主要观点：

• 关于密码更改的讨论频繁，NIST 评估中常涉及密码安全和复杂度要求，目前存在误解认为不必常改密码和使用 MFA 等。
• NIST 密码指南易被误解，其主要针对与外部用户交互的组织服务，不适用于内部系统，应结合风险分析使用。
• 组织应遵循多种框架的密码和访问指南，可通过风险评估确定身份保证水平（IAL）、认证保证水平（AAL）和联合保证水平（FAL）来实施安全措施，且持续评估和改进很重要。

关键信息：

• NIST 新指南范围主要是与外部用户交互的服务，26 页定义基于风险的流程选择合适的 IAL、AAL 和 FAL。
• 新密码指南支持 AAL1，仅允许单独使用密码但应提供多因素选项，未进行风险分析就调整密码规则是不恰当的。
• 审计或咨询时常见关于是否需要 MFA 和密码实施最佳实践的问题，应从框架开始建立治理和安全基础。
• 组织可通过定义服务范围、识别风险等进行风险评估，确定 IAL、AAL 和 FAL 来选择合适的安全措施，不同系统可有不同级别。

重要细节：

• NIST 密码指南草案可能更改，不同系统如处理敏感数据的级别不同，如处理信用卡数据的系统可能为 Level 3。
• 示例中说明身份证明、认证和联合的过程及相关概念，如注册服务时的身份确认等。
• 强调实施 MFA 的重要性，若怀疑密码被泄露应立即报告和更改，并告知所有用户，安全是每个人的责任。