Последнее изменение: 19 марта, 2025

Политика № 4204 Процедура ввода пароля

• Скачать документ о процедуре ввода пароля

Обзор

Пароли - важнейший компонент информационной безопасности. Пароли служат для защиты учетных записей пользователей; однако неправильно составленный пароль может привести к компрометации отдельных систем, данных или всей сети. В этом руководстве приведены лучшие методы создания надежных паролей.

Назначение

Цель этой процедуры - установить стандарт для создания надежных паролей, защиты этих паролей и частоты их смены.

Объем/ответственность

Эта процедура распространяется на весь персонал и организации, работающие от имени округа, которые имеют или несут ответственность за любую учетную запись (или любую форму доступа, которая поддерживает или требует пароль) в любой системе, которая находится в любом объекте PCSD или подключена к нему.

Процедура

Чтобы свести к минимуму возможность несанкционированного доступа, все пароли должны соответствовать или превышать рекомендации по созданию надежных паролей.

Характеристики пароля

• Надежные пароли:
  • Содержит не менее 12 буквенно-цифровых символов
  • Содержат как прописные, так и строчные буквы
  • Содержать хотя бы одну цифру (например, 0-9)
  • Содержит по крайней мере один специальный символ (например, !$%^&*()_+|~-=\`{}[]:";'?,/)
• Плохие или слабые пароли:
  • Содержат менее восьми символов
  • Могут быть найдены в словаре, в том числе иностранного языка, или существовать в сленге, диалектах или жаргоне
  • Содержат личную информацию, такую как даты рождения, адреса, номера телефонов, имена членов семьи, домашних животных, друзей или вымышленных персонажей
  • Содержат информацию, связанную с работой, например, названия зданий, талисманы, оборудование или программное обеспечение
  • Содержит шаблоны чисел, такие как aaabbb, qwerty, zyxwvuts или 123321.
  • Содержат обычные слова, написанные задом наперед или с предшествующим/следующим числом (например, terces, secret1 или 1secret)
  • Это некоторые версии "Welcome123", "Password123" или "Changeme123".

Передовые методы работы с паролями

• Пользователи не должны использовать тот же пароль для учетных записей ПКУР, что и для доступа к другим ресурсам, не относящимся к ПКУР (например, к личной электронной почте, торговым сайтам, социальным сетям).
• По возможности, пользователи не должны использовать один и тот же пароль для различных целей доступа к ПКУР.
• Учетные записи пользователей с привилегиями системного уровня (например, PowerSchool) должны иметь уникальный пароль для привилегий системного уровня, если не используется двухфакторная аутентификация.
• Пользователи никогда не должны записывать или хранить пароли без приемлемого шифрования.
• Придумывайте пароли, которые легко запомнить. Один из методов - использование фразы, например, "Это может быть одним из способов запомнить" может стать TmB1w2R!

Требования к смене пароля

• Все пароли системного уровня (например, учетные записи root, admin, application admin) должны меняться не реже одного раза в квартал.
• Все пароли на уровне пользователя (например, электронной почты, веб-сайта, настольного компьютера) должны меняться не реже одного раза в год. Рекомендуемый интервал - каждые четыре месяца.
• Команда InfoSec может периодически проводить взлом или угадывание паролей. Если пароль скомпрометирован, пользователь должен немедленно его сменить.
• Системы, которые могут принудительно менять пароли, должны делать это регулярно.
• Пароли по умолчанию должны быть изменены во время первоначальной установки и настройки.

Безопасность и управление паролями

• Служба технической поддержки управляет забытыми паролями и их сбросом. Пользователи должны подтвердить свою личность, прежде чем им будет предоставлена возможность сбросить пароль.
• Пароли нельзя передавать никому, включая административных помощников, секретарей, менеджеров, коллег или членов семьи.
• Пароли не должны содержаться в электронных письмах или других электронных сообщениях.
• Пользователи никогда не должны раскрывать пароли в анкетах или формах безопасности.
• Пользователи не должны намекать на формат пароля (например, "моя фамилия").
• Не записывайте пароли и не храните их в офисе или в незашифрованном файле.
• Не храните пароли в файлах на компьютере или мобильном устройстве без шифрования.
• Никогда не используйте функцию "Запомнить пароль" в приложениях (например, в веб-браузерах).
• Если пользователь подозревает, что его пароль был взломан, он должен сообщить об этом своему руководителю и немедленно сменить все пароли.
• Используйте автовыход в системах, которые это позволяют.

Статус последнего обновления:

Обновлено в январе 2015 года

Соответствующие политики и процедуры

• 4204 Использование технологий
• 4204 Допустимое использование
• 4204 Аудит
• 4204 Чистый стол
• 4204 План аварийного восстановления
• 4204 Электронная почта
• 4204 Обучение сотрудников мерам безопасности
• 4204 Шифрование
• 4204 Пароль
• 4204 Удаленный доступ
• 4204 Безопасность маршрутизаторов и коммутаторов
• 4204 Безопасность чувствительных рабочих станций
• 4204 План действий по обеспечению безопасности
• 4204 Безопасность сервера
• 4204 Установка программного обеспечения
• 4204 Безопасность веб-сервисов
• 4204 Связь с беспроводными устройствами
• 4204 Беспроводная инфраструктура связи