保护受控未分类信息 Rev 3

身份验证反馈不会提供允许未授权人员破坏身份验证机制的信息。例如，对于配备较大显示器的台式机或笔记本系统，威胁可能较大（通常称为“肩窥”）。对于显示屏较小的移动设备，这种威胁可能不那么严重，同时需要权衡由于小型键盘导致输入错误的可能性增加。因此，认证器反馈的隐藏方式会相应选择。隐藏反馈包括在用户在输入设备上输入密码时显示星号，或在完全隐藏之前仅显示反馈一段有限的时间。

认证器包括密码、加密设备、生物识别技术、证书、一次性密码设备和身份徽章。初始认证器内容是认证器的实际内容（例如，初始密码）。相比之下，认证器内容的要求包含特定特征。认证器管理受组织定义的设置和各种认证器特性限制的支持（例如，密码复杂性和组成规则、时间同步一次性令牌的验证时间窗口，以及生物识别认证验证阶段允许的拒绝次数）。保护单个认证器的要求可以通过03.15实现。03 对于个人持有的身份验证器，以及 03.01.01、03.01.02、03.01.05 和 03.13.08 对于存储在组织系统中的身份验证器。这包括以哈希或加密格式存储的密码，或包含可通过管理员权限访问的哈希或加密密码的文件。可以采取措施来保护认证器，包括保持对认证器的控制权、不与他人共享认证器，以及在认证器丢失、被盗或泄露时立即报告。开发人员可以提供带有出厂默认认证凭据的系统组件，以便进行初始安装和配置。默认的身份验证凭证通常是众所周知的，容易被发现，并且存在重大风险。身份验证器的管理包括在临时访问使用后不再需要时发放和撤销身份验证器。使用长密码或口令短语可能消除了定期更换身份验证器的必要性。

需要唯一设备到设备识别和认证的设备按类型、设备或类型与设备的组合进行定义。组织定义的设备类型包括不属于组织的设备。系统使用共享的已知信息（例如用于设备识别或组织认证解决方案（例如，电气与电子工程师协会 [IEEE] 802）的介质访问控制 [MAC]、传输控制协议/互联网协议 [TCP/IP] 地址1x 和可扩展认证协议 [EAP]、支持 EAP-传输层安全 [TLS] 认证的 RADIUS 服务器、Kerberos）用于识别和认证本地和广域网的设备。设备认证还可以包括用于交换证书的公钥基础设施 (PKI) 和证书吊销检查。

标识符是为用户、代表用户操作的进程以及设备提供的。禁止重复使用标识符可以防止将先前使用过的个人、组、角色、服务或设备标识符分配给不同的个人、组、角色、服务或设备。用于识别个人状态的特征包括承包商、外国 nationals 和非组织用户。通过这些特征来识别个人的身份，可以提供与组织人员交流的对象的信息。例如，员工知道电子邮件中的某个人是承包商，这就很有用。

此要求适用于用户账户。多因素认证需要使用两个或更多不同的因素来实现身份验证。身份验证因素定义如下：您知道的东西（例如，个人识别码）、您拥有的东西（例如，物理认证器，如加密私钥）或您自身的特征（例如，生物特征）。具有物理认证器的多因素认证解决方案包括提供基于时间或挑战-响应输出的硬件认证器和智能卡。除了在系统级别对用户进行认证外，组织还可以在应用程序级别使用认证机制，以提高信息安全性。

基于密码的身份验证适用于在单因素或多因素身份验证中使用的密码。较长的密码或口令短语比较短的密码更可取。强制的组成规则虽然提供了有限的安全性，但会降低可用性。然而，在某些情况下，组织可能会选择建立并强制执行某些密码生成规则（例如，最小字符长度）。例如，当密码被遗忘时，可以进行账户恢复。受到密码学保护的密码包括加盐的单向密码哈希。常用、泄露或可预期的密码列表包括从之前的数据泄露中获得的密码、字典单词以及重复或连续字符。该列表包括特定上下文的词语，例如服务名称、用户名及其衍生词。在系统登录后立即将临时密码更改为永久密码，可确保在最早的机会实施必要的认证机制强度，并减少认证信息泄露的风险。可以使用较长的密码和口令短语来增加密码的复杂性。

如果通过记录或重放先前的认证信息来成功认证是不可行的，那么认证过程就能抵御重放攻击。抗重放的技术包括使用随机数或质询的协议，例如时间同步或质询-应答一次性认证器。

系统用户包括被授权访问系统的个人（或代表个人操作的系统进程）。通常，个人标识符是与分配给这些个人的系统账户相关联的用户名。由于系统进程代表群组和角色执行操作，组织可能需要对群组账户中的个人进行唯一标识，或对个人活动进行追责。用户的唯一标识和身份认证适用于所有系统访问。组织使用密码、物理认证器、生物特征或它们的某种组合来验证用户身份。在某些情况下，组织可能会重新验证个人身份，包括当角色、认证工具或凭证发生变化时；执行特权功能时；经过固定时间段后；或定期进行时。