NIST SP 800-63-4: jelszavakra, többtényezős hitelesítésre és passkeyekre vonatkozó bizonyítékok

Hétfőn 08:10-kor egy fintech CISO megkapja azt az üzenetet, amelytől minden biztonsági vezető tart: „Gyanús bejelentkezéseket látunk a pénzügyi adminisztrációs portálon. A többtényezős hitelesítést jóváhagyták, de a felhasználó azt állítja, nem ő volt.”

08:25-re a SOC már látja a mintázatot. A támadó nem törte fel a titkosítást, nem használt ki zero-day sérülékenységet, és nem kerülte meg a tűzfalat. Adathalászattal megszerezte a jelszót, push jóváhagyási kérelmet indított, és megvárta, amíg a felhasználó kifárad. Egyetlen jóváhagyás elég volt. A fiók emelt jogosultságú hozzáféréssel rendelkezett az ügyfélszámlázási exportokhoz, az auditnaplókhoz és egy harmadik fél elszámolási irányítópultjához.

09:00-kor a jogi terület már azt kérdezi, hogy ez GDPR szerinti személyesadat-sértés-e. A kockázatkezelési csapat azt vizsgálja, hogy az esemény kiváltja-e a DORA szerinti jelentéstételt. Az igazgatóság tudni akarja, hogy a vállalat „mindenhol többtényezős hitelesítést alkalmazunk” állítása valóban igaz volt-e. A következő hónapra már beütemezett ISO 27001 auditor pedig most bizonyítékokat kér a biztonságos hitelesítésről, a hozzáférés-szabályozásról, a naplózásról és a korrekciós intézkedésekről.

Ezért számít a NIST SP 800-63-4 2026-ban.

A CISO-k, megfelelési vezetők és üzleti tulajdonosok számára a NIST SP 800-63-4 nem csupán egy újabb digitális identitásról szóló útmutató. Egyre inkább a modern jelszószabályzat, az adathalászattal szemben ellenálló többtényezős hitelesítés, a passkeyek, a jelszó nélküli hitelesítés és a hitelesítőeszköz-életciklus irányításának gyakorlati hivatkozási alapjává válik. A valódi kihívás nem az útmutató elolvasása. A kihívás az, hogy a megvalósítás bizonyítható legyen az ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0, COBIT 2019 és a belső audit elvárásai szerint.

A Clarysec álláspontja egyszerű: az identitáskontrollok akkor buknak el, amikor beállításként, nem pedig irányítási kérdésként kezelik őket. A jelszavakat, a többtényezős hitelesítést, a passkeyeket, a helyreállítási folyamatokat, a munkamenet-tokeneket, az emelt jogosultságú hozzáférést, a szolgáltatásfiókokat és a hitelesítési naplókat egyetlen, bizonyítékot előállító kontrollrendszerként kell megtervezni.

Ezt a szemléletet alkalmazza a Zenith Blueprint: Egy auditor 30 lépéses ütemterve, a Clarysec szabályzatkönyvtára és a Zenith Controls: keresztmegfelelési útmutató. A Zenith Controls nem hoz létre új kontrollokat. Az ISO/IEC 27001:2022 és az ISO/IEC 27002:2022 kontrollalapú elvárásait más szabványok, jogszabályok és auditnézőpontok szerint felelteti meg, hogy a szervezetek elkerüljék a széttöredezett bizonyítékokat és a párhuzamos megfelelési munkát.

A „többtényezős hitelesítés engedélyezve van” nem auditválasz

Az elmúlt években sok szervezet abból indult ki, hogy a többtényezős hitelesítés bevezetése lezárta az identitáskockázatról szóló beszélgetést. 2026-ban ez a feltételezés már nem biztonságos.

Az auditorok és a szabályozók ma már pontosabb kérdéseket tesznek fel:

• Ki van-e kényszerítve a többtényezős hitelesítés minden kiemelt jogosultságú, távoli és magas kockázatú hozzáférés esetén?
• Adathalászattal szemben ellenálló-e a hitelesítés ott, ahol a kockázat ezt megköveteli?
• A passkeyeket vagy FIDO2 hitelesítőeszközöket a regisztráció, a helyreállítás, a visszavonás és az eszközéletciklus mentén irányítják-e?
• Ellenőrzik-e a jelszavakat kiszivárgott és gyakori hitelesítőadat-listákkal szemben?
• A jelszóváltoztatást kompromittálódás váltja-e ki, nem pedig önkényes naptári rotáció?
• Beilleszthetnek-e a felhasználók jelszavakat jelszókezelő megoldásokból?
• Naplózzák és felülvizsgálják-e a hitelesítőeszköz-eseményeket?
• Olyan erősek-e a fiók-helyreállítási folyamatok, mint a bejelentkezési folyamatok?
• Az API-titkokat, OAuth-tokeneket, SSH-kulcsokat és szolgáltatásfiók-hitelesítő adatokat ugyanazzal a fegyelemmel kezelik-e?

A NIST SP 800-63-4 a szervezeteket a kockázatalapú digitális identitásbizonyosság, a hitelesítőeszköz-erősség és az életciklus-bizonyítékok irányába tereli. A jelszókorszerűsítés esetében ez azt jelenti, hogy el kell mozdulni az olyan elavult gyakorlatoktól, mint a kényszerített időszakos jelszóváltoztatás, ha nincs kompromittálódásra utaló jel, miközben erősíteni kell a hosszúságra, a kiszivárgott jelszavak ellenőrzésére, a sebességkorlátozásra, a biztonságos tárolásra és a helyreállításra vonatkozó kontrollokat. A többtényezős hitelesítés és a passkeyek esetében a hangsúly a hitelesítőeszköz-bizonyosságon, az adathalászattal szembeni ellenálláson, a biztonságos regisztráción, a fiókhoz kötésen, a visszavonáson és az auditálhatóságon van.

A Zenith Blueprint ezt az elmozdulást a Controls in Action 19. lépésében, a Technological Controls I részben ragadja meg, amikor a biztonságos hitelesítést tárgyalja:

A hitelesítés az első és legkritikusabb védelmi vonal a fenyegető szereplő és az Ön rendszerei, adatai, valamint szolgáltatásai között. Ha a hitelesítés gyenge, minden más – a titkosítás, a megfigyelés, a szegmentálás – megkerülhető. A 8.5 kontroll biztosítja, hogy a hitelesítési mechanizmusok biztonságosan legyenek megtervezve, következetesen alkalmazva, és ellenálljanak az ismert támadási módszereknek.

Ez a mondat a 2026-os identitásaudit lényege. A kérdés már nem az, hogy „Vannak-e jelszavak és többtényezős hitelesítés?” A kérdés az, hogy „Bizonyítani tudja-e, hogy a hitelesítési architektúra kockázatalapú, ellenáll az ismert támadási módszereknek, következetesen érvényesített és felügyelt?”

Építse a kontrollrendszert az identitás, a hitelesítési információk és a biztonságos hitelesítés köré

A NIST SP 800-63-4 ISO/IEC 27001:2022 szerinti bizonyítékokká alakításának leghasznosabb módja az, ha az identitást összekapcsolt kontrollrendszerként kezeljük.

A Zenith Controls alapján a Clarysec három központi ISO/IEC 27002:2022 kontrollterületet azonosít a NIST SP 800-63-4-hez való összhang szempontjából: 5.16 identitáskezelés, 5.17 hitelesítési információk és 8.5 biztonságos hitelesítés. Az ISO/IEC 27001:2022 A mellékletében ezek az A.5.16, A.5.17 és A.8.5.

A különbségtétel fontos. Az A.5.16 azt kérdezi: „Kinek van identitása?” Az A.5.17 azt kérdezi: „Hogyan védik az identitás bizonyítására szolgáló információt?” Az A.8.5 azt kérdezi: „Hogyan történik biztonságosan a hitelesítés a rendszerekben?”

Amikor a szervezetek elbuknak az auditokon, az gyakran azért történik, mert az egyik réteget megvalósítják, a többit nem. Bevezetik a passkeyeket, de nem tudnak visszavonási bizonyítékot bemutatni. Kikényszerítik a többtényezős hitelesítést, de nem egy örökölt adminisztrációs konzol esetében. Beállítják a jelszószabályokat, de nem ellenőrzik a kiszivárgott jelszavakat. Letiltanak egy felhasználói fiókot, de megfeledkeznek az aktív munkamenetekről vagy a helyreállítási tokenekről.

A Zenith Blueprint Controls in Action 22. lépésében, a szervezeti kontrolloknál a Clarysec az A.5.17-et életciklus-kérdésként magyarázza:

Ha az identitás kérdése az, hogy „Ki vagy?”, akkor a hitelesítés a bizonyíték. Az 5.17 kontroll az a pont, ahol az elmélet találkozik a bizalommal. Megköveteli, hogy a hitelesítési információkat teljes életciklusuk során biztonságosan kezeljék, biztosítva, hogy az identitás ellenőrzésére használt módszerek és hitelesítő adatok önmagukban ne váljanak a leggyengébb láncszemmé.

Egy passkey nem attól megfelelő, hogy létezik. Akkor válik igazolhatóvá, ha be tudja mutatni, hogyan regisztrálják, kötik fiókhoz, védik, állítják helyre, vonják vissza, naplózzák és vizsgálják felül.

Korszerűsítse a jelszavakat az auditnyom megőrzése mellett

Sok vállalat jelszószabályzata még mindig egy másik fenyegetési modellhez készült. A „tizenkét karakter, szimbólumok, változtatás 90 naponta” ismerős, de az ismertség nem azonos a rezilienciával.

A NIST SP 800-63-4 modernebb megközelítést erősít meg: hosszabb jelszavak és jelmondatok, ellenőrzés kiszivárgott vagy gyakran használt jelszavakkal szemben, sebességkorlátozás, biztonságos visszaállítás, az önkényes időszakos változtatások mellőzése, kivéve ha kompromittálódás gyanúja áll fenn, valamint felhasználóbarát kontrollok, amelyek támogatják a jelszókezelő megoldásokat. Ez nem jelenti azt, hogy minden szervezetnek egyik napról a másikra újra kell írnia minden szabályzatát. Azt jelenti, hogy a jelszókövetelményeknek kockázatalapúnak, technikailag kikényszerítettnek és az ISO 27001 bizonyítékokkal összeegyeztethetőnek kell lenniük.

A Clarysec KKV szabályzatkönyvtára a kisebb szervezetek számára gyakorlati alapvonalat ad, amely az érettség növekedésével fejleszthető. A Felhasználói fiók- és jogosultságkezelési szabályzat - KKV kimondja:

A jelszavaknak meg kell felelniük a komplexitási követelményeknek (pl. legalább 12 karakter, alfanumerikus és szimbólumokat tartalmazó), és legalább 90 naponta módosítani kell őket.

Ez hasznos, kikényszeríthető kiindulópont a KKV-k számára. Egy 2026-os, NIST SP 800-63-4 szerinti korszerűsítési projektnek azonban felül kell vizsgálnia, hogy a rögzített 90 napos lejárat továbbra is megfelelő-e az egyes rendszerekre, különösen akkor, ha többtényezős hitelesítés, kiszivárgott jelszavak ellenőrzése, erős jelszóhossz és kompromittálódás esetén indított visszaállítási munkafolyamatok működnek. A gyakorlatban sok szervezet az átmenet idejére megtartja az alapvonalat, majd kockázatkezelésen és az alkalmazhatósági nyilatkozaton keresztül jóváhagyott jelszókorszerűsítési kiegészítést ad hozzá.

Vállalati környezetekben a Clarysec Felhasználói fiók- és jogosultságkezelési szabályzata irányítási kapcsolódási pontot ad ahelyett, hogy minden jelszószabályt mereven beégetne:

Minden felhasználói fióknál érvényesíteni kell a jelszókomplexitást és a lejáratot a szervezet jelszószabályzatával összhangban.

Ez a megfogalmazás lehetővé teszi a CISO számára, hogy a jelszószabályzatot a NIST SP 800-63-4-hez igazítsa anélkül, hogy a teljes hozzáférés-kezelési keretrendszert újra kellene írnia.

Egy gyakorlati jelszókorszerűsítési bizonyítékcsomagnak tartalmaznia kell:

• Aktuális jelszószabályzat és jóváhagyott korszerűsítési kiegészítés.
• IdP-konfiguráció, amely mutatja a minimális hosszt, a maximális hosszt és az engedélyezett karaktereket.
• Bizonyíték arra, hogy a jelszókezelő megoldások engedélyezettek, beleértve a beillesztési funkciót, ahol releváns.
• Kiszivárgott, gyenge és gyakori jelszavak szűrésének konfigurációja.
• Sebességkorlátozás vagy zárolási szabályzat online találgatásos támadások ellen.
• Megfelelő identitásellenőrzést megkövetelő jelszó-visszaállítási munkafolyamat.
• Jelszóhash-tárolási architektúra azoknál az alkalmazásoknál, amelyek hitelesítő adatokat tárolnak.
• Kivételnyilvántartás olyan örökölt rendszerekhez, amelyek nem támogatják a modern beállításokat.
• Kompromittálódás esetén indított visszaállítási eljárás incidensreagálási kapcsolódással.
• Felhasználói kommunikációs és képzési bizonyítékok.

A cél nem az, hogy vitát nyerjünk egy konkrét jelszóhossz mellett. A cél annak igazolása, hogy a jelszavas hitelesítés szabályozott, mérhető és beépül az IBIR-be.

Emelje a többtényezős hitelesítést és a passkeyeket a „második faktor” szintjéről bizonyossági szintre

A hétfő reggeli incidens a többtényezős hitelesítés jóváhagyási fárasztásával kezdődött. Ezért kérdezik az auditorok egyre gyakrabban, hogy a többtényezős hitelesítés ellenáll-e az adathalászatnak, nem csupán azt, hogy jelen van-e.

A hagyományos többtényezős hitelesítési módszerek – például az SMS, az e-mailes OTP, a TOTP-alkalmazások és a push értesítések – csökkenthetik a kockázatot, de nem egyenértékűek. A passkeyek és a FIDO2/WebAuthn hitelesítőeszközök erősebb védelmet nyújtanak az adathalászattal szemben, mivel a hitelesítés a legitim eredethez kötött, és nyilvános kulcsú kriptográfiát használ. Magas kockázatú felhasználók, kiemelt jogosultságú rendszergazdák, pénzügyi jóváhagyók, éles rendszerhez hozzáférő fejlesztők és távoli hozzáférési utak esetében az adathalászattal szemben ellenálló többtényezős hitelesítést célállapotként kell kezelni, kivéve ha dokumentált és jóváhagyott kivétel áll fenn.

A Clarysec vállalati Biztonságos kommunikációs és többtényezős hitelesítési szabályzata meghatározza az alapvonalat:

Többtényezős hitelesítés: A szervezet hálózatához és információs rendszereihez való minden hozzáférésnek, különösen az emelt jogosultságú hozzáférésnek vagy a távoli hozzáférésnek, többtényezős hitelesítést kell megkövetelnie (pl. jelszó plusz OTP-token vagy biometrikus faktor). A többtényezős hitelesítési megoldásoknak összhangban kell állniuk az iparági legjobb gyakorlatokkal (pl. időalapú egyszer használatos kódok vagy hardverkulcsok), és úgy kell konfigurálni őket, hogy védjenek a jogosulatlan hozzáférés ellen.

KKV-k számára a Hozzáférés-szabályozási szabályzat - KKV kimondja:

A kiemelt jogosultságú fiókoknak többtényezős hitelesítést kell használniuk, ahol ez támogatott.

Az „ahol ez támogatott” fordulat reális megvalósítási utat ad a KKV-knak, de auditkötelezettséget is teremt. Ha egy kiemelt jogosultságú rendszer nem támogatja a többtényezős hitelesítést, a szervezetnek dokumentálnia kell a kompenzáló kontrollokat, például a hálózati korlátozásokat, a kiemelt jogosultságú hozzáférések kezelését, az ugrószervereket, a rövidebb munkameneteket, a felügyeletet, a trezoros tárolást és a migrációs tervet.

A Zenith Blueprint Controls in Action 19. lépése egyértelmű a kívánt irányról:

Ahol lehetséges, kerülni kell a kizárólag jelszóalapú hitelesítést, különösen adminisztratív fiókok, felhőkonzolok, távoli hozzáférési eszközök és minden internet felől elérhető rendszer esetében. A többtényezős hitelesítés – például hardverkulcs, mobilalkalmazás vagy biometrikus azonosítás mint második faktor használatával – ma már alapelvárás, nem luxus.

A passkeyek természetesen illeszkednek ebbe a narratívába. A passkey-bevezetést nem szabad pusztán technológiai frissítésként bemutatni. Kockázatkezelésként kell dokumentálni az adathalászat, a credential stuffing, a többtényezős hitelesítési fárasztás, a jelszó-újrahasználat és a fiókátvétel ellen.

A passkey-bizonyítékmodell, amelyre az auditoroknak szükségük van

A passkeyek a hitelesítőeszköztől és az ökoszisztémától függően lehetnek szinkronizálhatók, eszközhöz kötöttek, hardveresen támogatottak, platformalapúak vagy hordozhatók. A bizonyosság a regisztrációtól, az eszközbizalomtól, a helyreállítástól, a fiókhoz kötéstől és a visszavonástól függ. Egy bizonyítékok nélküli passkey-projekt auditbizonytalanságot teremthet akkor is, ha a technológia erős.

Ezt a modellt használja auditra felkészített passkey-bevezetéshez.

Ez közvetlenül illeszkedik az ISO/IEC 27001:2022-höz. A 4.1–4.4 pontok megkövetelik, hogy a szervezetek megértsék a kontextust, az érdekelt feleket, az IBIR alkalmazási területét és a működési folyamatokat. Az 5.1–5.3 pontok vezetői szerepvállalást, szabályzatot, szervezeti szerepköröket és elszámoltathatóságot követelnek meg. A 6.1.2 és 6.1.3 pont ismételhető információbiztonsági kockázatértékelési és kockázatkezelési folyamatot ír elő, beleértve a kontrollkiválasztást, az A melléklettel való összevetést, az alkalmazhatósági nyilatkozatot és a maradványkockázat kockázattulajdonosi jóváhagyását. A 6.2 pont mérhető információbiztonsági célkitűzéseket követel meg.

Ez azt jelenti, hogy a passkey-bevezetésnek az IBIR-ben így kell megjelennie:

• Kockázatkezelésként a hitelesítő adatok ellopása és az adathalászat ellen.
• Célkitűzésként, például: „Az emelt jogosultságú hozzáférések 90 százalékának migrálása adathalászattal szemben ellenálló többtényezős hitelesítésre a harmadik negyedévig.”
• Alkalmazhatósági nyilatkozat szerinti indoklásként, amely az A.5.16, A.5.17 és A.8.5 kontrollokhoz kapcsolódik.
• Hozzáférés-szabályozási szabályzat frissítéseként.
• Naplózási és felügyeleti használati esetként.
• Auditbizonyíték-csomagként.

A Zenith Blueprint Risk Management fázisának 13. lépésében, a kockázatkezelési tervezés és alkalmazhatósági nyilatkozat résznél a Clarysec híddokumentumként írja le az SoA-t:

Az SoA gyakorlatilag híddokumentum: összekapcsolja a kockázatértékelést/-kezelést a ténylegesen meglévő kontrollokkal. A kitöltésével azt is ellenőrzi, hogy kihagyott-e bármely kontrollt.

A NIST SP 800-63-4 esetében ez a híd az a pont, ahol a jelszavakról, a többtényezős hitelesítésről és a passkeyekről szóló döntések auditálhatóvá válnak.

Keresztmegfelelési megfeleltetés ISO 27001, NIS2, DORA, GDPR, NIST CSF és COBIT szerint

Az identitásbizonyíték akkor válik igazán értékessé, ha egy kontrollkészlet több kötelezettséget is teljesít.

A NIS2 Article 21 megköveteli, hogy az alapvető és fontos szervezetek megfelelő és arányos technikai, operatív és szervezeti intézkedéseket vezessenek be, figyelembe véve a kockázatot, a technika állását, a megvalósítási költséget, a méretet és az incidens hatását. Az Article 21(2) tartalmazza a kockázatelemzést, a szabályzatokat, az incidenskezelést, az üzletmenet-folytonosságot, az ellátási lánc biztonságát, a biztonságos fejlesztést, a kontrollhatékonyság értékelését, a kiberhigiéniát és képzést, a kriptográfiát, a HR-biztonságot, a hozzáférés-szabályozást, az eszközkezelést és – ahol indokolt – a többtényezős vagy folyamatos hitelesítést. Az Article 20 a vezetői jóváhagyást, a felügyeletet és a kiberbiztonsági képzést irányítási kötelezettséggé teszi.

A DORA ugyanezt az identitástémát a pénzügyi digitális működési reziliencia körébe emeli. Az érintett pénzügyi szervezeteknek dokumentált IKT-kockázatkezelési keretrendszert kell fenntartaniuk vezető testületi felelősséggel, védelmi és megelőző kontrollokkal, hozzáférés-szabályozással, hitelesítéssel, felügyelettel, anomáliadetektálással, folytonossággal, reagálással, helyreállítással és képzéssel. Az Articles 8 to 10 különösen relevánsak az IKT-eszközök és függőségek azonosítása, az IKT-rendszerek védelme, a hozzáférés-szabályozás, az erős hitelesítés, a felügyelet és az észlelés szempontjából. Az Articles 17 to 19 ugyanezeket a bizonyítékokat az IKT-val kapcsolatos incidenskezeléshez és jelentéstételhez kapcsolják.

A GDPR mindenütt alkalmazandó, ahol személyes adatot kezelnek a területi és tárgyi hatályán belül. Az Article 5(1)(f) előírja, hogy a személyes adatokat megfelelő biztonsággal kell kezelni. Az Article 5(2) elszámoltathatóságot ír elő. Az Article 32 megfelelő technikai és szervezeti intézkedéseket követel meg a kockázatnak megfelelő biztonsági szint biztosításához. Egy ellopott jelszó vagy kompromittálódott hitelesítőeszköz személyesadat-sértéssé válhat, ha jogosulatlan hozzáférést eredményez személyes adatokhoz.

A NIST CSF 2.0 hasznos vezetési réteget ad. GOVERN funkciója megköveteli, hogy a jogi, szabályozási és szerződéses kiberbiztonsági követelményeket, beleértve az adatvédelmi kötelezettségeket, megértsék és kezeljék. A CSF-profilok segítenek a szervezeteknek összehasonlítani a jelenlegi és a célállapotokat, és priorizált intézkedési terveket készíteni.

A COBIT 2019 és az ISACA auditmegközelítések azt vizsgálják, hogy az identitás- és hozzáférés-szabályozási kontrollok támogatják-e az irányítási célkitűzéseket, a vezetési gyakorlatok meghatározottak-e, a hitelesítés erőssége illeszkedik-e a kockázathoz, és a kontrollok működése bizonyított-e.

Ugyanaz az IdP feltételes hozzáférési jelentés támogathatja az ISO 27001 szerinti hozzáférés-szabályozást, a NIS2 szerinti többtényezős hitelesítést, a DORA szerinti hitelesítési elvárásokat, a GDPR szerinti biztonsági elszámoltathatóságot és a NIST CSF célprofil előrehaladását.

Készítsen hitelesítőeszköz-bizonyítékcsomagot egy délután alatt

Egy CISO, megfelelési vezető vagy informatikai vezető gyorsan nagy értékű bizonyítékcsomagot hozhat létre, ha egy magas kockázatú rendszerre összpontosít, például felhőkonzolra, pénzügyi platformra, ügyféladminisztrációs portálra vagy éles telepítési környezetre.

Először határozza meg a hatályt. Azonosítsa az üzleti tulajdonost, az adatosztályozást, a felhasználói csoportokat, a kiemelt jogosultságú szerepköröket, a távoli hozzáférési utakat, a jelenlegi hitelesítőeszközöket, az érintett személyes adatokat és a harmadik fél függőségeket. Ez támogatja az ISO/IEC 27001:2022 4.1–4.4 pontjait, mert a hatályt, az érdekelt felek követelményeit és a függőségeket érteni kell.

Másodszor rögzítse a jelenlegi hitelesítési beállításokat. Exportálja vagy képernyőképen rögzítse a jelszószabályzatot, a többtényezős hitelesítés kikényszerítését, a passkey- vagy FIDO2-konfigurációt, a feltételes hozzáférési szabályokat, a munkamenet-időtúllépést, a helyreállítási módszereket, a vészhelyzeti adminisztrátori fiókokat és az örökölt hitelesítés állapotát. Ha a rendszer helyi hitelesítést használ, dokumentálja az okot, és határozzon meg migrációs utat.

Harmadszor hasonlítsa össze egy egyértelmű célállapottal:

• A jelszavakat szűrik a gyenge, gyakori és kiszivárgott hitelesítő adatokkal szemben.
• Nincs kizárólag jelszóalapú hozzáférés kiemelt jogosultságú, távoli vagy internet felől elérhető rendszereknél.
• Adathalászattal szemben ellenálló többtényezős hitelesítés működik rendszergazdák és magas kockázatú felhasználók esetén.
• Biztonságos a regisztráció és a helyreállítás.
• Kiléptetés vagy eszközvesztés esetén visszavonják a hitelesítőeszközöket.
• Naplózzák a sikeres és sikertelen hitelesítést, a többtényezős hitelesítés használatát és a hitelesítőeszköz-változásokat.
• Riasztások működnek lehetetlen utazásra, ismételt hibákra, új hitelesítőeszköz-regisztrációra és kockázatos bejelentkezésekre.

Negyedszer csatolja a szabályzati bizonyítékokat. A KKV Hozzáférés-szabályozási szabályzat - KKV előírja:

Egyedi felhasználónevek szükségesek; a megosztott fiókok használata tilos.

A fiókéletciklus-bizonyítékokhoz a KKV Felhasználói fiók- és jogosultságkezelési szabályzat - KKV kimondja:

A fióklétrehozásról, a fiók deaktiválásáról és a jogosultságváltozásokról szóló naplókat biztonságosan meg kell őrizni legalább 12 hónapig.

A hitelesítési naplózáshoz a Clarysec Naplózási és felügyeleti szabályzata - KKV meghatározza:

Hitelesítési naplók: sikeres és sikertelen bejelentkezési kísérletek, munkamenet-időtartam, többtényezős hitelesítés használata

Vállalati megvalósítások esetében a Naplózási és felügyeleti szabályzat előírja a következők naplózását:

Felhasználói hitelesítési és hozzáférési kísérletek

Ötödször frissítse az alkalmazhatósági nyilatkozatot. Jelölje az A.5.16, A.5.17 és A.8.5 kontrollokat alkalmazandóként, és adjon hozzá ilyen megjegyzéseket:

• Támogatja a NIST SP 800-63-4 hitelesítőeszköz-életciklussal kapcsolatos elvárásait.
• Támogatja a NIS2 Article 21 hozzáférés-szabályozási és többtényezős hitelesítési elvárásait.
• Támogatja a DORA IKT-kockázatkezelési, hitelesítési és felügyeleti követelményeit.
• Támogatja a GDPR Article 32 szerinti biztonságot és elszámoltathatóságot a személyes adatokhoz való hozzáférésnél.
• Kivétel: az örökölt elszámolási portál nem támogatja a FIDO2-t. A kompenzáló kontrollok közé tartozik a VPN-korlátozás, az emelt jogosultságú munkamenetek felügyelete, a beszállítói javító intézkedési terv és a havi hozzáférési felülvizsgálat.

Végül készítsen egy „Hitelesítési bizonyítékcsomag - 2026 Q2” nevű mappát szabályzatkivonatokkal, kockázatértékeléssel, kockázatkezelési bejegyzéssel, alkalmazhatósági nyilatkozat kivonatával, IdP-konfigurációval, többtényezős hitelesítési és passkey-lefedettségi jelentéssel, kiemelt jogosultságú felhasználói listával, kivételnyilvántartással, regisztrációs és visszavonási naplókkal, kiléptetési tesztmintával, SIEM-lekérdezésekkel, riasztási képernyőképekkel, incidensreagálási forgatókönyv kivonatával és felhasználói tudatossági kommunikációval.

Ez a különbség aközött, hogy „használunk többtényezős hitelesítést”, és aközött, hogy „bizonyítani tudjuk a biztonságos hitelesítés irányítását”.

Hogyan tesztelik különböző auditorok ugyanazokat az identitáskontrollokat

Egy érett identitásprogram előre számol a különböző auditnézőpontokkal.

Az ISO 27001 auditor az irányítási rendszerrel kezdi. Megkérdezi, hogyan értékelték az identitáskockázatokat, miért választották ki a kontrollokat, hogyan jelennek meg az alkalmazhatósági nyilatkozatban, jóváhagyták-e a szabályzatokat, kijelölték-e a felelősségeket, és a bizonyítékok mutatják-e a folyamatos működést. Vizsgálni fogja a kockázati nyilvántartás, a hozzáférés-szabályozási szabályzat, az IdP-beállítások és a naplók közötti összhangot.

A Zenith Blueprint Controls in Action fázisának 19. lépésében, a 8.1–8.5 kontrollok audit-ellenőrzőlistájában így írja le a gyakorlati auditkérést:

Az auditorok rákérdeznek a jelszókomplexitási beállításokra és azok kikényszerítésének módjára (Active Directory GPO-k, IdP-szabályzatok stb.). Mutassa be a dokumentációt a többtényezős hitelesítés bevezetéséről, arról, hogy kire vonatkozik, hol érvényesítik, és mely rendszereket védi.

Egy DORA- vagy NIS2-auditor az irányításra, a rezilienciára és a rendszerszintű kockázatra összpontosít. Kérhet igazgatósági vagy vezető testületi felügyeleti bizonyítékokat, kritikus rendszerek lefedettségét, harmadik felek hitelesítési kötelezettségeit, folytonossági teszteket és bizonyítékot arra, hogy a helyreállítási eljárásokat csak hitelesített személyzet indíthatja el.

Egy GDPR-felülvizsgáló a személyes adatokra összpontosít. Azt kérdezi, hogy a hitelesítés védi-e a személyes adatokat a jogosulatlan hozzáféréstől, a hozzáférés a szükséges mértékre korlátozott-e, a naplók támogatják-e az adatsértés értékelését, és a szervezet igazolni tudja-e az elszámoltathatóságot.

Egy NIST-orientált értékelő NIST CSF 2.0 profilokat használhat a jelenlegi és célállapotok összehasonlítására. Priorizált intézkedési tervet vár el, amely lefedi az irányítást, a szabályzatot, a hozzáférés-szabályozást, valamint az észlelési és reagálási eredményeket.

Egy COBIT 2019 vagy ISACA auditor azt értékeli, hogy az identitás- és hitelesítési gyakorlatok támogatják-e az irányítási célkitűzéseket, a kontrollkialakítást, a kontrollműködést, a feladatkörök szétválasztását, az emelt jogosultságú hozzáférést és a felügyeletet. Lehet, hogy nem érdekli, milyen márkájú passkeyt használ. Az fogja érdekelni, hogy a kontroll irányított, mért, gazdával rendelkező és folyamatosan fejlesztett-e.

Ne feledkezzen meg a kiléptetésről, a helyreállításról és a nem emberi identitásokról

Sok hitelesítési program erősnek tűnik bejelentkezéskor, de máshol gyenge.

A kiléptetés gyakori hibapont. A Clarysec Beléptetési és kiléptetési szabályzata kifejezetten tartalmazza:

MFA/SSO-tokenek, intelligens kártyák vagy tanúsítványok visszavonása

Ezt a pontot tesztelni kell. Válasszon ki három kilépett felhasználót, és bizonyítsa, hogy a fiókokat, munkameneteket, többtényezős hitelesítési eszközöket, passkeyeket, tanúsítványokat és helyreállítási módszereket időben visszavonták. Ha nem tudja bizonyítani a tokenek visszavonását, a kiléptetési kontroll hiányos.

A helyreállítás egy másik gyenge pont. Ha a helpdesk két könnyű kérdés megválaszolása után vissza tudja állítani a többtényezős hitelesítést, a támadó nem a bejelentkezést, hanem a helpdesk-helyreállítást fogja célba venni. A helyreállítási eljárásoknak erős ellenőrzést, jegynaplózást, kiemelt jogosultságú felhasználók esetén jóváhagyást, felhasználói értesítést és a helyreállítást követő tevékenység felügyeletét kell megkövetelniük.

A nem emberi identitás a harmadik vakfolt. A Zenith Blueprint 22. lépése egyértelművé teszi, hogy a hitelesítési információk közé tartoznak a „jelszavak, PIN-kódok, kriptográfiai kulcsok, biometrikus sablonok, intelligens kártyák, tokenek, tanúsítványok, OAuth-tokenek, SSH-kulcsok, API-titkok”. A támadók gyakran API-tokeneket, szolgáltatásfiók-kulcsokat és OAuth-engedélyeket használnak a perzisztencia fenntartására. Ezeket a hitelesítő adatokat az A.5.17 alatt kell kezelni trezoros tárolással, tulajdonosi felelősséggel, rotációval, visszavonással és naplózással.

Milyen a jó állapot 2026-ban

Egy érett, 2026-os identitáskontroll-környezet jellemzői:

• Az igazgatóság vagy a vezető testület érti az identitáskockázatot, és jóváhagyja az irányt.
• A jelszószabályzat korszerűsített, felhasználóbarát és technikailag kikényszerített.
• A kizárólag jelszóalapú hozzáférés megszűnik a kiemelt jogosultságú, távoli és internet felől elérhető rendszerekben.
• A passkeyek vagy FIDO2 hitelesítőeszközök elsőbbséget élveznek a magas kockázatú hozzáféréseknél.
• A többtényezős hitelesítési kivételek dokumentáltak, jóváhagyottak, időkorlátosak és kompenzáltak.
• A hitelesítőeszköz-regisztráció, -helyreállítás és -visszavonás szabályozott.
• A kiléptetés magában foglalja a fiókok, tokenek, tanúsítványok, munkamenetek és passkeyek visszavonását.
• A hitelesítési naplók tartalmazzák a sikeres eseményeket, a hibákat, a többtényezős hitelesítés használatát, a munkamenet-időtartamot és a hitelesítőeszköz-változásokat.
• A SIEM-használati esetek észlelik a credential stuffingot, a lehetetlen utazást, a gyanús regisztrációt és a többtényezős hitelesítési fárasztást.
• Az alkalmazhatósági nyilatkozat megmagyarázza, miért alkalmazandó az A.5.16, A.5.17 és A.8.5.
• A NIS2, DORA, GDPR és NIST CSF megfeleltetéseket egyszer rögzítik, majd újrahasznosítják.
• A bizonyítékokat folyamatosan gyűjtik, nem pedig pánikszerűen állítják össze az audit előtt.

Így válik a NIST SP 800-63-4 többé egy hivatkozási dokumentumnál. Élő kontrollrendszerré válik, amely támogatja a biztonságot, az adatvédelmet, a rezilienciát és az auditra való felkészültséget.

Alakítsa az identitáskontrollokat auditra kész bizonyítékokká

Ha szervezete jelszószabályokat frissít, adathalászattal szemben ellenálló többtényezős hitelesítést vezet be, passkeyeket alkalmaz, vagy ISO 27001, NIS2, DORA vagy GDPR auditkérdésekre készül, ne kizárólag az eszközkonfigurációval kezdje.

Kezdje a bizonyítékmodellel.

A Clarysec segíthet Önnek:

• A NIST SP 800-63-4 jelszavakra, többtényezős hitelesítésre és passkeyekre vonatkozó elvárásainak megfeleltetésében az ISO/IEC 27001:2022-höz.
• Hitelesítőeszköz-életciklus szabályzat és bizonyítékcsomag kialakításában.
• A hozzáférés-szabályozási, többtényezős hitelesítési, naplózási, beléptetési és kiléptetési szabályzatok frissítésében.
• Olyan alkalmazhatósági nyilatkozat elkészítésében, amely összekapcsolja az identitáskockázatot a kontrollokkal.
• A Zenith Blueprint használatában a megvalósítási lépések és az auditra való felkészültség strukturálásához.
• A Zenith Controls használatában az identitáskontrollok NIS2, DORA, GDPR, NIST CSF 2.0 és COBIT 2019 szerinti keresztmegfeleltetéséhez.

A gyenge helyreállítás, a hiányzó passkey-visszavonás vagy a hiányos többtényezős hitelesítési kikényszerítés feltárásának legjobb ideje az incidens, a szabályozó és az auditor kérdései előtt van.

Tegye a következő hozzáférési felülvizsgálatot NIST SP 800-63-4 bizonyíték-felülvizsgálattá. Töltse le a releváns Clarysec szabályzatokat, ismerje meg a Zenith Blueprint megközelítését, és használja a Zenith Controls útmutatót, hogy a jelszó-, többtényezős hitelesítési és passkey-megvalósítást egyetlen gyakorlati, arányos és auditra kész megfelelési történetté alakítsa.