Paskutinį kartą pakeista: 19 kovo, 2025

Politika Nr. 4204 Slaptažodžio procedūra

• Atsisiųsti slaptažodžių procedūros dokumentą

Apžvalga

Slaptažodžiai yra labai svarbi informacijos saugumo sudedamoji dalis. Slaptažodžiais apsaugomos naudotojų paskyros, tačiau dėl netinkamai sudaryto slaptažodžio gali būti pažeistos atskiros sistemos, duomenys arba visas tinklas. Šiose gairėse pateikiama geriausia saugių slaptažodžių kūrimo praktika.

Tikslas

Šios procedūros tikslas - nustatyti stiprių slaptažodžių kūrimo, jų apsaugos ir keitimo dažnumo standartą.

Apimtis ir (arba) atsakomybė

Ši procedūra taikoma visiems darbuotojams ir apygardos vardu dirbantiems subjektams, kurie turi arba yra atsakingi už bet kokią paskyrą (arba bet kokios formos prieigą, kuri palaiko arba reikalauja slaptažodžio) bet kurioje sistemoje, esančioje arba prijungtoje prie bet kurios PCSD patalpos.

Procedūra

Kad sumažintumėte neteisėtos prieigos galimybę, visi slaptažodžiai turėtų atitikti arba viršyti stiprių slaptažodžių kūrimo gaires.

Slaptažodžio savybės

• Stiprūs slaptažodžiai:
  • turi ne mažiau kaip 12 raidinių ir skaitmeninių simbolių.
  • turi ir didžiąsias, ir mažąsias raides
  • turi bent vieną skaičių (pvz., 0-9)
  • turi bent vieną specialųjį simbolį (pvz., !$%^&*()_+|~-=\`{}[]:";'?,/)
• Prasti arba silpni slaptažodžiai:
  • turi mažiau nei aštuonis simbolius
  • Galima rasti žodyne, įskaitant užsienio kalbas, arba egzistuoja slengas, tarmės ar žargonas.
  • pateikiama asmeninė informacija, pvz., gimimo datos, adresai, telefono numeriai, šeimos narių, augintinių, draugų ar išgalvotų personažų vardai.
  • pateikiama su darbu susijusi informacija, pavyzdžiui, pastatų pavadinimai, talismanai, techninė ar programinė įranga.
  • turi skaičių modelius, pavyzdžiui, aaabbb, qwerty, zyxwvuts arba 123321.
  • yra bendrinių žodžių, kurie rašomi atvirkščiai arba prieš ir (arba) po kurių yra skaičius (pvz., terces, secret1 arba 1secret).
  • yra tam tikra "Welcome123", "Password123" arba "Changeme123" versija.

Geriausia slaptažodžių naudojimo praktika

• Naudotojai negali naudoti to paties slaptažodžio PCSD paskyroms ir kitoms, su PCSD nesusijusioms, prieigoms (pvz., asmeniniam el. paštui, prekybos svetainėms, socialinei žiniasklaidai).
• Jei įmanoma, naudotojai neturi naudoti to paties slaptažodžio įvairiems PCSD prieigos poreikiams.
• Vartotojo paskyros, turinčios sistemos lygmens teises (pvz., "PowerSchool"), turi turėti unikalų slaptažodį sistemos lygmens teisėms gauti, nebent naudojamas 2 veiksnių autentifikavimas.
• Naudotojai niekada neturėtų užsirašinėti ar saugoti slaptažodžių be priimtino šifravimo.
• Sukurkite lengvai įsimenamus slaptažodžius. Vienas iš būdų - naudoti frazę, pvz., "Tai gali būti vienas iš būdų įsiminti" gali tapti TmB1w2R!

Slaptažodžio keitimo reikalavimai

• Visi sistemos lygmens slaptažodžiai (pvz., root, admin, programų administratoriaus paskyros) turi būti keičiami bent kartą per ketvirtį.
• Visi naudotojo lygmens slaptažodžiai (pvz., el. pašto, žiniatinklio, stacionaraus kompiuterio) turi būti keičiami bent kartą per metus. Rekomenduojamas intervalas - kas keturi mėnesiai.
• Slaptažodžių nulaužimą ar atspėjimą periodiškai gali atlikti "InfoSec" komanda. Jei slaptažodis išviliojamas, naudotojas privalo jį nedelsdamas pakeisti.
• Sistemos, kurios gali užtikrinti slaptažodžių keitimą, turi tai daryti reguliariai.
• Numatytieji slaptažodžiai turi būti pakeisti atliekant pradinę sąranką ir konfigūravimą.

Slaptažodžių saugumas ir valdymas

• Technologijų pagalbos tarnyba tvarko pamirštus slaptažodžius ir juos atstato. Prieš atstatant slaptažodį, vartotojai turi patvirtinti savo tapatybę.
• Slaptažodžiais negalima dalytis su niekuo, įskaitant administracinius padėjėjus, sekretorius, vadovus, bendradarbius ar šeimos narius.
• Slaptažodžių negalima įtraukti į el. laiškus ar kitus elektroninius pranešimus.
• Naudotojai niekada neturėtų atskleisti slaptažodžių klausimynuose ar saugumo formose.
• Vartotojai neturi daryti užuominų apie slaptažodžio formatą (pvz., "mano pavardė").
• Neužsirašinėkite slaptažodžių ir nelaikykite jų biure ar neužšifruotame faile.
• Nelaikykite slaptažodžių faile kompiuteryje ar mobiliajame įrenginyje be šifravimo.
• Programose (pvz., žiniatinklio naršyklėse) niekada nenaudokite funkcijos "Įsiminti slaptažodį".
• Jei naudotojas įtaria, kad buvo pažeistas jo slaptažodis, jis privalo apie tai pranešti savo vadovui ir nedelsdamas pakeisti visus slaptažodžius.
• Sistemose, kuriose tai leidžiama, naudokite automatinį atsijungimą.

Paskutinio atnaujinimo būsena:

Atnaujinta 2015 m. sausio mėn.

Susijusi politika ir procedūros

• 4204 Technologijų naudojimas
• 4204 Priimtinas naudojimas
• 4204 Auditas
• 4204 Švarus stalas
• 4204 Atkūrimo po nelaimės planas
• 4204 El. paštas
• 4204 Darbuotojų informuotumo apie saugumą mokymas
• 4204 Šifravimas
• 4204 Slaptažodis
• 4204 Nuotolinė prieiga
• 4204 Maršrutizatorių ir komutatorių saugumas
• 4204 Jautrių darbo vietų saugumas
• 4204 Saugumo reagavimo planas
• 4204 Serverio saugumas
• 4204 Programinės įrangos diegimas
• 4204 Interneto svetainių paslaugos Saugumas
• 4204 Belaidis įrenginio ryšys
• 4204 Belaidis infrastruktūros ryšys