NIST-Sicherheitsregeln

Regulierte Arbeit ist oft mit einem Authentifizierungsstandard verbunden. US FDA Title 21 CFR Part 11 und die Sicherheitskontrollen, die in vielen Verteidigungs- und Luft- und Raumfahrtverträgen festgeschrieben sind, erwarten, dass Benutzerkonten veröffentlichten Regeln folgen, wie ein Passwort gewählt wird, wie es gespeichert wird und wie lange ein Login gültig bleibt. PartsBox kann die Regeln in der NIST Special Publication 800-63B auf Authenticator Assurance Level 1 (AAL1) durchsetzen.

Was die Durchsetzung hinzufügt

Ein Administrator aktiviert dies für die Organisation in den Datenbankeinstellungen. Sobald es aktiviert ist, gilt es für jedes Mitglied dieser Datenbank:

  • Prüfung auf häufige Passwörter. Wenn jemand ein Passwort festlegt oder ändert, gleicht PartsBox es mit einer Liste der häufigsten Passwörter ab und lehnt eine Übereinstimmung ab. Sie wählen, wie groß diese Liste ist — standardmäßig die Top 100 Einträge, bis zu den Top 100.000.
  • Limit für die Sitzungsdauer. Ein Login bleibt höchstens 30 Tage gültig. Danach meldet sich der Benutzer erneut an, unabhängig davon, ob die Sitzung noch aktiv war. Dies ist das Reauthentifizierungslimit, das AAL1 festlegt.

Was jedes Konto bereits erhält

Einiges von dem, was NIST 800-63B fordert, erledigt PartsBox bereits für jedes Konto, in jedem Plan:

  • Passwortlänge. Ein Passwort ist zwischen 8 und 512 Zeichen lang. Lange Passphrasen sind erlaubt, ohne erzwungene Symbolregeln und ohne periodischen Ablauf, entsprechend den aktuellen NIST-Richtlinien.
  • Unicode-Normalisierung. Passwörter werden vor dem Hashing normalisiert, sodass sich eine Passphrase über verschiedene Tastaturen und Geräte hinweg auf die gleiche Weise authentifiziert.
  • Gesalzene, gehashte Speicherung. Ein Passwort wird nur als gesalzener bcrypt-Hash gespeichert, niemals in einer Form, die jemand lesen kann.
  • Sperrung nach wiederholten Fehlversuchen. Zu viele falsche Passwörter hintereinander sperren das Konto für kurze Zeit, was das Erraten von Passwörtern stoppt.

AAL1 ist Ein-Faktor: Ein Passwort, richtig gewählt und gehandhabt, reicht aus. PartsBox fügt keinen zweiten Authentifizierungsfaktor hinzu. Für den Rest eines regulierten Setups kombinieren Sie diese Regeln mit rollenbasierter Zugriffskontrolle, dem Audit-Trail und der Loskontrolle — siehe Title 21 CFR Part 11, um zu sehen, wie die Teile zusammenpassen.

Die Durchsetzung von NIST SP 800-63B AAL1 ist im Compliance-Plan enthalten.

Behalten Sie die Kontrolle über Ihr Inventar, Ihre Bestellungen und Ihre Produktion

Demo ausprobieren

Pläne & Preise