Última modificação: março 19, 2025

Política nº 4204 Procedimento de senha

• Download do documento de procedimento de senha

Visão geral

As senhas são um componente essencial da segurança das informações. As senhas servem para proteger as contas dos usuários; no entanto, uma senha mal criada pode resultar no comprometimento de sistemas individuais, dados ou de toda a rede. Esta diretriz fornece as práticas recomendadas para a criação de senhas seguras.

Finalidade

O objetivo desse procedimento é estabelecer um padrão para a criação de senhas fortes, a proteção dessas senhas e a frequência das alterações.

Escopo/Responsabilidade

Este procedimento se aplica a todos os funcionários e entidades que trabalham em nome do distrito e que têm ou são responsáveis por qualquer conta (ou qualquer forma de acesso que suporte ou exija uma senha) em qualquer sistema que resida ou esteja conectado a qualquer instalação do PCSD.

Procedimento

Para minimizar a possibilidade de acesso não autorizado, todas as senhas devem atender ou exceder as diretrizes para a criação de senhas fortes.

Características da senha

• Senhas fortes:
  • Conter pelo menos 12 caracteres alfanuméricos
  • Conter letras maiúsculas e minúsculas
  • Conter pelo menos um número (por exemplo, 0-9)
  • Conter pelo menos um caractere especial (por exemplo, !$%^&*()_+|~-=\`{}[]:";'?,/)
• Senhas fracas ou ruins:
  • Conter menos de oito caracteres
  • Pode ser encontrado em um dicionário, incluindo idiomas estrangeiros, ou existir em gírias, dialetos ou jargões
  • Conter informações pessoais, como datas de nascimento, endereços, números de telefone, nomes de membros da família, animais de estimação, amigos ou personagens fictícios
  • Conter informações relacionadas ao trabalho, como nomes de edifícios, mascotes, hardware ou software
  • Contêm padrões numéricos, como aaabbb, qwerty, zyxwvuts ou 123321
  • Contêm palavras comuns escritas ao contrário ou precedidas/seguidas por um número (por exemplo, terces, secret1 ou 1secret)
  • São alguma versão de "Welcome123", "Password123" ou "Changeme123"

Práticas recomendadas de senha

• Os usuários não devem usar a mesma senha para contas da PCSD e para outros acessos que não sejam da PCSD (por exemplo, e-mail pessoal, sites de compras, mídia social).
• Sempre que possível, os usuários não devem usar a mesma senha para várias necessidades de acesso ao PCSD.
• As contas de usuário com privilégios em nível de sistema (por exemplo, PowerSchool) devem ter uma senha exclusiva para privilégios em nível de sistema, a menos que usem autenticação de dois fatores.
• Os usuários nunca devem anotar ou armazenar senhas sem uma criptografia aceitável.
• Crie senhas que possam ser lembradas facilmente. Um método é usar uma frase, por exemplo, "This May Be One Way To Remember" poderia se tornar TmB1w2R!

Requisitos de alteração de senha

• Todas as senhas no nível do sistema (por exemplo, contas root, admin, admin de aplicativos) devem ser alteradas pelo menos trimestralmente.
• Todas as senhas de nível de usuário (por exemplo, e-mail, Web, computador desktop) devem ser alteradas pelo menos uma vez por ano. O intervalo recomendado é a cada quatro meses.
• A quebra ou adivinhação de senhas pode ser realizada periodicamente pela equipe de InfoSec. Se uma senha for comprometida, o usuário deverá alterá-la imediatamente.
• Os sistemas que podem impor alterações de senha devem fazê-lo regularmente.
• As senhas padrão devem ser alteradas durante a instalação e a configuração iniciais.

Segurança e gerenciamento de senhas

• O Help Desk de Tecnologia gerencia senhas esquecidas e redefinições. Os usuários devem verificar sua identidade antes de conceder uma redefinição.
• As senhas não devem ser compartilhadas com ninguém, incluindo assistentes administrativos, secretárias, gerentes, colegas de trabalho ou membros da família.
• As senhas não devem ser incluídas em e-mails ou outras comunicações eletrônicas.
• Os usuários nunca devem revelar senhas em questionários ou formulários de segurança.
• Os usuários não devem dar dicas sobre o formato de uma senha (por exemplo, "meu nome de família").
• Não anote senhas nem as armazene em um escritório ou arquivo não criptografado.
• Não armazene senhas em um arquivo em um computador ou dispositivo móvel sem criptografia.
• Nunca use o recurso "Lembrar senha" em aplicativos (por exemplo, navegadores da Web).
• Se um usuário suspeitar que sua senha foi comprometida, ele deverá informar ao supervisor e alterar todas as senhas imediatamente.
• Use o logout automático nos sistemas que o permitem.

Status da última atualização:

Atualizado em janeiro de 2015

Políticas e procedimentos relacionados

• 4204 Uso de tecnologia
• 4204 Uso aceitável
• 4204 Auditoria
• 4204 Mesa limpa
• 4204 Plano de recuperação de desastres
• 4204 E-mail
• 4204 Treinamento de conscientização de segurança para funcionários
• Criptografia 4204
• 4204 Senha
• 4204 Acesso remoto
• 4204 Segurança do roteador e do switch
• 4204 Segurança para estações de trabalho confidenciais
• 4204 Plano de resposta de segurança
• Segurança do servidor 4204
• Instalação do software 4204
• 4204 Segurança dos serviços do site
• 4204 Comunicação de dispositivos sem fio
• 4204 Comunicação de infraestrutura sem fio