Requisitos de senhas do CJIS
O que é a CJIS?
A Divisão de Serviços de Justiça Criminal (CJIS) é uma divisão do Federal Bureau of Investigation dos Estados Unidos que estabelece padrões e controles apropriados para proteger, transmitir, armazenar e acessar informações da justiça criminal (CJI). Ela permite que autoridades policiais acessem e compartilhem CJI essenciais, incluindo dados biométricos, informações de histórico de identidade e histórico de casos. Qualquer organização com acesso ao CJI em quaisquer de suas formas deve garantir que ele cumpra seus regulamentos obrigatórios.
Quais são os requisitos de senhas do CJIS?
Para cumpri-lo, as organizações devem aplicar os requisitos mais recentes de senha e autenticação mencionados na Política de Segurança do CJIS v5.9.1. A tabela a seguir lista esses requisitos e explica como o ADSelfService Plus ajuda sua organização.
| Requisito da CJIS | Descrição do requisito | Como o ADSelfService Plus ajuda a atender o requisito |
| Seção 5.5.2.2 | Controle de acesso ao sistema Impeça múltiplas sessões ativas simultâneas para uma identificação de usuário, para aquelas aplicações que acessam o CJI, a menos que a agência conceda autoridade com base nas necessidades operacionais do negócio. | O ADSelfService Plus impede que um único usuário tenha várias sessões ativas simultâneas. |
| Seção 5.5.2.2 | Controle de acesso ao sistema Certifique-se de que somente pessoal autorizado possa adicionar, alterar ou remover dispositivos de componentes, conexões discadas e remover ou alterar programas. | O ADSelfService Plus realiza a verificação de identidade usando fatores de autenticação fortes antes de permitir que usuários autorizados modifiquem as configurações necessárias no sistema. |
| Seção 5.5.3 | Tentativas de login mal sucedidas Sempre que for tecnicamente viável, o sistema deverá impor um limite de no máximo cinco tentativas consecutivas de acesso inválido por um usuário (tentando acessar o CJI ou sistemas com acesso ao CJI). O sistema bloqueará a conta automaticamente por um período de dez minutos, a menos que ela seja liberada por um administrador. | O ADSelfService Plus permite-lhe configurar o número de tentativas de login malsucedidas para usuários dentro de um período especificado. Você também pode configurar a duração do bloqueio e se a intervenção do administrador é necessária para desbloquear usuários. |
| Seção 5.5.6 | Acesso remoto A agência deverá autorizar, monitorar e controlar todos os métodos de acesso remoto ao sistema de informação. | O ADSelfService Plus fornece MFA para sessões de acesso remoto, que podem ser aplicada no nível do cliente ou da máquina de destino. Ele utiliza autenticadores fortes, como biometria, YubiKey e TOTPs. |
| Seção 5.6.1 | Política e procedimentos de identificação Cada pessoa autorizada a armazenar, processar e/ou transmitir CJI deverá ser identificada de maneira exclusiva. Uma identificação única também será exigida para todas as pessoas que administram e mantêm os sistemas que o acessam ou redes alavancadas para o trânsito do CJI. | O ADSelfService Plus armazena e identifica cada usuário exclusivamente, atribuindo autenticadores individualmente para cada um deles. A solução proíbe o compartilhamento de fatores de autenticação entre vários usuários. |
| Padrões de senha básicos O CJIS oferece padrões de senha básicos e avançados, permitindo que as organizações selecionem aquele que melhor atenda às suas necessidades. A seguir estão os padrões básicos de senha listados pelo CJIS. | ||
| Seção 5.6.2.1.1.1 | As senhas devem ter no mínimo oito caracteres em todos os sistemas. | Com o Executor da Política de Senhas do ADSelfService Plus, você pode personalizar o comprimento mínimo da senha para oito caracteres ou mais, dependendo dos requisitos da sua organização. Você também pode personalizar o comprimento máximo da senha conforme necessário. |
| Seção 5.6.2.1.1.1 | As senhas não devem ser palavras de dicionário ou nomes próprios. | O ADSelfService Plus permite-lhe impedir os usuários de utilizar palavras de dicionário, palíndromos e padrões previsíveis ao definir novas senhas. Ao integrar-se com o Have I Been Pwned?, um banco de dados de senhas violadas, ele garante que seus usuários não definam senhas fracas ou comprometidas durante redefinições e mudanças de senha. |
| Seção 5.6.2.1.1.1 | As senhas não devem ser iguais ao ID do usuário. | O ADSelfService Plus permite-lhe impedir que os usuários utilizem caracteres repetidos, bem como caracteres consecutivos de nomes de usuário e senhas antigas ao definir novas senhas. |
| Seção 5.6.2.1.1.1 | As senhas vão expirar em no máximo 90 dias corridos. | O ADSelfService Plus fornece notificações personalizáveis de expiração de senha que podem ser programadas para lembrar os usuários sobre a expiração iminente da senha a cada 90 dias. |
| Seção 5.6.2.1.1.1 | As senhas não devem ser idênticas às dez senhas anteriores. | O ADSelfService Plus permite-lhe especificar o número de senhas anteriores que um usuário não pode repetir ao escolher uma nova. |
| Seção 5.6.2.1.1.1 | As senhas não serão exibidas quando inseridas. | O ADSelfService Plus não exibe senhas por padrão quando inseridas, mas oferece a opção de visualizá-las aos usuários, caso necessário. |
Padrões avançados de senha | ||
| Seção 5.6.2.1.1.2 | As senhas devem ter no mínimo 20 caracteres, sem requisitos adicionais de complexidade impostos (por exemplo, caracteres ASCII, emojis, todos os caracteres do teclado e espaços serão aceitáveis). | O ADSelfService Plus permite-lhe personalizar o comprimento mínimo da senha para 20 caracteres ou mais, dependendo das suas necessidades. |
| Seção 5.6.2.1.1.2 | Os Verificadores de Senhas não devem permitir o uso de uma "dica" armazenada para senhas esquecidas e/ou solicitar que os assinantes usem tipos específicos de informações ao selecionar uma senha. | O ADSelfService Plus pode ser configurado para não fornecer dicas de senha para usuários durante a verificação de identidade. |
| Seção 5.6.2.1.1.2 | Os verificadores devem manter uma lista de “senhas proibidas” contendo valores conhecidos por serem comumente utilizados, esperados ou comprometidos. Por exemplo, a lista pode incluir, mas não está limitada a:
Durante a criação, alteração ou redefinição de senhas de usuários, os verificadores devem comparar as senhas potenciais com a lista de “senhas proibidas” e aconselhar os usuários a escolher uma senha diferente se uma correspondência for identificada. | O ADSelfService Plus permite-lhe restringir os usuários de utilizar palavras de dicionário, palíndromos, padrões previsíveis, caracteres repetidos e caracteres consecutivos de nomes de usuário e senhas antigas ao definir novas senhas. Ao integrar-se com o Have I Been Pwned?, um banco de dados de senhas violadas, ele garante que seus usuários não definam senhas fracas ou comprometidas durante redefinições e mudanças de senha. |
| Seção 5.6.2.1.1.2 | Os verificadores devem forçar uma alteração de senha anualmente ou se houver evidências de comprometimento do autenticador. | O ADSelfService Plus não incentiva alterações frequentes ou periódicas de senhas de usuários finais, mas permite que os administradores acionem uma ação automática de redefinição de senha para usuários com senhas potencialmente comprometidas. |
| Seção 5.6.2.2 | Quando certificados baseados no usuário, como smart cards, tokens de software, tokens de hardware, sistemas biométricos e certificados de infraestrutura de chave pública (PKI), são utilizados para autenticação, eles devem ser específicos para um usuário individual e não devem ser compartilhados entre vários usuários. | O ADSelfService Plus atribui fatores de autenticação, como tokens de segurança, smart cards e certificados PKI, exclusivamente a usuários individuais e proíbe seu compartilhamento entre vários usuários. |
Simplifique o cumprimento do CJIS com o ADSelfService Plus
O ADSelfService Plus oferece configurações sólidas de política de senhas e MFA que garantem que sua empresa esteja em conformidade com os requisitos do CJIS. Você pode criar uma política de senha personalizada que cumpra todos os seus requisitos e aplicá-la a todos os usuários do AD ou a usuários específicos com base no seu domínio, UO ou associação de grupo. Algumas das configurações que o Executor da Política de Senhas do ADSelfService Plus oferece:
- Proibir palavras de dicionário e padrões: Bloqueie senhas do AD vazadas ou fracas, bem como padrões, palavras de dicionário e palíndromos.
- Restringir caracteres de nomes de usuários: Restrinja caracteres específicos ou repetidos de um nome de usuário.
- Impor o histórico de senhas: Garanta a força da senha evitando o uso de senhas anteriores durante redefinições e alterações de senha.
- Definir um comprimento de senha personalizado: Aplique senhas mais longas para usuários do AD especificando o comprimento mínimo da senha.
- Aumentar a força da senha: Impeça que os usuários utilizem a opção "copiar e colar" no campo de senha. Ajude os usuários a escolher senhas fortes usando o Analisador de Força da Senha, que indica a força da senha.
- Impor a MFA para usuários: Acesso seguro do usuário aos dados do titular do cartão, habilitando a MFA adaptável para endpoints, como para logins de máquina, logins de aplicações, logins de VPN, logins de RDP e logins de OWA. Escolha entre uma variedade de 20 autenticadores de MFA diferentes, incluindo chaves de acesso FIDO e biometria, para verificar as identidades dos usuários.
- Executor da política de senhas
- MFA
Cumpra os requisitos de senha do CJIS configurando o comprimento mínimo da senha e a inclusão de caracteres alfanuméricos nas senhas.
Restrinja os usuários de reutilizarem suas senhas anteriores durante a criação da senha.
Escolha o número mínimo de requisitos de complexidade que as senhas dos usuários devem atender de acordo com as necessidades de segurança da sua organização.
Cumpra os requisitos de senha do CJIS configurando o comprimento mínimo da senha e a inclusão de caracteres alfanuméricos nas senhas.
Restrinja os usuários de reutilizarem suas senhas anteriores durante a criação da senha.
Escolha o número mínimo de requisitos de complexidade que as senhas dos usuários devem atender de acordo com as necessidades de segurança da sua organização.
Atenda aos requisitos do CJIS protegendo todos os endpoints em sua rede usando MFA.
Escolha entre 20 autenticadores diferentes para verificar a identidade de seus usuários.
Atenda aos requisitos do CJIS protegendo todos os endpoints em sua rede usando MFA.
Escolha entre 20 autenticadores diferentes para verificar a identidade de seus usuários.
Benefícios de usar o ADSelfService Plus para cumprir o CJIS
- Aplique políticas baseadas em UO e grupo: Aplique várias políticas de senha granularmente no mesmo domínio do AD com base na UO e associações de grupo.
- Maior segurança de senhas: Aplique senhas e restrinja a repetição de caracteres de senhas e nomes de usuário antigos.
- Notifique os usuários sobre a expiração da senha: Utilize as notificações de expiração de senhas personalizadas e garanta que os usuários alterem suas senhas a tempo.
- Criação de modelos personalizados: Crie várias políticas de senha que cumpram o PCI DSS, HIPAA, NIST SP 800-63B, SOX, e padrões do.
