口令是计算机安全系统一个不可分割的部分,是保护用户账户的前沿阵地。糟糕的口令可能会导致关键资源受到损害。因此,能够访问公司系统的所有企业员工和外部有关厂商都要部署适当的措施,选择合适的口令,并保障其安全。
制定口令保护策略旨在为加强口令的选择、口令保护、口令的变更频率等制定标准。该策略涉及的人员包括所有对企业系统要求口令的账户。
口令保护策略
IT支持人员
所有的系统级用户(如根用户、管理员用户、应用程序管理员账户等)必须每三个月就变更一次。拥有系统级特权的用户账户,其口令必须与此用户所拥有的其它账户的口令完全不同。只要使用了SNMP协议,就必须将通信字符串定义为不同于以交互方式登录所使用的口令。只要可用,就必须使用密钥哈希。
普通用户
所有的用户级口令(例如,电子邮件、桌面计算机等)必须每三个月就更改一次。不能在电子邮件消息或其它电子通信形式中包含口令。所有用户的口令长度必须超过8个字符。所有的用户级和系统级的口令必须遵循下面描述的指南。
口令指南
通用的口令指南适用于企业中不同的情况,例如用于用户级的账户、Web账户、电子邮件账户、屏幕保护程序、语音邮件的口令、本地路由器的登录等。每个用户都清楚如何选择强健的口令是非常重要的。
糟糕的弱口令拥有如下的特征:
1、能够在词典(例如,英语词典)中找到该口令。
2、该口令常常包含以下方面:家庭成员、宠物、朋友、同事、计算机术语、计算机命令、公司、生日、网站以及住址、电话号码等其它个人信息。
3、单词或数字模式的字符,如aaabbbccc、123456等,或者像loveyou123等之类的字符串。
强健的口令拥有如下的特征:
1、既包含大写字母,又包含小写字母。
2、包含字母、数字和标点符号。
3、不属于任何语言、方言、行话等。
4、至少八个字符
5、与任何个人或家庭成员的信息无关
例如,可以用“我今天吃了五个狗不理包子”这个句子翻译成英文后的各个单词的首字母加上其它字符作为密码:“IhE5GbLBzT!”。
口令保护标准
1、每三个月至少更改一次口令
2、不要把口令写在纸上
3、不要不加密就将口令存储到网络上。
4、不要将同样的口令既用于企业账户又用于其它的非企业访问。
5、不要与任何人共享企业的口令。所有的口令都应作为敏感的机密信息。
6、不要通过电话将口令泄露给任何人。
7、不要在电子邮件消息中透露口令。
8、不要把口令透露给老板。
9、不要在其他人面前谈论口令。
10、不要对口令的形式做出暗示。
11、不要与家庭成员共享口令。
12、在休假期间,不要将口令透露给同事。
13、不要使用应用程序(如即时通信软件、浏览器等)的“记住密码”之类的功能。
14、如果有人要求知道口令,请将此文给他看,或请其咨询IT服务部门。
15、如果怀疑账户或口令已经遭到损害,应将事件报告给IT安全部门,并更改所有的口令。
16、安全人员为了测试需要有可能定期地猜测或破解口令。如果某口令被猜中或破解,应记录该事件,并且用户应更改其口令。