Reglas de seguridad del NIST

El trabajo regulado a menudo viene con un estándar de autenticación adjunto. El Título 21 CFR Parte 11 de la FDA de EE. UU., y los controles de seguridad escritos en muchos contratos de defensa y aeroespaciales, esperan que las cuentas de usuario sigan reglas publicadas sobre cómo se elige una contraseña, cómo se almacena y cuánto tiempo permanece válido un inicio de sesión. PartsBox puede hacer cumplir las reglas en la Publicación Especial 800-63B del NIST en el Nivel de Garantía del Autenticador 1 (AAL1).

Lo que añade la aplicación

Un administrador activa esto para la organización, en la configuración de la base de datos. Una vez habilitado, se aplica a todos los miembros de esa base de datos:

  • Detección de contraseñas comunes. Cuando alguien establece o cambia una contraseña, PartsBox la compara con una lista de las contraseñas más comunes y rechaza una coincidencia. Usted elige qué tan grande es esa lista: las 100 entradas principales de forma predeterminada, hasta las 100,000 principales.
  • Límite de duración de la sesión. Un inicio de sesión sigue siendo válido durante un máximo de 30 días. Después de eso, el usuario vuelve a iniciar sesión, independientemente de si la sesión seguía activa o no. Este es el límite de reautenticación que establece AAL1.

Lo que cada cuenta ya obtiene

Parte de lo que pide NIST 800-63B, PartsBox ya lo hace para cada cuenta, en cada plan:

  • Longitud de la contraseña. Una contraseña tiene entre 8 y 512 caracteres. Se permiten frases de contraseña largas, sin reglas de símbolos forzadas y sin vencimiento periódico, coincidiendo con la guía actual del NIST.
  • Normalización Unicode. Las contraseñas se normalizan antes del hash, por lo que una frase de contraseña se autentica de la misma manera en diferentes teclados y dispositivos.
  • Almacenamiento con hash y sal. Una contraseña se almacena solo como un hash bcrypt con sal, nunca en una forma que alguien pueda leer.
  • Bloqueo después de fallas repetidas. Demasiadas contraseñas incorrectas seguidas bloquean la cuenta por un corto período, lo que detiene la adivinación de contraseñas.

AAL1 es de un solo factor: una contraseña, elegida y manejada correctamente, es suficiente. PartsBox no añade un segundo factor de autenticación. Para el resto de una configuración regulada, combine estas reglas con el control de acceso basado en roles, la pista de auditoría y el control de lotes — consulte el Título 21 CFR Parte 11 para ver cómo encajan las piezas.

La aplicación de NIST SP 800-63B AAL1 está en el plan Compliance.

Controle su inventario, pedidos y producción

Pruebe la demo

Planes y precios