Reguły bezpieczeństwa NIST

Praca regulowana często wiąże się z dołączonym standardem uwierzytelniania. Amerykańska FDA Title 21 CFR Part 11 oraz kontrole bezpieczeństwa zapisane w wielu kontraktach obronnych i lotniczych oczekują, że konta użytkowników będą przestrzegać opublikowanych zasad dotyczących wyboru hasła, sposobu jego przechowywania i czasu ważności logowania. PartsBox może egzekwować zasady zawarte w NIST Special Publication 800-63B na poziomie Authenticator Assurance Level 1 (AAL1).

Co dodaje wymuszanie

Administrator włącza to dla organizacji w ustawieniach bazy danych. Po włączeniu dotyczy to każdego członka tej bazy danych:

  • Sprawdzanie popularnych haseł. Kiedy ktoś ustawia lub zmienia hasło, PartsBox sprawdza je z listą najpopularniejszych haseł i odrzuca dopasowanie. Ty wybierasz, jak duża jest ta lista — domyślnie 100 najpopularniejszych wpisów, aż do 100 000.
  • Limit czasu życia sesji. Logowanie pozostaje ważne przez co najwyżej 30 dni. Po tym czasie użytkownik loguje się ponownie, niezależnie od tego, czy sesja była nadal aktywna. Jest to limit ponownego uwierzytelnienia określony przez AAL1.

Co każde konto już otrzymuje

Niektóre z wymagań NIST 800-63B PartsBox już spełnia dla każdego konta, w każdym planie:

  • Długość hasła. Hasło ma od 8 do 512 znaków. Długie frazy hasłowe są dozwolone, bez wymuszonych reguł dotyczących symboli i bez okresowego wygasania, zgodnie z aktualnymi wytycznymi NIST.
  • Normalizacja Unicode. Hasła są normalizowane przed haszowaniem, więc fraza hasłowa uwierzytelnia się w ten sam sposób na różnych klawiaturach i urządzeniach.
  • Sól i haszowanie. Hasło jest przechowywane tylko jako posolony hasz bcrypt, nigdy w formie, którą ktokolwiek mógłby odczytać.
  • Blokada po powtarzających się błędach. Zbyt wiele błędnych haseł z rzędu blokuje konto na krótki czas, co zapobiega odgadywaniu haseł.

AAL1 jest jednoskładnikowe: hasło, wybrane i obsługiwane poprawnie, wystarczy. PartsBox nie dodaje drugiego składnika uwierzytelniania. W przypadku reszty regulowanej konfiguracji, połącz te zasady z kontrolą dostępu opartą na rolach, ścieżką audytu i kontrolą partii — zobacz Title 21 CFR Part 11, aby dowiedzieć się, jak te elementy do siebie pasują.

Egzekwowanie NIST SP 800-63B AAL1 jest dostępne w planie Compliance.

Kontroluj swoje stany magazynowe, zamówienia i produkcję

Wypróbuj demo

Plany i cennik