问题描述
我无法找到与以下情况相关的 NIST 标准:
我们应用的用户可以为其团队注册新用户。此用户提供新用户的电子邮件和个人信息,应用程序将向新用户发送一封电子邮件,其中包含一个 URL 以创建密码,没有该密码新用户将无法登录。 URL 包含一个令牌以确保密码只能为适当的用户创建一次。我们使用django管理用户,token正在创建和校验
django.contrib.auth.tokens.PasswordResetTokenGenerator
。
是否有任何 NIST 标准对此类情况有所说明?我不是搜索标准数据库的专家,所以我没有运气。
解决方法
我在 NIST Special Publication 800-63-3:
找到它们它描述了不同的身份、身份验证和联合保证级别,以及如何根据不同的风险管理需求选择这些级别。