Artikel

NIST Special Publication 800-63B

Was ist NIST?

Das National Institute of Standards and Technology (NIST) ist eine nichtregulierende Bundesbehörde im U.S. Department of Commerce. Es wurde 1901 als National Bureau of Standards (NBS) gegründet, um eine unzureichende Messinfrastruktur zu beheben, die die USA im Industriesektor erheblich benachteiligten. 1988 wurde die Organisation umbenannt, um ihrer erweiterten Rolle und den damit verbundenen Verantwortlichkeiten Rechnung zu tragen.

NIST verfolgt die Mission, Innovation und industrielle Wettbewerbsfähigkeit in den USA zu fördern – durch den Ausbau von Messwissenschaft, Standards und Technologie mit dem Ziel, wirtschaftliche Sicherheit zu stärken und die Lebensqualität zu verbessern. Zu den Kernkompetenzen zählen Messwissenschaft, strenge Rückführbarkeit sowie die Entwicklung und Anwendung von Standards.

Ursprünglich auf Physik und Ingenieurwissenschaften fokussiert, wurde der Aufgabenbereich von NIST um Informationstechnologie, Cybersecurity und weitere Zukunftstechnologien erweitert. Die Behörde betreibt Spitzenforschung in Disziplinen wie Physik, Ingenieurwesen, IT, Nanotechnologie und Materialwissenschaften.

NIST ist vor allem für seine Rolle bei der Entwicklung und Förderung von Standards bekannt. Diese Standards bilden die Grundlage für die Kompatibilität zwischen unterschiedlichen Technologien und stellen sicher, dass sie reibungslos zusammenarbeiten können.

"NIST unterstützt die Entwicklung von Standards, indem es Bedarfsfelder identifiziert, Stakeholder zusammenbringt und technische sowie wissenschaftliche Beratung und Expertise bereitstellt, damit Stakeholder-Gruppen einen Konsens erreichen können."

Die von NIST bereitgestellten Standards kommen in zahlreichen Branchen zum Einsatz – darunter Fertigung, Telekommunikation, Biotechnologie, IT und Gesundheitswesen. Die Arbeit von NIST beeinflusst ein breites Spektrum: von fortschrittlichen Nanomaterialien und elektronischen Gesundheitsakten bis hin zu Computerchips und intelligenten Stromnetzen.

NIST entwickelt außerdem Cybersecurity-Standards, Richtlinien und Best Practices zur Unterstützung von US-Industrie, Bundesbehörden und der breiten Öffentlichkeit. Darüber hinaus treibt NIST das Verständnis für das Management von Datenschutzrisiken voran. Zu den Sicherheits- und Datenschutzbereichen, zu denen NIST beiträgt, zählen:

  • Kryptografie
  • Cybersecurity-Ausbildung und Personalentwicklung
  • Cybersecurity-Messung
  • Identity and Access Management
  • Privacy Engineering
  • Risikomanagement
  • Absicherung neuer Technologien
  • Vertrauenswürdige Netzwerke
  • Vertrauenswürdige Plattformen

Was ist NIST 800-63B?

Die NIST Special Publication 800-63B definiert technische Anforderungen für Bundesbehörden, die digitale Identitätsdienste implementieren. Sie umfasst Identitätsprüfung und Authentifizierung von Benutzern, die über offene Netzwerke mit staatlichen IT-Systemen interagieren. Die Authentifizierung digitaler Identitäten über ein offenes Netzwerk eröffnet Angriffsflächen für Identitätsdiebstahl und andere Angriffe, die zu einer betrügerischen Nutzung führen können.

NIST 800-63B wird zudem in mehreren Branchen – darunter Gesundheitswesen und Finanzdienstleistungen – als Grundlage für Identity and Access Management -Anforderungen genutzt. Zu den weiteren Standards, die auf NIST SP 800-63 verweisen, zählen:

  • Financial Industry Regulatory Authority (FINRA): Hinweis zur Multi-Faktor-Authentifizierung
  • U.S. Drug Enforcement Administration (DEA): Electronic Prescriptions for Controlled Substances (EPCS)
  • U.S. Federal Risk and Authorization Management Program (FedRAMP)

Authenticator Assurance Levels (AAL) nach NIST 800-63B

NIST 800-63B beschreibt, wie sich eine Person bei einem Credential Service Provider (CSP) sicher authentifizieren kann, um auf einen digitalen Dienst zuzugreifen – auf drei Authenticator Assurance Levels (AAL). Der Standard enthält konkrete Empfehlungen zu Authentifizierungsverfahren und der Auswahl geeigneter Authenticatoren für die jeweiligen Stufen.

NIST unterscheidet neun Authenticator-Typen:

  1. Memorized secrets
    Der häufigste Authenticator-Typ – darunter Passwörter, Passphrasen und PINs. Passphrasen sind länger als Passwörter und können Leerzeichen enthalten; PINs bezeichnen typischerweise ein numerisches Geheimnis.
  2. Look-up secrets
    Vom CSP an den Abonnenten ausgegeben; jedes Secret kann nur einmal verwendet werden. Meist als Backup-Authenticator eingesetzt, wenn ein primärer Authenticator verloren geht, gestohlen wird oder ausfällt.
  3. Out-of-band devices
    Nutzen einen separaten, privaten Kommunikationskanal, um die Kontrolle des Anforderers über ein bestimmtes physisches Gerät (z. B. ein Smartphone) nachzuweisen.
  4. Single-factor OTP device
    Ein Gerät im Besitz des Abonnenten, das Einmalpasswörter erzeugt, die angezeigt und manuell eingegeben werden.
  5. Multi-factor OTP devices
    Ähnlich wie Single-Factor-OTP-Geräte, erfordern jedoch zur Generierung eines Einmalpassworts die Eingabe eines gemerkten Geheimnisses oder die Vorlage eines biometrischen Merkmals.
  6. Single-factor cryptographic software
    Ein geheimer kryptografischer Schlüssel ist mit Software verknüpft, die auf einem softwarezugänglichen Medium gespeichert ist.
  7. Single-factor cryptographic devices
    Wie kryptografische Einfaktor-Software, jedoch ist der private Schlüssel in einem Hardwaregerät gespeichert und kann im Normalbetrieb nicht exportiert werden.
  8. Multi-factor cryptographic software
    Wie Einfaktor-Variante, erfordert jedoch zusätzlich die Eingabe eines gemerkten Geheimnisses, um auf den privaten Schlüssel zuzugreifen.
  9. Multi-factor cryptographic devices
    Wie Single-Factor-Variante, erfordert jedoch die Aktivierung durch ein gemerkte Geheimnis oder die Verifizierung eines biometrischen Merkmals.

NIST 800-63B bewertet die Stärke der Authentifizierung anhand des Authenticator Assurance Level. Je stärker die Authentifizierung, desto mehr Ressourcen und Kenntnisse müssen Angreifer aufwenden, um die Kontrollen zu umgehen. Im Folgenden eine Übersicht der drei Authenticator Assurance Levels.

Authenticator Assurance Level 1 (AAL1)
AAL1 bietet eine grundlegende Sicherheit, dass der Benutzer einen an das aufgerufene Konto gebundenen Authenticator kontrolliert. Voraussetzung ist der Einsatz von Single-Factor- oder Multi-Factor-Authentifizierung. Alle neun oben genannten Authenticatoren sind auf AAL1 zulässig.

Eine erfolgreiche Authentifizierung auf AAL1 setzt voraus, dass der Benutzer Besitz und Kontrolle über den Authenticator mittels eines sicheren Authentifizierungsprotokolls nachweist. Bei verlängerten Nutzungssitzungen muss die Reauthentifizierung mindestens alle 30 Tage wiederholt werden – unabhängig von der Benutzeraktivität. Wird dieses Zeitlimit erreicht, muss die Sitzung beendet werden.

Authenticator Assurance Level 2 (AAL2)
Auf AAL2 besteht ein hohes Maß an Sicherheit, dass der Benutzer die Authenticatoren kontrolliert. Zugelassene kryptografische Verfahren sind auf dieser Stufe verpflichtend. Über sichere Authentifizierungsprotokolle muss der Nachweis von Besitz und Kontrolle über zwei unterschiedliche Authentifizierungsfaktoren erbracht werden.

Wird ein Multi-Faktor-Authenticator verwendet, können folgende Typen eingesetzt werden:

  • Multi-Faktor-OTP-Gerät
  • Multi-Faktor-kryptografische Software
  • Multi-Faktor-kryptografisches Gerät

Wird eine Kombination aus zwei Single-Faktor-Authenticatoren verwendet, muss einer davon ein Memorized-Secret-Authenticator sein und der andere ein besitzbasierter Authenticator (etwas, das Sie besitzen). Optionen für besitzbasierte Authenticatoren:

  • Look-up Secret
  • Out-of-band-Gerät
  • Single-Factor-OTP-Gerät
  • Single-Factor-kryptografische Software
  • Single-Factor-kryptografisches Gerät

Bei AAL2 muss die Reauthentifizierung während verlängerter Nutzungssitzungen mindestens alle 12 Stunden wiederholt werden – unabhängig von der Benutzeraktivität. Nach jeder Inaktivitätsphase von 30 Minuten oder länger ist eine erneute Authentifizierung erforderlich. Sobald eines dieser Zeitlimits erreicht ist, muss die Sitzung beendet werden.

Authenticator Assurance Level 3 (AAL3)
AAL3 bietet ein sehr hohes Maß an Sicherheit, dass der Benutzer die Authenticatoren kontrolliert. Erforderlich ist der Besitznachweis eines Schlüssels über ein kryptografisches Protokoll.

Die Authentifizierung nach AAL3 erfordert einen hardwarebasierten Authenticator sowie einen Authenticator mit nachweisbarer Resistenz gegen Identitätsnachahmung. Zugelassene kryptografische Verfahren sind dabei verpflichtend.

Für die Authentifizierung auf AAL3 müssen Benutzer Besitz und Kontrolle über zwei unterschiedliche Authenticatoren mittels sicherer Authentifizierungsfaktoren nachweisen. Zugelassene Authenticatoren bei AAL3:

  • Multi-Faktor-kryptografisches Gerät
  • Single-Factor-kryptografisches Gerät in Verbindung mit einem gemerkten Geheimnis
  • Multi-Faktor-OTP-Gerät (Software oder Hardware) in Verbindung mit einem Single-Factor-kryptografischen Gerät
  • Multi-Faktor-OTP-Gerät (nur Hardware) in Verbindung mit Single-Factor-kryptografischer Software
  • Single-Factor-OTP-Gerät (nur Hardware) in Verbindung mit einem Multi-Faktor-kryptografischen Software-Authenticator
  • Single-Factor-OTP-Gerät (nur Hardware) in Verbindung mit einem Single-Factor-kryptografischen Software-Authenticator und einem gemerkten Geheimnis

Bei AAL3 muss die periodische Reauthentifizierung während verlängerter Nutzungssitzungen mindestens alle 12 Stunden wiederholt werden – unabhängig von der Benutzeraktivität. Nach jeder Inaktivitätsphase von 15 Minuten oder länger ist eine erneute Authentifizierung unter Verwendung beider Faktoren erforderlich. Sobald eines dieser Zeitlimits erreicht ist, muss die Sitzung beendet werden.

Authenticator Lifecycle Management nach NIST 800-63B

Der Abschnitt zum Authenticator Lifecycle Management in NIST 800-63B behandelt den Umgang mit Authenticatoren in allen Phasen – einschließlich der Nutzung von Bring-Your-Own-Authenticatoren als Ergänzung zu oder Ersatz für CSP-ausgegebene Authenticatoren.

Die Richtlinien verwenden den Begriff Binding statt Issuing, um auch Authenticatoren einzuschließen, die von Benutzern stammen. Es gibt vier Binding-Kategorien: Binding bei der Registrierung, Post-Enrollment-Binding, Binding an einen vom Abonnenten bereitgestellten Authenticator sowie Erneuerungen.

Das Binding bei der Registrierung umfasst das Verknüpfen eines oder mehrerer Authenticatoren – in der Regel unmittelbar nach der Bestätigung, dass ein Benutzer tatsächlich die behauptete Identität hat (in NIST 800-63B als Identity-Proofing-Transaktion bezeichnet). Entscheidend ist, dass das Binding eng mit dem Identity-Proofing-Prozess gekoppelt ist, um sicherzustellen, dass die Person, die einen Authenticator mit dem Abonnentenkonto verknüpft, tatsächlich dieser Abonnent ist.

Das Post-Enrollment-Binding umfasst das Hinzufügen weiterer Authenticatoren als Backup sowie Maßnahmen bei Verlust, Diebstahl oder Beschädigung – oft als Account Recovery bezeichnet. Am häufigsten tritt dieser Fall auf, wenn ein Benutzer einen weiteren Authenticator hinzufügen oder einen verlorenen bzw. beschädigten ersetzen möchte.

Das Binding an einen vom Abonnenten bereitgestellten Authenticator (Bring Your Own Authenticator) setzt voraus, dass der CSP Typ und Sicherheitsniveau der zu verknüpfenden Authenticatoren bewertet. Ist dies nicht zufriedenstellend möglich, geht der CSP beim Binding standardmäßig vom schwächeren Authenticator-Typ aus – z. B. Single-Factor statt Multi-Factor oder softwarebasiert statt hardwarebasiert.

Das Ablaufdatum von Authenticatoren ist nach NIST 800-63B zulässig, jedoch nicht vorgeschrieben. Die Empfehlung lautet, das Risiko eines unentdeckten Verlusts eines Authenticators gegen die Kosten und Komplexität einer Neuausgabe abzuwägen.

NIST 800-63B: Passwortleitlinien & Best Practices

Die in NIST 800-63B definierten Richtlinien markieren einen Paradigmenwechsel gegenüber klassischen Passwort-Sicherheitsprotokollen. Die aktuelle Überarbeitung beschreibt Vorgehensweisen, die das Sicherheitsniveau aufrechterhalten und zugleich die Belastung für Benutzer reduzieren.

Die Richtlinien tragen der Erkenntnis Rechnung, dass übermäßig restriktive Kontrollen häufig zu weniger Sicherheit führen, weil Benutzer Ausweichlösungen nutzen, die das Sicherheitsniveau unterlaufen. Nachfolgend die wichtigsten Passwortleitlinien und Best Practices auf Basis von NIST 800-63B.

Sperrliste für häufig verwendete Passwörter

NIST 800-63B schreibt den Einsatz einer Sperrliste vor, um offensichtliche, leicht zu erratende Passwörter zu blockieren. Nicht zulässig sind unter anderem Passwörter aus bekannten Datenpannen sowie einfache, leicht zu erratende Passwörter.

Fehlgeschlagene Passwortversuche begrenzen

Um Brute-Force-Angriffe zu verhindern, sollte die Anzahl fehlgeschlagener Anmeldeversuche begrenzt werden.

Passwortablauf und Zurücksetzen

NIST 800-63B empfiehlt, Passwortablauf und -zurücksetzen nur bei einer bekannten Kompromittierung oder einmal jährlich durchzusetzen. Häufigere Passwortänderungen werden nicht empfohlen – außer auf Benutzeranfrage oder bei Hinweisen auf eine Sicherheitsverletzung.

Passwortkomplexität

Die NIST-800-63B-Leitlinien zur Passwortkomplexität markieren einen weiteren Paradigmenwechsel: Längere Passwörter sind in der Regel sicherer als besonders komplexe. NIST rät davon ab, bestimmte Zeichentypen vorzuschreiben (z. B. eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen). Stattdessen empfehlen die Leitlinien, eine breite Palette an Zeichen zuzulassen und Benutzer bei der Erstellung leicht merkbarer, benutzerfreundlicher Passwörter zu unterstützen.

Passworthinweise und wissensbasierte Sicherheitsfragen

Von Passworthinweisen oder wissensbasierten Fragen (z. B. Wie lautet der Maedchenname Ihrer Mutter?) wird abgeraten, da sich diese Informationen häufig leicht erraten oder recherchieren lassen.

Passwortlänge

NIST 800-63B empfiehlt die Verwendung langer Passwörter: mindestens acht Zeichen für benutzergewählte Passwörter und mindestens sechs Zeichen für systemgenerierte Passwörter.

Rate Limiting

Implementieren Sie Rate Limiting für Passwortversuche, um automatisierte Angriffe wie Brute-Force zu verhindern. Das Rate Limiting sollte anhand des Benutzerkontexts angepasst werden – etwa basierend auf Standort, verwendetem Gerät oder Zugriffszeitpunkt.

Wer muss NIST 800-63B einhalten?

NIST 800-63B ist für alle US-Bundesbehörden verbindlich. Darüber hinaus können auch Organisationen und Anbieter, die Leistungen für Bundesbehörden erbringen oder Daten der Bundesregierung verarbeiten, zur Einhaltung der NIST-800-63B-Standards verpflichtet sein.

Sicherheitsstatus mit NIST 800-63B optimieren

Wie andere NIST-Veröffentlichungen lassen sich auch die in NIST 800-63B formulierten Richtlinien breit auf Organisationen außerhalb der US-Bundesverwaltung anwenden. Der Standard ist zudem leicht zugänglich und kostenlos verfügbar.

Organisationen jeder Art nutzen diese Leitlinien und Best Practices, um komplexe Herausforderungen rund um die Authentifizierung digitaler Identitäten und das Authenticator Lifecycle Management zu adressieren. Darüber hinaus dienen die Leitlinien als Referenzrahmen für weitere organisationsinterne Richtlinien im Bereich digitaler Identitäten.

Datum: 21. Mai 2026Lesezeit: 12 Minuten
Cybersicherheit

Die ersten Schritte

Erfahren Sie, was SailPoint Identity Security für Ihr Unternehmen leisten kann

Entdecken Sie, wie unsere Lösungen moderne Unternehmen dabei unterstützen, die Herausforderung des sicheren Zugriffs auf Ressourcen zu meistern – ohne Kompromisse bei Produktivität oder Innovation.

Eine Demo anfordernKontakt