Công việc được quản lý thường đi kèm với một tiêu chuẩn xác thực. US FDA Title 21 CFR Part 11, và các kiểm soát bảo mật được viết trong nhiều hợp đồng quốc phòng và hàng không vũ trụ, mong đợi tài khoản người dùng tuân theo các quy tắc đã công bố về cách chọn mật khẩu, cách lưu trữ và thời gian đăng nhập duy trì hiệu lực. PartsBox có thể thực thi các quy tắc trong NIST Special Publication 800-63B ở Mức độ Đảm bảo Trình xác thực 1 (AAL1).
Quản trị viên bật tính năng này cho tổ chức, trong cài đặt cơ sở dữ liệu. Sau khi được bật, nó áp dụng cho mọi thành viên của cơ sở dữ liệu đó:
- Sàng lọc mật khẩu phổ biến. Khi ai đó đặt hoặc thay đổi mật khẩu, PartsBox sẽ kiểm tra nó với danh sách các mật khẩu phổ biến nhất và từ chối nếu trùng khớp. Bạn chọn danh sách đó lớn đến mức nào — mặc định là 100 mục hàng đầu, lên đến 100.000 mục hàng đầu.
- Giới hạn thời gian phiên. Một lần đăng nhập có hiệu lực tối đa 30 ngày. Sau đó, người dùng đăng nhập lại, cho dù phiên đó có còn hoạt động hay không. Đây là giới hạn xác thực lại mà AAL1 thiết lập.
Một số yêu cầu của NIST 800-63B, PartsBox đã thực hiện cho mọi tài khoản, trên mọi gói:
- Độ dài mật khẩu. Một mật khẩu có từ 8 đến 512 ký tự. Các cụm mật khẩu dài được phép, không có quy tắc ký hiệu bắt buộc và không hết hạn định kỳ, phù hợp với hướng dẫn hiện tại của NIST.
- Chuẩn hóa Unicode. Mật khẩu được chuẩn hóa trước khi băm, vì vậy một cụm mật khẩu xác thực theo cùng một cách trên các bàn phím và thiết bị khác nhau.
- Lưu trữ băm, có muối. Một mật khẩu chỉ được lưu trữ dưới dạng băm bcrypt có muối, không bao giờ ở dạng mà bất kỳ ai cũng có thể đọc được.
- Khóa sau nhiều lần thất bại. Quá nhiều mật khẩu sai liên tiếp sẽ khóa tài khoản trong một khoảng thời gian ngắn, điều này ngăn chặn việc đoán mật khẩu.
AAL1 là yếu tố đơn: một mật khẩu, được chọn và xử lý chính xác, là đủ. PartsBox không thêm yếu tố xác thực thứ hai. Đối với phần còn lại của thiết lập được quy định, hãy kết hợp các quy tắc này với kiểm soát truy cập dựa trên vai trò, dấu vết kiểm toán và kiểm soát lô — xem Title 21 CFR Part 11 để biết cách các phần khớp với nhau.
Việc thực thi NIST SP 800-63B AAL1 có trên gói Compliance.