最後一次修改:19 3 月, 2025
政策編號 4204 密碼程序
概述
密碼是資訊安全的重要組成部分。密碼的作用是保護使用者帳戶;然而,如果密碼設計不當,可能會導致個別系統、資料或整個網路受到攻擊。本指南提供了建立安全密碼的最佳實務。
目的
本程序的目的是為建立強大密碼、保護這些密碼以及更改頻率的標準。
範圍/責任
本程序適用於在任何 PCSD 設施內或與任何 PCSD 設施連接的任何系統上,擁有或負責任何帳戶(或任何支援或需要密碼的存取形式)的所有人員和代表校區工作的實體。
程序
為了將未經授權存取的可能性降至最低,所有密碼都應符合或超過建立強大密碼的準則。
密碼特性
- 強大的密碼:
- 至少包含 12 個字母數位字元
- 包含大、小寫字母
- 至少包含一個數字(例如 0-9)
- 至少包含一個特殊字元 (例如: !$%^&*()_+|~-=`\{}[]:";'?,/)
- 拙劣或弱的密碼:
- 包含少於 8 個字元
- 可在字典中找到,包括外語,或存在於俚語、方言或行話中
- 包含個人資訊,例如出生日期、地址、電話號碼、家人姓名、寵物、朋友或虛構人物的姓名
- 包含工作相關資訊,例如建築物名稱、吉祥物、硬體或軟體
- 包含數字模式,例如 aaabbb、qwerty、zyxwvuts 或 123321
- 包含反向拼寫的常見單字,或前面/後面有數字的單字 (例如:terces、secret1 或 1secret)
- 是某些版本的 "Welcome123"、"Password123「 或 」Changeme123"
密碼最佳實務
- 用戶不得將 PCSD 帳戶密碼用於其他非 PCSD 存取(如個人電子郵件、購物網站、社交媒體)。
- 在可能的情況下,使用者不得在各種 PCSD 存取需求中使用相同的密碼。
- 除非使用 2 因子驗證,否則具有系統等級權限的使用者帳戶 (例如 PowerSchool) 必須有唯一的密碼才能使用系統等級權限。
- 使用者絕不應寫下或儲存沒有可接受加密的密碼。
- 建立容易記住的密碼。一種方法是使用短語,例如,「這可能是一種記憶方法」可以變成
TmB1w2R!
密碼變更要求
- 所有系統層級的密碼 (例如 root、admin、應用程式管理員帳戶) 必須至少每季變更一次。
- 所有使用者等級的密碼 (例如:電子郵件、網頁、桌上型電腦) 必須至少每年更換一次。建議每四個月更換一次。
- 資訊安全團隊可能會定期進行密碼破解或猜測。如果密碼被洩露,使用者必須立即變更密碼。
- 可以強制變更密碼的系統必須定期變更密碼。
- 在初始設定和組態時,必須變更預設密碼。
密碼安全與管理
- 技術服務台負責管理遺忘的密碼和重設。用戶必須先驗證身份,才能獲得重置。
- 密碼不得與任何人共用,包括行政助理、秘書、經理、同事或家人。
- 密碼不得包含在電子郵件或其他電子通訊中。
- 使用者絕不應在問卷或安全表格中透露密碼。
- 使用者不得暗示密碼的格式(例如:「我的姓氏」)。
- 請勿寫下密碼並儲存在辦公室或未加密的檔案中。
- 請勿將密碼儲存於未加密的電腦或行動裝置檔案中。
- 切勿使用應用程式(如網頁瀏覽器)中的「記住密碼」功能。
- 如果使用者懷疑自己的密碼遭到洩露,必須向主管報告,並立即變更所有密碼。
- 在允許自動登出的系統上使用自動登出。
最後更新狀態:
2015 年 1 月更新