Reglerat arbete kommer ofta med en bifogad autentiseringsstandard. US FDA Title 21 CFR Part 11, och de säkerhetskontroller som skrivits in i många försvars- och rymdkontrakt, förväntar sig att användarkonton följer publicerade regler för hur ett lösenord väljs, hur det lagras och hur länge en inloggning förblir giltig. PartsBox kan upprätthålla reglerna i NIST Special Publication 800-63B på Authenticator Assurance Level 1 (AAL1).
En administratör slår på detta för organisationen, i databasinställningarna. När det är aktiverat gäller det för varje medlem i den databasen:
- Granskning av vanliga lösenord. När någon ställer in eller ändrar ett lösenord kontrollerar PartsBox det mot en lista över de vanligaste lösenorden och vägrar en matchning. Du väljer hur stor den listan är — de 100 vanligaste som standard, upp till de 100 000 vanligaste.
- Gräns för sessionens livslängd. En inloggning förblir giltig i högst 30 dagar. Därefter loggar användaren in igen, oavsett om sessionen fortfarande var aktiv eller inte. Detta är gränsen för återautentisering som AAL1 sätter.
En del av det NIST 800-63B efterfrågar gör PartsBox redan för varje konto, på varje plan:
- Lösenordslängd. Ett lösenord är mellan 8 och 512 tecken. Långa lösenordsfraser är tillåtna, utan tvingande symbolregler och inget periodiskt utgångsdatum, vilket matchar nuvarande NIST-vägledning.
- Unicode-normalisering. Lösenord normaliseras före hashning, så en lösenordsfras autentiserar på samma sätt över olika tangentbord och enheter.
- Saltad, hashad lagring. Ett lösenord lagras endast som en saltad bcrypt-hash, aldrig i en form som någon kan läsa.
- Utestängning efter upprepade misslyckanden. För många felaktiga lösenord i rad låser kontot under en kort period, vilket stoppar lösenordsgissning.
AAL1 är enfaktors: ett lösenord, valt och hanterat korrekt, räcker. PartsBox lägger inte till en andra autentiseringsfaktor. För resten av en reglerad uppsättning, kombinera dessa regler med rollbaserad åtkomstkontroll, granskningsloggen och partikontroll — se Title 21 CFR Part 11 för hur delarna hänger ihop.
NIST SP 800-63B AAL1-efterlevnad finns i Compliance-planen.