以下是《數字身份準則》（NIST SP 800-63-3）的摘錄：
. 在數字認證申請人擁有並控制一個或多個鑑定人已註冊與CSP和用於證明申請人的身份。身份驗證者包含秘密，索賠人可以使用這些秘密來證明他或她是有效的訂戶，索賠人通過證明他或她擁有並控制一個或多個身份驗證者來通過網絡對系統或應用程序進行身份驗證。
. 認證者中包含的秘密基於公共密鑰對（非對稱密鑰）或共享秘密（對稱密鑰）。公鑰和相關的私鑰構成公鑰對。私鑰存儲在身份驗證器上，並由索償人用來證明對身份驗證器的擁有和控制。驗證者通過某種憑證（通常是公共密鑰證書）知道索賠人的公鑰，可以使用驗證協議通過證明索賠人擁有並控制關聯的私鑰驗證者來驗證索賠人的身份。
. 存儲在身份驗證器上的共享機密可以是對稱密鑰或存儲的機密（例如密碼和PIN）與上述非對稱密鑰相反，訂戶無需與驗證者共享。儘管密鑰和密碼都可以在類似的協議中使用，但兩者之間的一個重要區別是它們與訂戶的關係。雖然對稱密鑰通常存儲在用戶控制的硬件或軟件中，但是密碼旨在由用戶存儲。由於大多數用戶選擇短密碼以方便記憶和易於輸入，因此密碼通常比加密密鑰具有更少的字符。此外，儘管系統隨機選擇密鑰，但是嘗試選擇具有紀念意義的密碼的用戶通常會從給定長度的可能密碼的很小一部分中進行選擇，並且許多人會選擇非常相似的值。因此，
. 在本卷中，身份驗證者始終包含一個秘密。一些經典的身份驗證因素並不直接適用於數字身份驗證。例如，物理駕駛執照是您擁有的東西，在向人員（例如，安全警衛）進行身份驗證時可能很有用，但其本身並不是用於數字身份驗證的身份驗證器。歸類為您知道的身份驗證因素也不一定是秘密。基於知識的身份驗證（提示索賠人回答可能僅由索賠人知道的問題）也不構成數字身份驗證的可接受機密。生物特徵識別也不構成秘密。因此，這些指南僅在與物理驗證者緊密綁定時才允許將生物識別技術用於驗證。

參考
數字身份準則（NIST SP 800-63-3）
密鑰管理建議：第2部分–密鑰管理組織的最佳做法（NIST SP 800-57第2部分R1）

資料來源：Wentz Wu QOTD-20201107