001

Gebruikersnaam is minimaal 6 karakters en alfanumeriek, zonder spaties en tekens.

002

Gebruikersnaam mag na aanmaken niet gewijzigd worden.

003

Toegang met Two-Factor Authenticatie (2FA) voor beheerders is vereist en mag niet uitgeschakeld kunnen worden.

004

Wachtwoord moet voldoen aan de eisen van security. Zie specificaties hieronder.

005

Het moet mogelijk zijn om testusers aan te maken.

006

Ingevoerde nieuwe wachtwoord moet herhaald worden voor verificatie.

007

Bij eerste keer aanloggen of op verzoek gebruiker wordt een QR code getoond, die ingescand kan worden in een authenticator app, zodat het account gekoppeld kan worden aan de app.

008

Er zijn geen restricties m.b.t. welke authenticator app gebruikt mag worden.

009

Indien een verkeerd wachtwoord of een verkeerde 2FA code wordt ingevoerd verschijnt de melding: 'Het aanmelden is mislukt. Dit kan komen doordat uw gegevens onjuist zijn en/of uw account geblokkeerd is.' (Er kan geen onderscheid gemaakt worden tussen een ongeldige gebruikersnaam/wachtwoord/code en een account dat geblokkeerd is.)

010

Wordt voor de 5e keer fout ingelogd dan verschijnt '503 service unavailable' pagina. (Dit is standaard IRIS gedrag.) (In de tst omgeving is dat een '403 Forbidden' pagina.)

011

De ingelogde user is zichtbaar op het scherm, en heeft de mogelijkheid om uit te loggen uit de beheerapplicatie.

012

Een mislukte aanlog poging moet zichtbaar worden in de application log. In dit geval moet een log regel gemaakt worden met “Foutieve inlogpoging“, datum/tijd, eventuele gebruiker.
In de details van de log regel moet de afzender staan (indien beschikbaar).

013

Voor een gebruiker die niet actief is en/of waarvoor de einddatum geldigheid is verstreken mogen geen notificatiemails worden uitgestuurd

001

Voor gewone gebruikers: Een sterk wachtwoord is een wachtwoord bestaande uit minimaal 12 karakters, bestaande uit letters, minimaal 1 hoofdletter, 1 cijfer en 1 leesteken. Het is niet toegestaan om herhaalde of opeenvolgende tekens (bijvoorbeeld 'aaaaaa', '1234abcd') te gebruiken. Deze instellingen moeten worden afgedwongen. --> N.B. Deze eis is in overleg, n.a.v. ondervonden problemen, voor Koppeltaal aangepast: Het is mogelijk om 2 zelfde of opeenvolgende tekens te gebruiken.

002

Voor het wijzigen van wachtwoorden wordt de periode afgestemd op het risicoprofiel. Best practices bij NIST geven nu zelfs grote termijn aan (2 jaar). Bij het wijzigen moeten afgedwongen worden dat niet hetzelfde wachtwoord gebruikt kan worden (wachtwoord historie van 10 vorige wachtwoorden).

003

Wachtwoorden worden in beveiligde vorm (onleesbaar/gehashed en gesalt) opgeslagen in systemen.

004

Standaard wachtwoorden en accounts moeten direct worden gewijzigd.

005

Gebruikers worden geïnstrueerd wachtwoorden geheim te houden, niet hetzelfde wachtwoord op meerdere plekken te gebruiken, niet te delen met anderen en niet te gebruiken bij zelf gemaakte inlogprocessen via b.v. scripts of macro’s.

006

Wachtwoorden voor accounts met admin (root) rechten worden bij voorkeur éénmalig uitgegeven met een vooraf gedefinieerde expiratie tijd (one time password en Account Checkout).

007

Wachtwoorden voor service accounts en local admin accounts zijn door één beheerder aangemaakt, minimaal 20 karakters lang en worden bewaard in een password manager.

008

Voor functionele accounts, zoals een service-/local admin accounts, dient een natuurlijk persoon aangewezen te worden die er voor verantwoordelijk is.

009

Na 10 foutieve inlogpogingen wordt de account gelock. --> N.B. Deze eis is anders geimplementeerd in Koppeltaal: Het account wordt uitgeschakeld na 5 keer invoeren fout wachtwoord en/of 5 keer invoeren van een foute 2FA code.