保护受控未分类信息 Rev 3

认证器包括密码、加密设备、生物识别技术、证书、一次性密码设备和身份徽章。初始认证器内容是认证器的实际内容（例如，初始密码）。相比之下，认证器内容的要求包含特定特征。认证器管理受组织定义的设置和各种认证器特性限制的支持（例如，密码复杂性和组成规则、时间同步一次性令牌的验证时间窗口，以及生物识别认证验证阶段允许的拒绝次数）。保护单个认证器的要求可以通过03.15实现。03 对于个人持有的身份验证器，以及 03.01.01、03.01.02、03.01.05 和 03.13.08 对于存储在组织系统中的身份验证器。这包括以哈希或加密格式存储的密码，或包含可通过管理员权限访问的哈希或加密密码的文件。可以采取措施来保护认证器，包括保持对认证器的控制权、不与他人共享认证器，以及在认证器丢失、被盗或泄露时立即报告。开发人员可以提供带有出厂默认认证凭据的系统组件，以便进行初始安装和配置。默认的身份验证凭证通常是众所周知的，容易被发现，并且存在重大风险。身份验证器的管理包括在临时访问使用后不再需要时发放和撤销身份验证器。使用长密码或口令短语可能消除了定期更换身份验证器的必要性。