C'è un controllo di compensazione che puoi implementare:
Non consentire agli utenti di selezionare la password, invece, cambia la password in una casuale ogni volta che l'utente seleziona la password. Naturalmente, solo l'utente dovrebbe conoscere la password casuale, quindi questa password non conterà come una "password iniziale" che deve essere immediatamente modificata.
La seconda cosa che puoi fare, per risolvere questo problema per i sistemi che non supportano le politiche sulle password, sono le seguenti:
È possibile soddisfare la politica richiedendo modifiche della password per passare attraverso un amministratore o IT Desk, che garantirà che la password soddisfi la politica.
Questo può essere implementato dividendo la password in 2.
La prima metà della password, è necessario inviare all'amministratore o all'IT Desk. Il primo semestre deve soddisfare i requisiti, verificati dall'amministratore o dall'IT Desk.
Ovviamente, l'amministratore o l'IT Desk dovrebbero avere una procedura per distruggere qualsiasi password dopo la modifica, utilizzando ad esempio un distruggidocumenti.
La seconda metà è a forma libera e deve contenere, ad esempio, almeno 8 caratteri. Questo non viene rivelato all'amministratore o all'IT Desk. Questa parte della password non deve soddisfare alcuna politica.
La modifica della password per gli utenti viene quindi organizzata, che l'utente si rivolge all'amministratore o all'IT Desk e chiede di cambiare la propria password nel sistema X.
Devono dire o scrivere la prima parte della password e mostrare alla scrivania. Quindi l'IT Desk o l'amministratore si accerteranno che la parte indicata della password corrisponda alla politica. L'IT Desk o l'amministratore digiteranno quindi la prima parte della password nella finestra di dialogo di modifica della password.
Quindi l'utente deve digitare la seconda parte, senza guardare l'IT Desk o l'amministratore. L'utente, naturalmente, non dovrebbe essere in grado di cancellare o modificare qualsiasi parte della password digitata dall'IT Desk, né essere in grado di andare avanti senza la loro autorizzazione.
(Ciò può essere ottenuto disabilitando tutti i tasti funzione, ad esempio backspace, tab, insert, delete, enter, alt, ctrl, e simili sulla tastiera, richiedendo un mouse per disabilitare il blocco, e il mouse è scollegato e portato via quando il suo tempo per l'utente di inserire la sua parte)
Dopo che l'utente ha digitato la seconda parte, l'IT Desk o gli amministratori, che non possono vedere la password completa perché visualizzata come "***************", digiteranno la prima parte nuovamente, ma nella finestra di dialogo "Verifica password".
Il processo si ripete nuovamente con l'utente che digita nuovamente la seconda parte.
Quindi l'amministratore IT o il desk IT premono "Invia" e la password cambia.
Questo soddisfa tutti i requisiti di PCI DSS, ma garantisce anche che l'IT Desk o l'amministratore non possano conoscere le singole password degli utenti e consente inoltre all'IT Desk o all'amministratore di verificare che la prima parte della password soddisfi le regole PCI DSS e anche assicurarsi che non corrisponda alle ultime 4 password. Le ultime 4 password possono essere archiviate come hash e l'IT Desk o l'amministratore prima cancellerà la prima parte e verificherà che non corrisponda ai 4 ultimi hash.
Usando questo schema, non è necessario archiviare alcun controllo di compensazione.
La terza cosa che puoi fare è implementare una soluzione single-sign on, in cui gli utenti utilizzano le loro normali password di Windows, per accedere ai servizi che non supportano le politiche delle password. In genere, ciò avviene quando la soluzione Single Sign-On imposta una password casuale molto lunga e molto sicura, quindi questa password viene utilizzata tra il software Single Sign-On e il servizio che non supporta le politiche password. Questa password può essere considerata una "chiave", che in PCI DSS ha una durata dei cambiamenti più lunga (1 anno è per la rotazione delle chiavi in PCI DSS) e questa "chiave" viene utilizzata tra la soluzione single-sign on e il servizio in questione.