Règles de sécurité NIST

Le travail réglementé est souvent accompagné d'une norme d'authentification. Le titre 21 CFR Part 11 de la FDA américaine, et les contrôles de sécurité inscrits dans de nombreux contrats de défense et d'aérospatiale, exigent que les comptes d'utilisateurs suivent des règles publiées sur la façon dont un mot de passe est choisi, comment il est stocké, et combien de temps une connexion reste valide. PartsBox peut appliquer les règles de la publication spéciale NIST 800-63B au niveau d'assurance de l'authentificateur 1 (AAL1).

Ce que l'application stricte ajoute

Un administrateur active cela pour l'organisation, dans les paramètres de la base de données. Une fois activé, cela s'applique à chaque membre de cette base de données :

  • Filtrage des mots de passe courants. Lorsque quelqu'un définit ou modifie un mot de passe, PartsBox le vérifie par rapport à une liste des mots de passe les plus courants et refuse une correspondance. Vous choisissez la taille de cette liste — les 100 premières entrées par défaut, jusqu'aux 100 000 premières.
  • Limite de durée de vie de la session. Une connexion reste valide pendant au plus 30 jours. Après cela, l'utilisateur se reconnecte, que la session soit encore active ou non. C'est la limite de réauthentification fixée par AAL1.

Ce que chaque compte obtient déjà

Une partie de ce que demande le NIST 800-63B, PartsBox le fait déjà pour chaque compte, sur chaque plan :

  • Longueur du mot de passe. Un mot de passe comprend entre 8 et 512 caractères. Les longues phrases secrètes sont autorisées, sans règles de symboles forcées et sans expiration périodique, conformément aux directives actuelles du NIST.
  • Normalisation Unicode. Les mots de passe sont normalisés avant le hachage, de sorte qu'une phrase secrète s'authentifie de la même manière sur différents claviers et appareils.
  • Stockage salé et haché. Un mot de passe est stocké uniquement sous forme de hachage bcrypt salé, jamais sous une forme que quiconque peut lire.
  • Verrouillage après des échecs répétés. Trop de mots de passe erronés d'affilée verrouillent le compte pour une courte période, ce qui empêche de deviner le mot de passe.

AAL1 est à facteur unique : un mot de passe, choisi et géré correctement, suffit. PartsBox n'ajoute pas de second facteur d'authentification. Pour le reste d'une configuration réglementée, combinez ces règles avec le contrôle d'accès basé sur les rôles, la piste d'audit et le contrôle des lots — voir Title 21 CFR Part 11 pour voir comment les éléments s'assemblent.

L'application de la norme NIST SP 800-63B AAL1 est sur le plan Compliance.

Contrôlez votre inventaire, vos commandes et votre production

Essayer la démo

Plans et tarifs