CJIS-Passwortanforderungen

Was ist CJIS?

Die Criminal Justice Information Services Division (CJIS) ist eine Abteilung des FBI (Federal Bureau of Investigation) in den Vereinigten Staaten. Sie legt Standards und angemessene Kontrollmechanismen fest, um strafrechtlich relevante Daten (Criminal Justice Information, CJI) zu schützen, zu übermitteln und zu speichern. Die CJIS ermöglicht es Profis in der Strafverfolgung, auf kritische CJI wie Biometrie sowie auf Informationen zu Identitätsverlauf und Fallverlauf zuzugreifen und diese freizugeben. Alle Organisationen mit Zugriff auf CJI in beliebiger Form müssen sicherstellen, dass sie die geltenden CJIS-Vorschriften einhalten.

Welche Passwortanforderungen gelten für CJIS?

Zur Compliance mit CJIS müssen Organisationen die Passwort-Richtlinienanforderungen einhalten, die in Abschnitt 5.6.2.1.1 der CJIS-Sicherheitsrichtlinie beschrieben sind. Der Abschnitt gibt Anforderungen für alle Domänen-Benutzerpasswörter zur Anmeldung an Systemen an, über die auf CJI zugegriffen werden kann. Nach den Anforderungen müssen Passwörter:

1. Mindestens acht Zeichen lang sein.
2. Keinen Wörterbucheinträgen entsprechen.
3. Nicht mit dem Benutzernamen übereinstimmen.
4. Innerhalb von maximal 90 Tagen ablaufen.
5. Mit den letzten 10 Passwörtern nicht übereinstimmen.
6. Nicht außerhalb sicherer Standorte übermittelt werden.
7. Bei der Eingabe nicht angezeigt werden.

Spielende Compliance mit CJIS-Standards dank ADSelfService Plus

ADSelfService Plus bietet fortschrittliche Einstellungen für Passwortrichtlinien, mit denen Ihr Unternehmen die CJIS-Anforderungen sicher einhalten kann. Sie können eine spezifische Vorlage für Passwortrichtlinien erstellen, die alle CJIS-Anforderungen einhält. Die Passwortrichtlinien werden dann für alle oder nach Domänen-, OE- und Gruppenmitgliedschaft nur für bestimmte Benutzer durchgesetzt. Nachfolgend einige der Einstellungen, welche die Erzwingung von Passwortrichtlinien in ADSelfService Plus Ihnen ermöglicht:

1. Verbieten von Wörterbucheinträgen und Mustern: Sperren Sie bereits geknackte und schwache AD-Passwörter, Muster, Wörterbucheinträge und Palindrome.
2. Zeichen in Benutzernamen unterbinden: Verbieten Sie bestimmte oder wiederholte Zeichen in einem Benutzernamen.
3. Passwortverlauf erzwingen: Sorgen Sie für starke Passwörter, indem Sie die Verwendung vorheriger Passwörter verbieten, wenn native Passwortzurücksetzungen über die ADUC-Konsole durchgeführt werden.
4. Spezifische Passwortlänge festlegen: Geben Sie eine Mindestpasswortlänge an, damit Windows-Domänenbenutzer längere Passwörter verwenden müssen.
5. Passwörter stärken: Hindern Sie Benutzer daran, in Passwortfeldern die Funktion „Kopieren und Einfügen“ zu verwenden. Eine Passwortanalyse hilft Benutzern durch Anzeige der Stärke dabei, ein sicheres Passwort auszuwählen.

Erzwingung von Passwortrichtlinien

Vorteile beim Einsatz von ADSelfService Plus zur Einhaltung von CJIS-Vorgaben

1. OE- und gruppenbasierte Richtlinien durchsetzen: Sie können feinkörnig mehrere Passwortrichtlinien in der gleichen AD-Domäne durchsetzen, und zwar abhängig von OE- und Gruppenmitgliedschaften.
2. Verbesserte Passwortsicherheit: Erzwingen Sie Passphrases und verhindern Sie, dass sich Zeichen in Passwörtern aufeinanderfolgend wiederholen oder dass häufige Zeichentypen zum Einsatz kommen.
3. Spezifische Vorlagen erstellen: Durch fortschrittliche Einstellungen können Sie mehrere Passwortrichtlinien erstellen, um die Standards PCI DSS, HIPAA, NIST SP 800-63B, SOX, und CJIS einzuhalten.
4. Benachrichtigen von Benutzern über ablaufende Passwörter: Mit Benachrichtigungen zum Passwortablauf sorgen Sei dafür, dass Benutzer ihre Passwörter einmal alle 90 Tage ändern.