Laboratories, um laboratório independente acreditado pela ISO/IEC 17025. Fomos os primeiros a ser aprovados pela Ingenium porque nossa arquitetura foi projetada especificamente para lidar com mídias falsificadas e ataques de injeção. Nenhum método de ataque por injeção foi estabelecido com sucesso durante os testes.

A convergência entre as diretrizes do NIST e do CEN não é mera coincidência. Quando duas autoridades independentes concordam com o mesmo modelo de ameaças — uma estabelecendo novos requisitos e a outra fornecendo normas de teste —, isso confirma que as ameaças baseadas em injeção são reais, sofisticadas e exigem defesas testadas de forma independente. A norma CEN TS 18099 oferece um suporte objetivo e independente às exigências do NIST: proteção contra ataques de injeção e mídias falsificadas.

Faça esta pergunta…

Veja como identificar fornecedores de soluções de identidade resistentes a ameaças de IA:

“É possível comprovar que um indivíduo vivo está realmente presente no momento da captura E proteger contra uma variedade de métodos e ferramentas sofisticados de ataque por injeção?”

A detecção básica de vida e a prevenção contra falsificação física, por si só, não são suficientes para atender às diretrizes do NIST. A comprovação deve ser fornecida por meio de certificação, validada por laboratórios de testes credenciados. Certifique-se de que o fornecedor possa demonstrar:

Como eles protegem a integridade de todo o fluxo de dados e verificam a integridade dos sensores/pontos finais para detectar ataques de injeção, conforme recomendado pelo NIST
Quais testes padronizados eles passaram para a detecção de ataques por injeção, e não apenas o que é alegado
A taxa de aceitação de apresentações em ataques de impostor (IAPAR) e sua comparação com os limites do NIST.

Como a arquitetura da iProov se alinha

A abordagem da iProov combina três camadas que correspondem diretamente às normas explícitas do NIST:

Vitalidade Dinâmica® com Flashmark™ oferece os recursos avançados de PAD e IAD exigidos pelo NIST – confirmando a presença genuína de uma pessoa real em tempo real no momento da captura. O Flashmark gera dados biométricos exclusivos para cada verificação, que não podem ser replicados, roubados ou reutilizados. Alcançamos a conformidade iBeta PAD com os Níveis 1 e 2 da ISO/IEC 30107-3 Níveis 1 e 2 (taxa de sucesso de ataque de 0%) e Certificação de Verificação Facial FIDO, alcançando 0% de Taxa de Aceitação de Apresentação de Ataque de Impostor (IAPAR).
A plataforma biométrica baseada em ciência da iProov analisa todo o fluxo de dados em busca de sinais de injeção, repetição e mídia gerada por IA, atendendo diretamente à exigência do NIST de proteção contra “vídeos falsificados” e ataques de injeção. Em conformidade com a norma CEN TS 18099, a única norma mundial para detecção de ataques de injeção.
iSOC oferece inteligência e monitoramento de ameaças 24 horas por dia, 7 dias por semana – a vigilância contínua recomendada pelo NIST para detectar ameaças baseadas em IA em constante evolução.

A tabela abaixo apresenta as evidências de conformidade com as diretrizes específicas:

Essa arquitetura demonstra como a iProov é a primeira e única fornecedora a atender aos requisitos de verificação biométrica incluídos nas novas diretrizes do NIST.

O que acontece a seguir?

A publicação da norma NIST SP 800-63-4 já está influenciando diretamente os processos de aquisição.

Os arquitetos de segurança precisam avaliar os fluxos de trabalho atuais à luz dessas diretrizes. As equipes de compras e os tomadores de decisão precisam compreender os requisitos tecnológicos tanto para o PAD quanto para o IAD. O modelo mudou, e as organizações agora têm condições de fazer perguntas bem fundamentadas aos seus fornecedores de biometria.

Em nossa próxima publicação desta série, apresentaremos uma estrutura prática para a auditoria de sua solução biométrica atual ou futura de acordo com a norma NIST SP 800-63-4.

Como está o desempenho do seu atual processo de verificação de identidade?

Utilize nossa ferramenta interativa de avaliação de fornecedores de soluções de verificação de presença
Baixe nosso e-book gratuito e-book gratuito “Como avaliar um fornecedor de soluções biométricas”
Agende uma demonstração consultiva com um de nossos especialistas para uma consulta especializada.

Índice

Por que o NIST reformulou as regras (O panorama das ameaças mudou completamente)
Uma mudança decisiva: elevando o padrão para a DAP e apresentando a DIA
O que o NIST recomenda em suas diretrizes atualizadas?
Validação independente: Norma CEN para IAD
Faça esta pergunta…
Como a arquitetura da iProov se alinha
O que acontece a seguir?
- Como está o desempenho do seu atual processo de verificação de identidade?

Envie-me Insights

Voltar ao blog

Relatórios

Vídeos

Eventos

Webinars

Folhas de informações

Ferramentas e calculadoras

Blog

Centro de documentação

Informações sobre o setor

Enciclopédia biométrica

Diretrizes NIST 800-63-4: Um apelo à ação em matéria de identidade

Por que o NIST reformulou as regras (O panorama das ameaças mudou completamente)

Uma mudança decisiva: elevando o padrão para a DAP e apresentando a DIA

O que o NIST recomenda em suas diretrizes atualizadas?

Validação independente: Norma CEN para IAD

Faça esta pergunta…

Como a arquitetura da iProov se alinha

O que acontece a seguir?

Como está o desempenho do seu atual processo de verificação de identidade?

Uma verificação de segurança não é suficiente: a importância da proteção de identidade em várias camadas

CEN/TS 18099: A norma que comprova a resistência a ataques por injeção

Fraude de identidade sintética: o problema das vítimas invisíveis e como resolvê-lo

Diretrizes NIST 800-63-4: Um apelo à ação em matéria de identidade

Por que o NIST reformulou as regras (O panorama das ameaças mudou completamente)

Uma mudança decisiva: elevando o padrão para a DAP e apresentando a DIA

O que o NIST recomenda em suas diretrizes atualizadas?

Validação independente: Norma CEN para IAD

Faça esta pergunta…

Como a arquitetura da iProov se alinha

O que acontece a seguir?

Como está o desempenho do seu atual processo de verificação de identidade?

Continue lendo