(1) Povinná osoba používá nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému.

(2) Nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací zajišťuje

a) ověření identity před zahájením aktivit v informačním a komunikačním systému,

c) odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití,

b) řízení počtu možných neúspěšných pokusů o přihlášení,

e) opětovné ověření identity po určené době nečinnosti,

g) centralizovanou správu identit.

d) ukládání autentizačních údajů ve formě odolné proti offline útokům,

f) dodržení důvěrnosti autentizačních údajů při obnově přístupu a

(3) Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.

(4) Do doby splnění požadavku podle odstavce 3 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti.

a) délky hesla alespoň

(5) Do doby splnění požadavků podle odstavce 3 nebo 4 musí nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo, vynucovat pravidla

b) umožňující zadat heslo o délce alespoň 64 znaků,

c) neomezující použití malých a velkých písmen, číslic a speciálních znaků,

1. 12 znaků u uživatelů a

2. 17 znaků u administrátorů a aplikací,

d) umožňující uživatelům změnu hesla, přičemž období mezi dvěma změnami hesla nesmí být kratší než 30 minut,

f) pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie.

2. tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem a

3. opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel a

1. zvolit si nejčastěji používaná hesla,

e) neumožňující uživatelům a administrátorům

a) vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití,

b) bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření a

c) povinně zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí podle § 9.

(6) Povinná osoba v případě používání autentizace pouze účtem a heslem dále