Diretrizes NIST 800-63-4: Um apelo à ação em matéria de identidade

O Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA divulgou a sua Publicação Especial (SP) 800-63-4, a mais recente revisão das suas Diretrizes de Identidade Digital.

A nova versão 2025 representa uma reformulação fundamental do que significa «identidade digital segura» numa era de vídeos gerados por IA, mercados de crimes como serviço, identidades sintéticase ataques digitalmente sofisticados. Se é responsável pela verificação de identidade, autenticação ou confiança digital, estas diretrizes não são apenas um recurso crítico; são um apelo à ação.

Este artigo detalha o que mudou, por que isso é importante e o que isso significa para a sua estratégia de identidade e critérios de solução.

Por que o NIST reescreveu as regras (o panorama das ameaças mudou completamente)

Esta é a primeira atualização das Diretrizes de Identidade Digital do NIST desde 2017, que antecede uma transformação massiva no cenário de ameaças com a explosão da IA generativa e a democratização de ferramentas de ataque sofisticadas direcionadas a sistemas de identidade digital.

Na verdade, o panorama das ameaças em 2025 é irreconhecível em comparação com 2017:

• As ferramentas de geração de deepfakes estão amplamente disponíveis e em constante aperfeiçoamento.
• As identidades sintéticas geradas por IA podem ser indistinguíveis das pessoas reais.
• Os deepfakes estão a ser transmitidos em tempo real para plataformas de videoconferência como o Zoom e o Teams, permitindo que os atacantes se façam passar por colegas e executivos durante chamadas ao vivo ou contornem a verificação de videochamadas
• Câmaras virtuais, manipulação de dispositivos e ataques de injeção podem contornar completamente a detecção de vivacidade abaixo do padrão.

O NIST afirma explicitamente que estas diretrizes abordam a «mudança no panorama digital» e o aumento de ameaças sofisticadas impulsionadas pela IA. E tudo isso está a ocorrer num momento em que um número crescente de serviços tradicionais presenciais passou a ser oferecido online.

O Centro de Operações de Segurança da iProov (iSOC) documentou um aumento de 704% nos ataques de troca de rosto entre o primeiro e o segundo semestre de 2023, com um aumento adicional de aumento de 300% em 2024.

A lição é clara: as organizações não podem mais confiar em modelos de segurança projetados antes da explosão da IA generativa. 

Uma mudança crítica: elevando o padrão do PAD, apresentando o IAD

A norma NIST SP 800-63-4 torna Detecção de Ataques de Apresentação (PAD) obrigatória para casos de uso de alta segurança sob IAL2 e AAL2.

As normas e diretrizes de identidade digital têm-se concentrado historicamente no PAD, que não deteta se alguém está fisicamente presente; ele deteta artefactos de apresentação – fotos, reproduções de vídeo ou máscaras – para determinar: este é um rosto real ou falso?

Eis o que mudou: a definição do NIST de PAD adequado agora abrange muito mais do que verificações básicas de atividade. verificações de vitalidade. O NIST agora exige tanto o PAD quanto proteções contra ataques de injeção — ataques cibernéticos que contornam a câmara de um dispositivo ou são injetados em um fluxo de dados — como requisitos separados e complementares. As diretrizes exigem que os verificadores “determinem o desempenho, a integridade e a autenticidade do sensor e do terminal”. O padrão mudou fundamentalmente porque as organizações agora devem abordar tanto o PAD quanto o IAD.

O padrão mudou radicalmente porque as organizações agora precisam lidar tanto com PAD quanto com IAD.

A maioria das soluções biométricas consegue lidar com ataques básicos de apresentação – esse é um requisito mínimo. Muito poucas conseguem detectar quando todo o fluxo de dados foi comprometido no nível digital ou substituído em fluxos de vídeo nativos, que é exatamente o que o NIST exige agora e o que os atacantes sofisticados estão a fazer.

A conversa evoluiu de «você tem detecção de vivacidade?» para «você pode provar que a pessoa certa está realmente presente no momento da captura E derrotar ataques sofisticados de injeção?»

O que o NIST recomenda nas suas diretrizes atualizadas?

A norma NIST SP 800-63-4 introduz controlos específicos que mudam o jogo:

• Para o Nível 2 de Garantia de Identidade (IAL2): As organizações que utilizam a verificação remota assíncrona de identidade devem implementar a deteção de ataques de apresentação e analisar os meios de comunicação em busca de assinaturas de conteúdo gerado por IA e deepfakes.
• Para o Nível de Garantia de Autenticação 2 (AAL2): Os sistemas de autenticação que utilizam verificação facial devem implementar PAD. É fundamental que os verificadores determinem o desempenho e a integridade do sensor e do seu terminal associado para detetar ataques de injeção.
• Para o Nível de Garantia da Federação 2 (FAL2): Os sistemas devem proteger contra afirmações falsas e ataques de injeção – especificamente «um invasor que fornece mídia não confiável, como um vídeo falsificado de um utilizador».

O NIST estabeleceu uma linha clara entre verificações básicas de vitalidade e garantia de presença genuína, que inclui proteção contra ataques de injeção e meios falsificados.

Então, como você pode verificar se a sua solução está em conformidade com as atualizações das diretrizes de identidade digital do NIST?

Validação independente: Norma CEN para IAD

Embora o NIST estabeleça requisitos, são necessários testes padrão da indústria para validar as alegações dos fornecedores além da autoatestação. Esse padrão agora existe: CEN TS 18099 para deteção de ataques de injeção, o único padrão de teste projetado especificamente para testar a capacidade dos sistemas biométricos de detetar e derrotar ameaças baseadas em injeção.

No início deste ano, a iProov obteve a certificação CEN TS 18099 Nível 2 (Alto), concedida pela Ingenium Biometric Laboratories, um laboratório independente acreditado pela ISO/IEC 17025. Fomos os primeiros a ser aprovados pela Ingenium porque a nossa arquitetura foi concebida especificamente para lidar com ataques de mídia falsificada e injeção.

A convergência entre as diretrizes do NIST e do CEN não é coincidência. Quando duas autoridades independentes convergem para o mesmo modelo de ameaça, uma estabelecendo novos requisitos e outra fornecendo padrões de teste, isso confirma que as ameaças baseadas em injeção são reais, sofisticadas e exigem defesas testadas de forma independente. A norma CEN TS 18099 fornece suporte objetivo e independente às exigências do NIST: proteção contra ataques de injeção e mídias falsificadas.

Faça esta pergunta...

Veja como identificar fornecedores de identidade resilientes a ameaças de IA:

«É possível comprovar que um indivíduo vivo está realmente presente no momento da captura E proteger contra uma variedade de métodos/instrumentos sofisticados de ataque por injeção?»

A deteção básica de atividade e a prevenção física de falsificação, por si só, são insuficientes para cumprir as diretrizes do NIST. A prova deve vir da certificação, validada por laboratórios de testes acreditados. Certifique-se de que o fornecedor pode demonstrar:

• Como protegem a integridade de todo o fluxo de dados e verificam a integridade do sensor/ponto final para detetar ataques de injeção, conforme recomendado pelo NIST
• Que testes padronizados eles passaram para detecção de ataques de injeção, não apenas o que é alegado 
• A Taxa de Aceitação de Ataques de Impostores (IAPAR) e como ela se compara aos limites do NIST.

Como a arquitetura da iProov se alinha

A abordagem da iProov combina três camadas que correspondem diretamente às normas explícitas do NIST:

• Vitalidade Dinâmica® com Flashmark™  fornece os avançados PAD e IAD exigidos pelo NIST – confirmando a presença genuína de uma pessoa real em tempo real no momento da captura. O Flashmark cria dados biométricos exclusivos para cada verificação, que não podem ser replicados, roubados ou reutilizados. Alcançamos a conformidade iBeta PAD com ISO/IEC 30107-3 Níveis 1 e 2 (taxa de sucesso de ataque de 0%) e a Certificação FIDO Face Verification, atingindo 0% de taxa de aceitação de apresentação de ataque de impostor (IAPAR). 
• A plataforma biométrica baseada em ciência da iProov analisa todo o fluxo de dados em busca de sinais de injeção, repetição e mídia gerada por IA, atendendo diretamente à exigência do NIST de proteção contra "vídeos falsificados" e ataques de injeção. Aprovada pela CEN TS 18099, a única norma mundial para deteção de ataques de injeção. 
• O iSOC fornece inteligência e monitorização de ameaças 24 horas por dia, 7 dias por semana – a vigilância contínua recomendada pelo NIST para detetar ameaças baseadas em IA em constante evolução.

A tabela abaixo apresenta as evidências de alinhamento com as diretrizes específicas: 

Esta arquitetura demonstra como a iProov é o primeiro e único fornecedor a cumprir os requisitos de verificação biométrica incluídos nas novas diretrizes do NIST.

O que acontece a seguir?

O lançamento da norma NIST SP 800-63-4 já está a influenciar diretamente os processos de aquisição.

Os arquitetos de segurança precisam auditar os fluxos de trabalho atuais em relação a essas diretrizes. As equipas de compras e os tomadores de decisão precisam entender os requisitos tecnológicos para PAD e IAD. O plano mudou, e as organizações agora têm o poder de fazer perguntas informadas aos seus fornecedores de biometria. 

Na nossa próxima publicação desta série, forneceremos uma estrutura prática para auditar a sua solução biométrica atual ou futura em relação à norma NIST SP 800-63-4.

Como está a sua verificação de identidade atual? 

• Use a nossa ferramenta interativa de Avaliação de Fornecedores de Liveness
• Faça o download gratuito do nosso eBook "Como avaliar um fornecedor de biometria" 
• Marque uma demonstração consultiva com um dos nossos especialistas para uma consulta especializada.