Última modificação: março 19, 2025
Política nº 4204 Procedimento de senha
Visão geral
As senhas são um componente essencial da segurança das informações. As senhas servem para proteger as contas dos usuários; no entanto, uma senha mal criada pode resultar no comprometimento de sistemas individuais, dados ou de toda a rede. Esta diretriz fornece as práticas recomendadas para a criação de senhas seguras.
Finalidade
O objetivo desse procedimento é estabelecer um padrão para a criação de senhas fortes, a proteção dessas senhas e a frequência das alterações.
Escopo/Responsabilidade
Este procedimento se aplica a todos os funcionários e entidades que trabalham em nome do distrito e que têm ou são responsáveis por qualquer conta (ou qualquer forma de acesso que suporte ou exija uma senha) em qualquer sistema que resida ou esteja conectado a qualquer instalação do PCSD.
Procedimento
Para minimizar a possibilidade de acesso não autorizado, todas as senhas devem atender ou exceder as diretrizes para a criação de senhas fortes.
Características da senha
- Senhas fortes:
- Conter pelo menos 12 caracteres alfanuméricos
- Conter letras maiúsculas e minúsculas
- Conter pelo menos um número (por exemplo, 0-9)
- Conter pelo menos um caractere especial (por exemplo, !$%^&*()_+|~-=\`{}[]:";'?,/)
- Senhas fracas ou ruins:
- Conter menos de oito caracteres
- Pode ser encontrado em um dicionário, incluindo idiomas estrangeiros, ou existir em gírias, dialetos ou jargões
- Conter informações pessoais, como datas de nascimento, endereços, números de telefone, nomes de membros da família, animais de estimação, amigos ou personagens fictícios
- Conter informações relacionadas ao trabalho, como nomes de edifícios, mascotes, hardware ou software
- Contêm padrões numéricos, como aaabbb, qwerty, zyxwvuts ou 123321
- Contêm palavras comuns escritas ao contrário ou precedidas/seguidas por um número (por exemplo, terces, secret1 ou 1secret)
- São alguma versão de "Welcome123", "Password123" ou "Changeme123"
Práticas recomendadas de senha
- Os usuários não devem usar a mesma senha para contas da PCSD e para outros acessos que não sejam da PCSD (por exemplo, e-mail pessoal, sites de compras, mídia social).
- Sempre que possível, os usuários não devem usar a mesma senha para várias necessidades de acesso ao PCSD.
- As contas de usuário com privilégios em nível de sistema (por exemplo, PowerSchool) devem ter uma senha exclusiva para privilégios em nível de sistema, a menos que usem autenticação de dois fatores.
- Os usuários nunca devem anotar ou armazenar senhas sem uma criptografia aceitável.
- Crie senhas que possam ser lembradas facilmente. Um método é usar uma frase, por exemplo, "This May Be One Way To Remember" poderia se tornar
TmB1w2R!
Requisitos de alteração de senha
- Todas as senhas no nível do sistema (por exemplo, contas root, admin, admin de aplicativos) devem ser alteradas pelo menos trimestralmente.
- Todas as senhas de nível de usuário (por exemplo, e-mail, Web, computador desktop) devem ser alteradas pelo menos uma vez por ano. O intervalo recomendado é a cada quatro meses.
- A quebra ou adivinhação de senhas pode ser realizada periodicamente pela equipe de InfoSec. Se uma senha for comprometida, o usuário deverá alterá-la imediatamente.
- Os sistemas que podem impor alterações de senha devem fazê-lo regularmente.
- As senhas padrão devem ser alteradas durante a instalação e a configuração iniciais.
Segurança e gerenciamento de senhas
- O Help Desk de Tecnologia gerencia senhas esquecidas e redefinições. Os usuários devem verificar sua identidade antes de conceder uma redefinição.
- As senhas não devem ser compartilhadas com ninguém, incluindo assistentes administrativos, secretárias, gerentes, colegas de trabalho ou membros da família.
- As senhas não devem ser incluídas em e-mails ou outras comunicações eletrônicas.
- Os usuários nunca devem revelar senhas em questionários ou formulários de segurança.
- Os usuários não devem dar dicas sobre o formato de uma senha (por exemplo, "meu nome de família").
- Não anote senhas nem as armazene em um escritório ou arquivo não criptografado.
- Não armazene senhas em um arquivo em um computador ou dispositivo móvel sem criptografia.
- Nunca use o recurso "Lembrar senha" em aplicativos (por exemplo, navegadores da Web).
- Se um usuário suspeitar que sua senha foi comprometida, ele deverá informar ao supervisor e alterar todas as senhas imediatamente.
- Use o logout automático nos sistemas que o permitem.
Status da última atualização:
Atualizado em janeiro de 2015
Políticas e procedimentos relacionados
- 4204 Uso de tecnologia
- 4204 Uso aceitável
- 4204 Auditoria
- 4204 Mesa limpa
- 4204 Plano de recuperação de desastres
- 4204 E-mail
- 4204 Treinamento de conscientização de segurança para funcionários
- Criptografia 4204
- 4204 Senha
- 4204 Acesso remoto
- 4204 Segurança do roteador e do switch
- 4204 Segurança para estações de trabalho confidenciais
- 4204 Plano de resposta de segurança
- Segurança do servidor 4204
- Instalação do software 4204
- 4204 Segurança dos serviços do site
- 4204 Comunicação de dispositivos sem fio
- 4204 Comunicação de infraestrutura sem fio