<div dir="ltr"><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:small;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">FedRAMP has published guidance about the new NIST password/identity guidelines:</span><div><span style="text-align:start;text-indent:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline"><a href="https://www.fedramp.gov/assets/resources/documents/CSP_Digital_Identity_Requirements.pdf">https://www.fedramp.gov/assets/resources/documents/CSP_Digital_Identity_Requirements.pdf</a><br></span></div><div><span style="text-align:start;text-indent:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline"><br></span></div><div><span style="text-align:start;text-indent:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">They note that the formal baseline is still not updated, but encourage folks to follow NIST's new guidance regardless:</span></div><div><span style="text-align:start;text-indent:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline"><br></span></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><span style="text-align:start;text-indent:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline"><div>NOTE: At the time of this document’s publication, FedRAMP Moderate and High controls IA-5 (g)<br></div><div>and IA-5 (1) (a,d) are known to be more restrictive than the new password requirements in 800-</div><div>63B, AAL2 and AAL3 respectively. FedRAMP recommends Agency AOs accept compliance with</div><div>NIST’s guidance that is most up-to-date and consistent with current cyber security threats. This</div><div>may be done using an implementation status of “Alternative Implementation.”<br></div></span></blockquote><div><br></div>I also confirmed with the FedRAMP program that the baseline is expected to be updated to match NIST's SP 800-63, and thus avoid the need for any special acceptance. But the point is that FedRAMP is not an obstacle to dropping password rotation -- they are expecting service providers to follow NIST's guidance and drop it.<div><br></div><div>-- Eric<br><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 15, 2018 at 6:48 PM, Geoff Keating via Public <span dir="ltr"><<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
<br>
> On May 15, 2018, at 8:37 AM, Patrick Tronnier via Public <<a href="mailto:public@cabforum.org">public@cabforum.org</a>> wrote:<br>
> <br>
> I want to make it clear that OATI agrees with the minimum 2 year password period as the more secure route. It is FedRAMP and other standards which don’t. J<br>
<br>
</span>I've been looking at FedRAMP, because I was surprised they'd be putting out guidelines that conflict with NIST guidelines, and I can't find this requirement; for the 'high security controls' (<a href="https://www.fedramp.gov/assets/resources/documents/FedRAMP_High_Security_Controls.xlsx" rel="noreferrer" target="_blank">https://www.fedramp.gov/<wbr>assets/resources/documents/<wbr>FedRAMP_High_Security_<wbr>Controls.xlsx</a>), it does require you have a minimum and maximum password lifetime in IA-05(1)(d), but it says the actual limits are organization-defined, so you can ask the organization to set the maximum lifetime to, say, 3 years.<br>
<br>______________________________<wbr>_________________<br>
Public mailing list<br>
<a href="mailto:Public@cabforum.org">Public@cabforum.org</a><br>
<a href="https://cabforum.org/mailman/listinfo/public" rel="noreferrer" target="_blank">https://cabforum.org/mailman/<wbr>listinfo/public</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>Eric Mill</div><div>Senior Advisor, <span style="font-size:12.8px">Technology Transformation Services</span></div><div><span style="font-size:12.8px">Federal Acquisition Service, GSA</span><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><a href="mailto:eric.mill@gsa.gov" target="_blank">eric.mill@gsa.gov</a>, </span>+1-617-314-0966</div></div></div></div></div></div></div></div></div>
</div>