NIST 安全规则

受监管的工作通常附带认证标准。美国 FDA Title 21 CFR Part 11 以及写入许多国防和航空航天合同的安全控制措施,期望用户帐户遵循已发布的规则,包括如何选择密码、如何存储密码以及登录保持有效的时间。PartsBox 可以在认证器保证级别 1 (AAL1) 强制执行 NIST 特别出版物 800-63B 中的规则。

强制执行增加了什么

管理员在数据库设置中为组织打开此功能。启用后,它适用于该数据库的每个成员:

  • 常用密码筛选。 当有人设置或更改密码时,PartsBox 会将其与最常用密码列表进行核对,并拒绝匹配的密码。您可以选择该列表的大小 —— 默认为前 100 个条目,最多可达前 100,000 个。
  • 会话生命周期限制。 登录状态最多保持 30 天有效。之后,无论会话是否仍然活跃,用户都需要重新登录。这是 AAL1 设置的重新身份验证限制。

每个帐户已经获得的内容

NIST 800-63B要求的一些内容,PartsBox已经在每个计划的每个账户中实现了:

  • 密码长度。 密码长度在 8 到 512 个字符之间。允许使用长密码短语,没有强制的符号规则,也没有定期过期,符合当前的 NIST 指南。
  • Unicode 规范化。 密码在哈希之前被规范化,因此密码短语在不同的键盘和设备上以相同的方式进行身份验证。
  • 加盐哈希存储。 密码仅作为加盐的 bcrypt 哈希存储,绝不会以任何人都可以读取的形式存储。
  • 连续失败后锁定。 连续输入错误密码次数过多会在短时间内锁定帐户,从而阻止密码猜测。

AAL1 是单因素的:正确选择和处理的密码就足够了。PartsBox 不添加第二个身份验证因素。对于受监管设置的其余部分,请将这些规则与 基于角色的访问控制审计跟踪批次控制 结合使用——有关这些部分如何组合在一起,请参阅 Title 21 CFR Part 11

NIST SP 800-63B AAL1强制执行在Compliance计划中。

掌控您的库存、采购和生产

试用演示

计划与定价