Инструкция управления паролями

Материал из SecurityPolicy.ru

Перейти к: навигация, поиск

Содержание

[править] I. Правила образования парольных фраз

Парольные фразы являются конфиденциальной информацией и не могут быть разглашены, либо переданы кому-либо. Ответственность за безопасное хранение пароля лежит на его владельце.

Выбираемые пользователями парольные фразы должны автоматически проверяться на соответствие требованиям, предъявляемым к сложности парольных фраз, указанным в данном документе.

При выборе парольных фраз необходимо руководствоваться следующими критериями:

1. Парольные фразы должны содержать не меньше двух спецсимволов, буквы в различном регистре и цифры;
2. Пароли должны быть случайными, т.е:
a. ни по какой имеющейся части парольной фразы нельзя сделать предположение об оставшейся части пароля;
b. имея парольную фразу пользователя А нельзя сделать предположение о парольной фразе пользователя Б.
3. Недопустимо хранение парольных фраз в открытом виде;
4. Недопустимо хранение парольных фраз в преобразованном виде, стойкость алгоритма преобразования которого полностью зависит от знания самого алгоритма;
5. Длина выбираемых парольных фраз должна зависеть от времени использования одних и тех же паролей. Так, к примеру, для использования одной и той же парольной фразы в течение 60 дней, достаточно ее длины в 8 символов. В случае увеличения периода действия парольной фразы ее длина должна быть увеличена.
6. Длина парольных фраз, не предполагающих свое изменение со временем, должна быть не меньше 32 символов.

[править] II. Безопасное получение парольных фраз

Парольные фразы не подлежат хранению в бумажной или электронной формах в общедоступных местах.

При первоначальном предоставлении доступа к информационным ресурсам сетевой инфраструктуры, а также при получении заявки на сброс пароля, пользователю предоставляется первичная парольная фраза. Первичная парольная фраза удовлетворяет требованиям, предъявляемым к паролям данным документом, а также является временной и должна быть изменена при первом же входе в систему.

Парольная фраза сообщается исключительно пользователю информационных ресурсов, запросившему доступ.

Первичная парольная фраза может быть передана конечному пользователю системы в открытой форме через электронную почту только в пределах корпоративной почтовой системы.

[править] III. Смена парольных фраз

Парольная фраза должна быть изменена в следующих случаях:

  • время действия пароля истекло;
  • при подозрении, что пароль стал известен кому-либо еще;
  • если право пользования учетной записью было передано другому пользователю;
  • в случае, если состав группы, пользующейся общим паролем, изменился.

При первичной регистрации пользователя в системе должна быть запрошена смена первичной парольной фразы. Также, пользователь должен извещаться об истечении срока действия его пароля и необходимости установить новый.

Обязательные требования к парольному вводу:

  • подавление отображения вводимой парольной фразы;
  • новая парольная фраза должна вводиться дважды;
  • парольное поле должно сбрасываться после каждой проверки введенной парольной фразы.

[править] IV. Использование одноразовых ключей аутентификации (аппаратных токенов)

В случае применения аппаратных токенов эти устройства должны быть защищены, как минимум, четырехзначным пин-кодом. Пин-код запрещается разглашать или хранить в открытом виде или в легкодоступных местах.

Источник - "http://www.securitypolicy.ru/index.php/%D0%98%D0%BD%D1%81%D1%82%D1%80%D1%83%D0%BA%D1%86%D0%B8%D1%8F_%D1%83%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F%D0%BC%D0%B8"
Навигация
Инструменты
Мой профиль