Последнее изменение: 19 марта, 2025
Политика № 4204 Процедура ввода пароля
Обзор
Пароли - важнейший компонент информационной безопасности. Пароли служат для защиты учетных записей пользователей; однако неправильно составленный пароль может привести к компрометации отдельных систем, данных или всей сети. В этом руководстве приведены лучшие методы создания надежных паролей.
Назначение
Цель этой процедуры - установить стандарт для создания надежных паролей, защиты этих паролей и частоты их смены.
Объем/ответственность
Эта процедура распространяется на весь персонал и организации, работающие от имени округа, которые имеют или несут ответственность за любую учетную запись (или любую форму доступа, которая поддерживает или требует пароль) в любой системе, которая находится в любом объекте PCSD или подключена к нему.
Процедура
Чтобы свести к минимуму возможность несанкционированного доступа, все пароли должны соответствовать или превышать рекомендации по созданию надежных паролей.
Характеристики пароля
- Надежные пароли:
- Содержит не менее 12 буквенно-цифровых символов
- Содержат как прописные, так и строчные буквы
- Содержать хотя бы одну цифру (например, 0-9)
- Содержит по крайней мере один специальный символ (например, !$%^&*()_+|~-=\`{}[]:";'?,/)
- Плохие или слабые пароли:
- Содержат менее восьми символов
- Могут быть найдены в словаре, в том числе иностранного языка, или существовать в сленге, диалектах или жаргоне
- Содержат личную информацию, такую как даты рождения, адреса, номера телефонов, имена членов семьи, домашних животных, друзей или вымышленных персонажей
- Содержат информацию, связанную с работой, например, названия зданий, талисманы, оборудование или программное обеспечение
- Содержит шаблоны чисел, такие как aaabbb, qwerty, zyxwvuts или 123321.
- Содержат обычные слова, написанные задом наперед или с предшествующим/следующим числом (например, terces, secret1 или 1secret)
- Это некоторые версии "Welcome123", "Password123" или "Changeme123".
Передовые методы работы с паролями
- Пользователи не должны использовать тот же пароль для учетных записей ПКУР, что и для доступа к другим ресурсам, не относящимся к ПКУР (например, к личной электронной почте, торговым сайтам, социальным сетям).
- По возможности, пользователи не должны использовать один и тот же пароль для различных целей доступа к ПКУР.
- Учетные записи пользователей с привилегиями системного уровня (например, PowerSchool) должны иметь уникальный пароль для привилегий системного уровня, если не используется двухфакторная аутентификация.
- Пользователи никогда не должны записывать или хранить пароли без приемлемого шифрования.
- Придумывайте пароли, которые легко запомнить. Один из методов - использование фразы, например, "Это может быть одним из способов запомнить" может стать
TmB1w2R!
Требования к смене пароля
- Все пароли системного уровня (например, учетные записи root, admin, application admin) должны меняться не реже одного раза в квартал.
- Все пароли на уровне пользователя (например, электронной почты, веб-сайта, настольного компьютера) должны меняться не реже одного раза в год. Рекомендуемый интервал - каждые четыре месяца.
- Команда InfoSec может периодически проводить взлом или угадывание паролей. Если пароль скомпрометирован, пользователь должен немедленно его сменить.
- Системы, которые могут принудительно менять пароли, должны делать это регулярно.
- Пароли по умолчанию должны быть изменены во время первоначальной установки и настройки.
Безопасность и управление паролями
- Служба технической поддержки управляет забытыми паролями и их сбросом. Пользователи должны подтвердить свою личность, прежде чем им будет предоставлена возможность сбросить пароль.
- Пароли нельзя передавать никому, включая административных помощников, секретарей, менеджеров, коллег или членов семьи.
- Пароли не должны содержаться в электронных письмах или других электронных сообщениях.
- Пользователи никогда не должны раскрывать пароли в анкетах или формах безопасности.
- Пользователи не должны намекать на формат пароля (например, "моя фамилия").
- Не записывайте пароли и не храните их в офисе или в незашифрованном файле.
- Не храните пароли в файлах на компьютере или мобильном устройстве без шифрования.
- Никогда не используйте функцию "Запомнить пароль" в приложениях (например, в веб-браузерах).
- Если пользователь подозревает, что его пароль был взломан, он должен сообщить об этом своему руководителю и немедленно сменить все пароли.
- Используйте автовыход в системах, которые это позволяют.
Статус последнего обновления:
Обновлено в январе 2015 года
Соответствующие политики и процедуры
- 4204 Использование технологий
- 4204 Допустимое использование
- 4204 Аудит
- 4204 Чистый стол
- 4204 План аварийного восстановления
- 4204 Электронная почта
- 4204 Обучение сотрудников мерам безопасности
- 4204 Шифрование
- 4204 Пароль
- 4204 Удаленный доступ
- 4204 Безопасность маршрутизаторов и коммутаторов
- 4204 Безопасность чувствительных рабочих станций
- 4204 План действий по обеспечению безопасности
- 4204 Безопасность сервера
- 4204 Установка программного обеспечения
- 4204 Безопасность веб-сервисов
- 4204 Связь с беспроводными устройствами
- 4204 Беспроводная инфраструктура связи