Reguleret arbejde kommer ofte med en tilknyttet godkendelsesstandard. US FDA Title 21 CFR Part 11 og de sikkerhedskontroller, der er skrevet ind i mange forsvars- og rumfartskontrakter, forventer, at brugerkonti følger offentliggjorte regler for, hvordan en adgangskode vælges, hvordan den gemmes, og hvor længe et login forbliver gyldigt. PartsBox kan håndhæve reglerne i NIST Special Publication 800-63B på Authenticator Assurance Level 1 (AAL1).
Hvad håndhævelse tilføjer
En administrator slår dette til for organisationen i databaseindstillingerne. Når det er aktiveret, gælder det for alle medlemmer af den database:
- Screening af almindelige adgangskoder. Når nogen indstiller eller ændrer en adgangskode, tjekker PartsBox den mod en liste over de mest almindelige adgangskoder og afviser et match. Du vælger, hvor stor den liste er — de øverste 100 poster som standard, op til de øverste 100.000.
- Grænse for sessionens levetid. Et login forbliver gyldigt i højst 30 dage. Derefter logger brugeren ind igen, uanset om sessionen stadig var aktiv eller ej. Dette er den grænse for gengodkendelse, som AAL1 sætter.
Noget af det, NIST 800-63B beder om, gør PartsBox allerede for hver konto, på alle abonnementer:
- Adgangskodelængde. En adgangskode er mellem 8 og 512 tegn. Lange adgangskodesætninger er tilladt, uden tvungne symbolregler og ingen periodisk udløb, hvilket matcher den aktuelle NIST-vejledning.
- Unicode-normalisering. Adgangskoder normaliseres før hashing, så en adgangskodesætning godkendes på samme måde på tværs af forskellige tastaturer og enheder.
- Saltet, hashet opbevaring. En adgangskode gemmes kun som en saltet bcrypt-hash, aldrig i en form, som nogen kan læse.
- Udelukkelse efter gentagne fejl. For mange forkerte adgangskoder i træk låser kontoen i en kort periode, hvilket stopper gætteri af adgangskoder.
AAL1 er enkeltfaktor: en adgangskode, valgt og håndteret korrekt, er nok. PartsBox tilføjer ikke en anden godkendelsesfaktor. For resten af en reguleret opsætning, kombiner disse regler med rollebaseret adgangskontrol, revisionssporet og partikontrol — se Title 21 CFR Part 11 for, hvordan brikkerne passer sammen.
Håndhævelse af NIST SP 800-63B AAL1 er på Compliance-planen.