PURPOSE
密码是计算机安全的一个重要方面. 它们是保护用户帐户的第一线. 一个选择不当的密码可能会导致蒙奥图校园数据网络的妥协. As such, 所有Mont Alto校区员工(包括承包商), temporary personnel, 以及可以访问任何/所有蒙奥图校园技术系统的供应商)有责任采取适当的步骤, as outlined below, 选择和保护个人密码. 此策略的目的是为创建强密码建立标准, 这些密码的保护, 以及变化的频率.
SCOPE
本政策的适用范围包括所有拥有或负责位于任何蒙奥图校园设施内的任何系统上的帐户(或任何形式的数据通信访问)的人员, 能通过本地或远程连接进入蒙托大学的校园数据网络吗, 或存储任何非公开的校园欧博官网app下载.
Note: All faculty, 教职员工和学生都受ITS管理欧博体育官网访问帐户的政策约束. 这些政策可以在http://ovpit上查看.ftguanggao.com/legacy/be-safe/password-policy.html
DEFINITIONS
应用管理帐户 -任何用于管理申请的帐户(例如.g.,服务器根访问,Web服务器管理员).
TACACS+ —终端门禁控制器门禁系统认证协议
RADIUS —远程认证拨入用户服务认证协议
X.509 —使用KEA (key Exchange Algorithm)的认证协议
LDAP —访问目录欧博官网app下载的Internet标准协议. LDAP代表轻量级目录访问协议
VPN —虚拟专用网—为在不安全的网络中传输数据提供安全的隧道
POLICY
General
- 所有系统级密码(例如.g.、root、enable、NT admin、应用程序管理帐户等.)必须每季度更改一次.
- 所有用户级密码(e.g.,电子邮件,网页,台式电脑等.)必须至少每六个月更换一次. 建议每三个月更换一次.
- 通过组成员关系或程序(如UNIX下的“sudo”)授予系统级特权的用户帐户, 或在Windows下以“运行身份”的密码必须与该用户持有的任何其他帐户使用的密码不同.
- 不得在电子邮件或其他形式的电子通信中插入密码.
- Where SNMP is used, 社区字符串必须定义为标准默认值“public”以外的东西,“private”和“system”,必须与交互登录时使用的密码不同. 在可用的地方必须使用键控散列(例如.g., SNMPv2).
- 所有用户级和系统级密码必须符合下面描述的准则.
Guidelines
一般密码构造指引
密码在蒙特奥拓校区有多种用途. 一些更常见的用途包括:用户级帐户, web accounts, email accounts, screen saver protection, voicemail password, and local router logins. 由于很少有系统支持一次性令牌(例如.e., 动态密码(只使用一次), 每个人都应该知道如何选择强密码.
差的、弱的密码有以下特点:
- 密码长度不超过8个字符
- 密码是在字典中找到的一个单词(英语或外语)。
- 密码是常用的单词,例如:
- 家人、宠物、朋友、同事、幻想人物等的名字.
- 用户的ID或其子集.
- 计算机术语和名称,命令,网站,公司,硬件,软件.
- The words "Mont Alto campus," "MA," "
" or any derivation. - 生日和其他个人欧博官网app下载,如地址和电话号码.
- 单词或数字模式,如aaabbb, qwerty, zyxwvuts, 123321等.
- 以上任意一个的倒写.
- 前面或后面跟一个数字(e)的上述任一项.g., secret1, 1secret)
强密码具有以下特点:
- 包含大小写字符(e.g., a-z, A-Z)
- 有数字和标点符号,以及字母(e.g., 0-9, ?,./">!@#$%^&*()_+|~-=\`{}[]:";'<>?,./)
- 至少有8个字母数字字符长吗.
- 不是任何语言中的一个词,俚语、方言、行话等吗.
- 是不是基于个人欧博官网app下载,家人的名字等.
- 永远不要把密码写下来或存储在网上. 尽量设置容易记住的密码. 一种方法是根据歌曲标题、肯定词或其他短语创建密码. For example, 短语可以是:“这可能是一种记忆方式”,密码可以是:“TmB1w2R。!" or "Tmb1W>r~" or some other variation. 注意:不要使用这些示例中的任何一个作为密码!
密码保护标准
不要使用与其他非Mont Alto校园访问帐户相同的密码(例如.g.、个人ISP账户、期权交易、福利等.). 在可能的情况下,不要使用相同的密码为不同的Mont Alto校园访问需求. For example, 为Mont Alto校园分配的个人电脑或笔记本电脑选择一个密码,为位于计算机实验室的个人电脑选择一个单独的密码. 另外,如果适用,请为Windows帐户和UNIX帐户选择单独的密码.
不要和别人分享你的密码, 包括行政助理, ITS staff, or Police Services. 所有密码都将被视为学校的敏感机密欧博官网app下载.
以下是“不要”的清单:
- 不要在电话中向任何人透露密码
- 不要在电子邮件中透露密码
- 不要向主管透露密码
- 不要在别人面前谈论密码
- 不要暗示密码的格式(如.g., "my family name")
- 不要在调查问卷或安全表单上透露密码
- 不要与家人共用密码
- 度假时不要向同事透露密码
如果有人要密码, 请参阅本文件或向资讯科技署查询.
不要使用应用程式的“记住密码”功能(例如.g., Eudora, Outlook, AOL Instant Messenger).
再说一遍,不要把密码写下来,放在办公室的任何地方. 不要将密码存储在没有加密的任何计算机系统(包括Palm Pilots或类似设备)的文件中.
至少每六个月修改一次密码(系统级密码每季度修改一次除外)。. 建议每三个月更换一次.
如果怀疑某个帐户或密码被泄露, 向资讯科技总监报告事件,并更改所有密码.
大学保安处可定期执行密码破解或猜测, or ITS Department. 如果在其中一次扫描期间密码被猜出或破解, 用户将被要求更改密码.
应用程序开发标准
内部应用程序开发人员必须确保他们的程序包含以下安全预防措施. Applications:
- 应该支持单个用户的身份验证,而不是组的身份验证.
- 不应该以明文或任何容易逆转的形式存储密码吗.
- 应该提供角色管理吗, 这样一个用户就可以接管另一个用户的功能,而不必知道另一个用户的密码.
- 应该支持TACACS+, RADIUS和/或X.使用LDAP安全检索,只要可能.
远程访问用户密码和口令的使用
通过远程访问访问蒙奥图校园网,需要对所有流量进行加密. 这可以通过使用一次性密码身份验证或使用具有强密码短语的公钥/私钥系统来建立. VPN是公钥/私钥系统的一个例子.
Passphrases
密码短语通常用于公钥/私钥身份验证. 公钥/私钥系统定义了所有人都知道的公钥之间的数学关系, and the private key, 这只有用户知道. 没有密码短语来“解锁”私钥,用户就无法获得访问权限.
密码短语与密码不同. 密码短语是密码的较长版本,因此更安全. 密码短语通常由多个单词组成. 正因为如此,密码短语在抵御“字典攻击”时更加安全."
一个好的密码短语相对较长,包含大小写字母、数字和标点字符的组合. 一个好的密码短语的例子:
"The*?#>*@TrafficOnThe101Was*&#!#ThisMorning"
上述适用于密码的所有规则都适用于密码短语.
Enforcement
任何被发现违反本政策的员工都可能受到其行政单位的纪律处分, the campus, or the University.
CROSS REFERENCE
还应参考的其他政策:
AD20 -计算机和网络安全
终端用户计算机协议
PSU-MA-ITS-004 -可接受使用和安全政策
POLICY HISTORY
Ratified June 5, 2009