Regras de Segurança do NIST

O trabalho regulamentado geralmente vem com um padrão de autenticação anexado. O Título 21 CFR Parte 11 da FDA dos EUA e os controles de segurança escritos em muitos contratos de defesa e aeroespaciais esperam que as contas de usuário sigam regras publicadas sobre como uma senha é escolhida, como é armazenada e por quanto tempo um login permanece válido. O PartsBox pode aplicar as regras na Publicação Especial NIST 800-63B no Nível de Garantia do Autenticador 1 (AAL1).

O que a aplicação adiciona

Um administrador ativa isso para a organização, nas configurações do banco de dados. Uma vez ativado, aplica-se a todos os membros desse banco de dados:

  • Triagem de senhas comuns. Quando alguém define ou altera uma senha, o PartsBox a verifica em uma lista das senhas mais comuns e recusa uma correspondência. Você escolhe o tamanho dessa lista — as 100 principais entradas por padrão, até as 100.000 principais.
  • Limite de tempo de vida da sessão. Um login permanece válido por no máximo 30 dias. Depois disso, o usuário faz login novamente, independentemente de a sessão ainda estar ativa ou não. Este é o limite de reautenticação que o AAL1 define.

O que toda conta já recebe

Parte do que o NIST 800-63B exige, o PartsBox já faz para cada conta, em todos os planos:

  • Comprimento da senha. Uma senha tem entre 8 e 512 caracteres. Frases secretas longas são permitidas, sem regras de símbolos forçadas e sem expiração periódica, correspondendo às orientações atuais do NIST.
  • Normalização Unicode. As senhas são normalizadas antes do hash, para que uma frase secreta seja autenticada da mesma maneira em diferentes teclados e dispositivos.
  • Armazenamento com hash e salt. Uma senha é armazenada apenas como um hash bcrypt com salt, nunca em uma forma que alguém possa ler.
  • Bloqueio após falhas repetidas. Muitas senhas erradas seguidas bloqueiam a conta por um curto período, o que impede a adivinhação de senhas.

AAL1 é de fator único: uma senha, escolhida e tratada corretamente, é suficiente. O PartsBox não adiciona um segundo fator de autenticação. Para o restante de uma configuração regulamentada, combine essas regras com o controle de acesso baseado em funções, a trilha de auditoria e o controle de lote — veja Title 21 CFR Part 11 para saber como as peças se encaixam.

A aplicação do NIST SP 800-63B AAL1 está no plano Compliance.

Controle seu inventário, pedidos e produção

Experimente a demonstração

Planos e preços