Indicar la frecuencia de cambios de passwords, describir como se llevan a cabo estos cambios, e identificar quien realiza los cambios (el usuario, el sistema, o el administrador del sistema).
Describir como es que los mecanismos de control de acceso soportan cuentas individuales y el monitoreo de ellas (ej., los passwords se asocian con un user ID que es asignado a una única persona).
Describir las técnicas de protección para los mecanismos de autenticación (ej., los passwords están encriptados, son automáticamente generados, se revisa que no se generen passwords no permitidos, en transmisiones se encriptan los passwords).