Ultima modifica: Marzo 19, 2025
Politica n. 4204 Procedura per le password
Panoramica
Le password sono una componente fondamentale della sicurezza delle informazioni. Le password servono a proteggere gli account degli utenti; tuttavia, una password mal costruita può portare alla compromissione di singoli sistemi, dati o dell'intera rete. Questa linea guida fornisce le migliori pratiche per la creazione di password sicure.
Scopo
Lo scopo di questa procedura è quello di stabilire uno standard per la creazione di password forti, la protezione di tali password e la frequenza di modifica.
Ambito di applicazione/responsabilità
Questa procedura si applica a tutto il personale e a tutti gli enti che lavorano per conto del distretto e che hanno o sono responsabili di qualsiasi account (o di qualsiasi forma di accesso che supporti o richieda una password) su qualsiasi sistema che risieda o sia collegato a qualsiasi struttura del PCSD.
Procedura
Per ridurre al minimo la possibilità di accesso non autorizzato, tutte le password devono soddisfare o superare le linee guida per la creazione di password forti.
Caratteristiche della password
- Password forti:
- Contenere almeno 12 caratteri alfanumerici
- Contengono sia lettere maiuscole che minuscole
- Contengono almeno un numero (ad esempio, da 0 a 9).
- Contenere almeno un carattere speciale (ad esempio, !$%^&*()_+|~-=\`{}[]:";'?,/)
- Password scarse o deboli:
- Contengono meno di otto caratteri
- Si possono trovare in un dizionario, anche di lingue straniere, o esistono in gergo, dialetti o espressioni gergali.
- contenere informazioni personali come date di nascita, indirizzi, numeri di telefono, nomi di familiari, animali domestici, amici o personaggi di fantasia
- Contengono informazioni relative al lavoro, come nomi di edifici, mascotte, hardware o software.
- Contengono schemi numerici come aaabbb, qwerty, zyxwvuts o 123321.
- Contengono parole comuni scritte al contrario o precedute/seguite da un numero (ad esempio, terces, secret1 o 1secret).
- Sono una versione di "Welcome123", "Password123" o "Changeme123".
Pratiche ottimali per le password
- Gli utenti non devono utilizzare la stessa password per gli account PCSD e per altri accessi non PCSD (ad esempio, posta elettronica personale, siti di shopping, social media).
- Ove possibile, gli utenti non devono utilizzare la stessa password per diverse esigenze di accesso al PCSD.
- Gli account utente con privilegi a livello di sistema (ad esempio, PowerSchool) devono avere una password unica per i privilegi a livello di sistema, a meno che non si utilizzi l'autenticazione a due fattori.
- Gli utenti non devono mai scrivere o memorizzare le password senza una codifica accettabile.
- Creare password che possano essere ricordate facilmente. Un metodo consiste nell'utilizzare una frase, ad esempio "This May Be One Way To Remember" (Questo può essere un modo per ricordare).
TmB1w2R!
Requisiti per la modifica della password
- Tutte le password a livello di sistema (ad esempio, gli account root, admin, admin delle applicazioni) devono essere modificate almeno ogni trimestre.
- Tutte le password a livello di utente (ad esempio, e-mail, web, computer desktop) devono essere modificate almeno una volta all'anno. L'intervallo consigliato è ogni quattro mesi.
- Il team InfoSec può eseguire periodicamente operazioni di cracking o di indovinare le password. Se una password viene compromessa, l'utente deve cambiarla immediatamente.
- I sistemi che possono imporre la modifica delle password devono farlo regolarmente.
- Le password predefinite devono essere modificate durante l'impostazione e la configurazione iniziale.
Sicurezza e gestione delle password
- L'Help Desk tecnologico gestisce le password dimenticate e i reset. Gli utenti devono verificare la propria identità prima che venga concesso il reset.
- Le password non devono essere condivise con nessuno, compresi assistenti amministrativi, segretari, dirigenti, colleghi o familiari.
- Le password non devono essere incluse nelle e-mail o in altre comunicazioni elettroniche.
- Gli utenti non devono mai rivelare le password nei questionari o nei moduli di sicurezza.
- Gli utenti non devono alludere al formato della password (ad esempio, "il mio nome di famiglia").
- Non scrivete le password e non conservatele in ufficio o in un file non criptato.
- Non memorizzate le password in un file su un computer o un dispositivo mobile senza crittografia.
- Non utilizzare mai la funzione "Ricorda password" nelle applicazioni (ad esempio, nei browser web).
- Se un utente sospetta che la propria password sia stata compromessa, deve segnalarlo al proprio supervisore e cambiare immediatamente tutte le password.
- Utilizzare la disconnessione automatica sui sistemi che la consentono.
Stato dell'ultimo aggiornamento:
Aggiornato a gennaio 2015
Politiche e procedure correlate
- 4204 Uso della tecnologia
- 4204 Uso accettabile
- 4204 Audit
- 4204 Scrivania pulita
- 4204 Piano di ripristino in caso di emergenza
- 4204 Email
- 4204 Formazione di sensibilizzazione sulla sicurezza dei dipendenti
- 4204 Crittografia
- 4204 Password
- 4204 Accesso remoto
- 4204 Sicurezza di router e switch
- 4204 Sicurezza per le postazioni di lavoro sensibili
- 4204 Piano di risposta alla sicurezza
- 4204 Sicurezza del server
- 4204 Installazione del software
- 4204 Sicurezza dei servizi del sito web
- 4204 Comunicazione con dispositivi wireless
- 4204 Comunicazione di infrastrutture wireless