8.3.9
Определенные требования к подходу:
Если пароли/фразы-пароли используются как единственный фактор аутентификации для доступа пользователя (т.е. в любой реализации однофакторной аутентификации), то необходимо выполнить одно из следующих условий:
- Пароли/фразы-пароли должны изменяться как минимум раз в 90 дней,
ИЛИ
- Безопасность учетных записей анализируется динамически, и доступ к ресурсам автоматически определяется в реальном времени.
Цель Индивидуального подхода:
Пароль/фраза-пароль, который был скомпрометирован, не может использоваться бесконечно, не будучи обнаруженным.
Примечания по применимости:
Это требование не применяется к компонентам системы, входящим в область действия, где используется многофакторная аутентификация (MFA).
Это требование не применяется к учетным записям пользователей на терминалах точек продаж, которые имеют доступ только к одному номеру карты за раз для выполнения одной транзакции.
Это требование не применяется к учетным записям клиентов поставщиков услуг, но применяется к учетным записям персонала поставщиков услуг.
Определенные Процедуры Тестирования Подхода:
- 8.3.9 Если пароли/фразы-пароли используются как единственный фактор аутентификации для доступа пользователя, изучите настройки конфигурации системы, чтобы убедиться, что пароли/фразы-пароли управляются в соответствии с одним из элементов, указанных в этом требовании.
Цель:
Доступ к компонентам системы, входящим в область действия, которые не находятся в CDE, может предоставляться с использованием одного фактора аутентификации, такого как пароль/фраза-пароль, токен-устройство, смарт-карта или биометрический атрибут. Когда пароли/фразы-пароли используются как единственный фактор аутентификации для такого доступа, требуются дополнительные меры для защиты целостности пароля/фразы-пароля.
Надлежащая практика:
Пароли/фразы-пароли, которые действительны в течение долгого времени без изменений, предоставляют злоумышленникам больше времени для взлома пароля/фразы. Периодическая смена паролей уменьшает время, которое злоумышленник может потратить на взлом пароля/фразы-пароля, и уменьшает время использования скомпрометированного пароля.
Использование пароля/фразы-пароля как единственного фактора аутентификации создает единую точку отказа в случае компрометации. Поэтому в таких случаях необходимо внедрить меры для минимизации времени, в течение которого может происходить вредоносная активность через скомпрометированный пароль/фразу-пароль.
Динамический анализ безопасности учетной записи является еще одним вариантом, который позволяет более быстро обнаруживать и реагировать на возможные случаи компрометации учетных данных. Такой анализ включает различные данные, например, целостность устройства, местоположение, время доступа и ресурсы, к которым был получен доступ, для того чтобы в реальном времени определить, можно ли предоставить учетной записи доступ к запрашиваемому ресурсу. Таким образом, доступ может быть отклонен, а учетная запись заблокирована, если подозревается компрометация учетных данных.
Дополнительная информация:
Для получения информации о том, как использовать динамический анализ для управления доступом пользователей к ресурсам, см. NIST SP 800-207 "Архитектура нулевого доверия".