口令是计算机安全系统一个不可分割的部分,是保护用户账户的前沿阵地。糟糕的口令可能会导致关键资源受到损害。因此,能够访问公司系统的所有企业员工和外部有关厂商都要部署适当的措施,选择合适的口令,并保障其安全。
密码保护策略的制定旨在制定加强密码选择、密码保护和密码变更频率的标准。该策略涉及的人员包括所有需要密码的企业系统账户。
密码保护策略
IT支持人员
所有系统级用户(如用户、管理员用户、应用程序管理员账户等)必须每三个月更改一次。具有系统级特权的用户账户的密码必须与用户拥有的其他账户完全不同。只要使用SNMP协议必须将通信字符串定义为不同于通过交互登录使用的密码。只要可用,密钥哈希就必须使用。
普通用户
所有用户密码(如电子邮件、桌面计算机等)必须每三个月更改一次。密码不能包含在电子邮件信息或其他电子通信形式中。所有用户的密码长度必须超过8个字符。所有用户级和系统级密码必须遵循以下指南。
口令指南
一般的密码指南适用于企业的不同情况,如用户级账户Web账户、电子邮件账户、屏幕保护程序、语音邮件密码、本地路由器登录等。每个用户都知道如何选择强大的密码是非常重要的。
糟糕的弱口令拥有如下的特征:
1、这个密码可以在词典(比如英语词典)中找到。
2、密码通常包括以下方面:家庭成员、宠物、朋友、同事、计算机术语、计算机命令、公司、生日、网站、地址、电话号码等个人信息。
3、单词或数字模式的字符,如aaabbbccc、123456等,或者像loveyou123等等字符串。
强健密码具有以下特点:
1、包括大写字母和小写字母。
2、包括字母、数字和标点符号。
3、不属于任何语言、方言、行话等。
4、至少八个字符
5、与任何个人或家庭成员的信息无关
例如,可以使用“今天吃了五只狗不理包子”每个单词的首字母加上其他字符作为密码翻译成英文:“IhE5GbLBzT!”。
密码保护标准
1、每三个月至少更改一次密码
2、纸上不要写口令
3、不加密将密码存储在网络上。
4、不要在企业账户和其他非企业访问中使用相同的密码。
5、不要与任何人分享企业密码。所有密码都应用作敏感的机密信息。
6、不要通过电话将口令泄露给任何人。
7、不要在电子邮件消息中透露密码。
8、不要向老板透露密码。
9、不要在别人面前谈论密码。
10、不要暗示密码的形式。
11、不要和家人分享密码。
12、在休假期间,不要将口令透露给同事。
13、不要使用应用程序(如即时通信软件、浏览器等)“记住密码”等功能。
14、如果有人要求知道口令,请将此文给他看,或请其咨询IT服务部门。
15、如果怀疑账户或密码损坏,应向事件报告IT安全部门,并更改所有密码。
16、安全人员需要定期猜测或破解密码进行测试。如果密码被猜测或破解,应记录事件,用户应更改密码。
【编辑推荐】