PCI DSS第八条规则：为访问计算机的每个用户指定独立ID。

　　对PCI法规比较关注的一点是对谁做了什么，以及时间的可追溯性和说明。企业认识到用于满足这条规则的主要技术是用户名和密码管理，而且这些技术的使用也不是很困难。为了满足规则，合并可以自动完成任务的工具，或者分派技术员工来解决问题。大型网络中存在很多进入点的各种环境，包括防火墙和VPN访问。如果没有合适的架构，这些不同的选择使跟踪用户帐户的信息系统上的行为变得很困难。这些相同的企业可能不能监控所有变化的鱼面密码策略。

　　如何满足PCI第八条规则

　　企业必须有能力识别、记录所有用户并管理对包含信用卡信息的信息系统和应用的访问。企业必须为访问计算机的每个人创建独立ID。公司还必须拥有（全体员工签署的）书面政策，指出所有的ID和信任状（credential）都只能被指定的人员使用。企业需要有能力核实谁想要访问资产。他们还必须控制哪些员工有权限察看、修正，并且这些行为是居于企业任务的。

　　管理方面要确保老化的密码上执行的策略。例如，如果公司策略说明所有的密码都必须每45天更改一次，他们必须有能力证明密码确实更改了。另外，企业还应该能够证明他们想新雇用的员工提供密码的程序是可以重复的，还应该可以在员工不再为企业工作的时候移除密码。

　　PCI DSS还要求使用双因素认证来识别需要访问资源的远程用户，不管他们是员工、管理员还是第三方。虽然帐户名和密码是最简单最经济得网络登录认证方法，但是企业现在开始认识到这种方法的缺点。密码可以通过使用字典攻击被猜测或者破解，或者用户也会被欺骗向其他人透漏他们的密码。阻止社会工程攻击并减少和密码相关风险的方法之一是采用双因素认证。如果用户需要输入密码并提供附加信息，例如智能卡或者令牌上的PIN，那么黑客就不能只使用密码进入网络了。双因素认证可以通过合并用户所知道的（例如，密码）、用户所拥有的（ATM卡）或者用户的身份（指纹）来建立。

　　最后，至关重要的是企业使用企业范围内的认证构架，而这个构架可以对用户安全连接到网络地方式进行控制。这个构架可以构建，也可以购买。它不应该只能被用于认证访问资源的用户，而且应该可以根据业务的要求帮助限制对资源的访问。这样的做法要求开发一套可以重复的程序，还有保护用户身份和数据的技术和策略。把用户限制在“需要知道”的基础上可以帮助降低风险。