Hướng dẫn NIST 800-63-4: Lời kêu gọi hành động về định danh

Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã phát hành Ấn phẩm Đặc biệt (SP) 800-63-4 , bản sửa đổi mới nhất của Hướng dẫn về Danh tính Kỹ thuật số.

Phiên bản mới năm 2025 thể hiện sự xem xét lại cơ bản về ý nghĩa của “danh tính kỹ thuật số an toàn” trong kỷ nguyên của video do AI tạo ra, các thị trường dịch vụ tội phạm , danh tính giả mạo và các cuộc tấn công kỹ thuật số tinh vi. Nếu bạn chịu trách nhiệm xác minh danh tính, xác thực hoặc xây dựng niềm tin kỹ thuật số, những hướng dẫn này không chỉ là một nguồn tài liệu quan trọng mà còn là lời kêu gọi hành động.

Bài viết này sẽ phân tích những thay đổi, tầm quan trọng của chúng và ý nghĩa đối với chiến lược nhận diện thương hiệu cũng như các tiêu chí giải pháp của bạn.

Vì sao NIST lại viết lại các quy tắc (bức tranh về mối đe dọa đã thay đổi hoàn toàn)

Đây là bản cập nhật đầu tiên cho Hướng dẫn về Danh tính Kỹ thuật số của NIST kể từ năm 2017, trước thời điểm diễn ra sự chuyển đổi lớn trong bối cảnh mối đe dọa với sự bùng nổ của trí tuệ nhân tạo tạo sinh và sự phổ biến rộng rãi các công cụ tấn công tinh vi nhắm vào các hệ thống danh tính kỹ thuật số.

Thực tế, bối cảnh các mối đe dọa năm 2025 hoàn toàn khác biệt so với năm 2017:

• Các công cụ tạo deepfake hiện nay rất phổ biến và không ngừng được cải tiến.
• Danh tính tổng hợp do trí tuệ nhân tạo tạo ra có thể khó phân biệt với người thật.
• Deepfake đang được phát trực tiếp trên các nền tảng hội nghị video như Zoom và Teams, cho phép kẻ tấn công mạo danh đồng nghiệp và giám đốc điều hành trong các cuộc gọi trực tiếp hoặc vượt qua bước xác minh cuộc gọi video.
• Camera ảo , thao tác thiết bị và các cuộc tấn công chèn mã có thể hoàn toàn vượt qua các biện pháp phát hiện tính xác thực kém hiệu quả.

NIST nêu rõ rằng các hướng dẫn này nhằm giải quyết “bối cảnh kỹ thuật số đang thay đổi” và sự gia tăng của các mối đe dọa tinh vi, do trí tuệ nhân tạo điều khiển. Và tất cả điều này đang diễn ra vào thời điểm ngày càng nhiều dịch vụ truyền thống trực tiếp đã chuyển sang trực tuyến.

Trung tâm điều hành an ninh iProov (iSOC) đã ghi nhận mức tăng 704% các cuộc tấn công đánh cắp danh tính từ nửa đầu đến nửa cuối năm 2023, và tiếp tục tăng thêm 300% trong năm 2024.

Bài học rút ra rất rõ ràng: các tổ chức không thể tiếp tục dựa vào các mô hình bảo mật được thiết kế trước khi trí tuệ nhân tạo tạo sinh bùng nổ. 

Một bước chuyển đổi quan trọng: Nâng tầm PAD, giới thiệu IAD

Tiêu chuẩn NIST SP 800-63-4 quy định việc phát hiện tấn công giả mạo (PAD) là bắt buộc đối với các trường hợp sử dụng có độ tin cậy cao theo tiêu chuẩn IAL2 và AAL2.

Các tiêu chuẩn và hướng dẫn về nhận dạng kỹ thuật số từ trước đến nay tập trung vào PAD (Patient-Representative Identity - Nhận dạng bằng giọng nói), vốn không phát hiện sự hiện diện vật lý của một người; nó phát hiện các yếu tố trình bày – ảnh, video phát lại hoặc mặt nạ – để xác định: Đây là khuôn mặt thật hay giả?

Đây là những thay đổi: Định nghĩa về PAD (Phân tích thiết bị đầu cuối) đầy đủ của NIST hiện bao gồm nhiều hơn các kiểm tra tính xác thực cơ bản. NIST hiện yêu cầu cả PAD và các biện pháp bảo vệ chống lại các cuộc tấn công chèn dữ liệu – các cuộc tấn công mạng vượt qua camera trên thiết bị hoặc được chèn vào luồng dữ liệu – như những yêu cầu riêng biệt, bổ sung cho nhau. Các hướng dẫn yêu cầu người kiểm chứng phải “đưa ra quyết định về hiệu suất, tính toàn vẹn và tính xác thực của cảm biến và điểm cuối”. Tiêu chuẩn đã thay đổi về cơ bản vì các tổ chức hiện phải giải quyết cả PAD và IAD (Phân tích thiết bị đầu cuối).

Tiêu chuẩn đã thay đổi về cơ bản vì các tổ chức giờ đây phải giải quyết cả PAD và IAD.

Hầu hết các giải pháp sinh trắc học có thể xử lý các cuộc tấn công giả mạo cơ bản – đó là yêu cầu tối thiểu. Rất ít giải pháp có thể phát hiện khi toàn bộ luồng dữ liệu bị xâm phạm ở cấp độ kỹ thuật số hoặc bị thay thế trong các luồng video gốc , điều mà NIST hiện đang yêu cầu và là điều mà những kẻ tấn công tinh vi đang thực hiện.

Cuộc thảo luận đã chuyển từ câu hỏi "Bạn có khả năng phát hiện người thật không?" sang "Bạn có thể chứng minh người đó thực sự có mặt tại thời điểm chụp ảnh VÀ đánh bại các cuộc tấn công chèn mã độc tinh vi không?"

NIST đưa ra những khuyến nghị gì trong hướng dẫn cập nhật của họ?

Tiêu chuẩn NIST SP 800-63-4 đưa ra các biện pháp kiểm soát cụ thể làm thay đổi hoàn toàn cuộc chơi:

• Đối với Mức độ Đảm bảo Danh tính 2 (IAL2): Các tổ chức sử dụng xác minh danh tính từ xa không đồng bộ phải triển khai tính năng phát hiện tấn công giả mạo và phân tích phương tiện truyền thông để tìm dấu hiệu của nội dung do AI tạo ra và deepfake.
• Đối với Mức độ Đảm bảo Xác thực 2 (AAL2): Các hệ thống xác thực sử dụng nhận diện khuôn mặt phải triển khai PAD. Điều quan trọng là, các bên xác thực cần xác định hiệu suất và tính toàn vẹn của cảm biến và điểm cuối liên quan để phát hiện các cuộc tấn công chèn mã.
• Đối với Mức độ Đảm bảo Liên kết 2 (FAL2): Hệ thống phải bảo vệ chống lại các xác nhận giả mạo và các cuộc tấn công chèn mã – cụ thể là “kẻ tấn công cung cấp phương tiện truyền thông không đáng tin cậy, chẳng hạn như video giả mạo của người dùng”.

NIST đã vạch ra ranh giới rõ ràng giữa các kiểm tra tính khả dụng cơ bản và việc đảm bảo tính hiện diện thực sự, bao gồm cả bảo vệ chống lại các cuộc tấn công chèn mã độc và phương tiện truyền thông giả mạo.

Vậy, làm thế nào để bạn xác định liệu giải pháp của mình có tuân thủ các bản cập nhật hướng dẫn về Nhận dạng Kỹ thuật số của NIST hay không?

Kiểm định độc lập: Tiêu chuẩn CEN cho IAD

Trong khi NIST thiết lập các yêu cầu, việc kiểm tra theo tiêu chuẩn ngành là cần thiết để xác thực các tuyên bố của nhà cung cấp ngoài việc tự chứng thực. Tiêu chuẩn đó hiện đã tồn tại: CEN TS 18099 để phát hiện tấn công chèn mã, tiêu chuẩn kiểm tra duy nhất được thiết kế đặc biệt để kiểm tra khả năng của các hệ thống sinh trắc học trong việc phát hiện và vô hiệu hóa các mối đe dọa dựa trên tấn công chèn mã.

Đầu năm nay, iProov đã đạt được chứng nhận CEN TS 18099 Cấp độ 2 (Cao) , do Ingenium Biometric Laboratories, một phòng thí nghiệm độc lập được chứng nhận ISO/IEC 17025, cấp. Chúng tôi là đơn vị đầu tiên vượt qua bài kiểm tra của Ingenium vì kiến trúc của chúng tôi được thiết kế đặc biệt để giải quyết các vấn đề về phương tiện giả mạo và tấn công chèn mã độc.

Sự tương đồng giữa các hướng dẫn của NIST và CEN không phải là ngẫu nhiên. Khi hai cơ quan độc lập cùng thống nhất về một mô hình mối đe dọa, một bên đặt ra các yêu cầu mới và một bên cung cấp các tiêu chuẩn kiểm thử, điều đó khẳng định rằng các mối đe dọa dựa trên tấn công chèn mã độc là có thật, tinh vi và đòi hỏi các biện pháp phòng vệ được kiểm thử độc lập. Tiêu chuẩn CEN TS 18099 cung cấp sự hỗ trợ khách quan, từ bên thứ ba, cho các yêu cầu của NIST: bảo vệ chống lại các cuộc tấn công chèn mã độc và phương tiện lưu trữ giả mạo.

Hãy đặt câu hỏi này…

Dưới đây là cách xác định các nhà cung cấp dịch vụ nhận dạng có khả năng chống lại các mối đe dọa từ AI:

“Bạn có thể chứng minh đối tượng còn sống thực sự có mặt tại thời điểm bắt giữ VÀ bảo vệ chống lại một loạt các phương pháp/công cụ tấn công tiêm dữ liệu tinh vi không?”

Chỉ riêng việc phát hiện sự hiện diện của người thật và ngăn chặn giả mạo vật lý là không đủ để đáp ứng các hướng dẫn của NIST. Bằng chứng cần đến từ chứng nhận, được xác thực bởi các phòng thí nghiệm kiểm định được công nhận. Hãy đảm bảo nhà cung cấp có thể chứng minh:

• Cách họ bảo vệ tính toàn vẹn của toàn bộ luồng dữ liệu và xác minh tính toàn vẹn của cảm biến/điểm cuối để phát hiện các cuộc tấn công chèn dữ liệu, theo khuyến nghị của NIST.
• Họ đã vượt qua những bài kiểm tra tiêu chuẩn nào về khả năng phát hiện tấn công chèn mã, chứ không chỉ là những gì họ tuyên bố. 
• Tỷ lệ chấp nhận bài trình bày tấn công mạo danh (IAPAR) của họ và so sánh với ngưỡng của NIST.

Kiến trúc của iProov phù hợp như thế nào?

Phương pháp của iProov kết hợp ba lớp tương ứng trực tiếp với các tiêu chuẩn rõ ràng của NIST:

• Công nghệ Dynamic Liveness ® với Flashmark ™ cung cấp khả năng PAD và IAD tiên tiến theo yêu cầu của NIST – xác nhận sự hiện diện thực sự của một người trong thời gian thực tại thời điểm chụp ảnh. Flashmark tạo ra dữ liệu sinh trắc học độc nhất cho mỗi lần xác minh, không thể sao chép, đánh cắp hoặc sử dụng lại. Chúng tôi đã đạt được chứng nhận iBeta PAD tuân thủ ISO/IEC 30107-3 Cấp độ 1 & 2 (tỷ lệ tấn công thành công 0%) và Chứng nhận Xác minh Khuôn mặt FIDO, đạt Tỷ lệ Chấp nhận Trình bày Tấn công Giả mạo (IAPAR) 0%.
• Nền tảng sinh trắc học dựa trên khoa học của iProov phân tích toàn bộ luồng dữ liệu để tìm dấu hiệu chèn mã độc, phát lại và phương tiện truyền thông do AI tạo ra, đáp ứng trực tiếp yêu cầu của NIST về bảo vệ chống lại "video giả mạo" và các cuộc tấn công chèn mã độc. Đạt tiêu chuẩn CEN TS 18099, tiêu chuẩn duy nhất trên thế giới về phát hiện tấn công chèn mã độc.
• iSOC cung cấp thông tin tình báo và giám sát mối đe dọa 24/7 – sự cảnh giác liên tục mà NIST khuyến nghị để phát hiện các mối đe dọa dựa trên trí tuệ nhân tạo đang phát triển.

Bảng dưới đây thể hiện sự phù hợp với các hướng dẫn cụ thể: 

Kiến trúc này chứng minh iProov là nhà cung cấp đầu tiên và duy nhất đáp ứng các yêu cầu xác minh sinh trắc học được nêu trong hướng dẫn mới của NIST.

Điều gì sẽ xảy ra tiếp theo?

Việc ban hành NIST SP 800-63-4 đã và đang tác động trực tiếp đến các quy trình mua sắm.

Các kiến trúc sư bảo mật cần kiểm tra lại quy trình làm việc hiện tại dựa trên các hướng dẫn này. Các nhóm mua sắm và người ra quyết định cần hiểu rõ các yêu cầu công nghệ đối với cả PAD và IAD. Bản kế hoạch đã thay đổi, và các tổ chức hiện được trao quyền đặt ra những câu hỏi có cơ sở cho các nhà cung cấp sinh trắc học của họ.

Trong bài viết tiếp theo của loạt bài này, chúng tôi sẽ cung cấp cho bạn một khuôn khổ thực tiễn để kiểm định giải pháp sinh trắc học hiện tại hoặc tiềm năng của bạn theo tiêu chuẩn NIST SP 800-63-4.

Hệ thống xác minh danh tính hiện tại của bạn đáp ứng các tiêu chuẩn như thế nào? 

• Sử dụng công cụ Đánh giá Nhà cung cấp Liveness tương tác của chúng tôi
• Tải xuống sách điện tử miễn phí của chúng tôi "Cách đánh giá nhà cung cấp giải pháp sinh trắc học"
• Đặt lịch trình demo tư vấn với một trong những chuyên gia của chúng tôi để được tư vấn chuyên sâu.