| 5.
常用口令策略
大多数机构都有自己的口令管理策略。下面是部分常用的口令管理策略,大家可以根据自己的安全级别和实际情况选择使用。
- 所有活动账号都必须有口令保护。
- 在生成账号时,系统管理员应该分配给合法用户一个唯一的口令,用户在第一次登录时应更改口令。
- 在UNIX系统中,口令不应存放在/etc/passwd文件中,而只应存放在只有root用户和系统自身有权访问的shadow文件中。
- 口令输入时不应将口令的明文显示出来,应该采取掩盖措施。
- 口令必须至少要含有8个字符。
- 口令必须同时含有字母和非字母字符。
- 口令必须是保密的,如不能共享、含在程序中或写在纸上。
- 必须定期用监控工具检查口令的强度和长度是否合格。
- 口令不能在工作组中共享以保证可以通过用户名追查到具体责任人。
- 口令不能和用户名或登录名相同。
- 口令必须至少60天更改一次。
- 口令的使用期限和过期失效必须由系统强制执行。
- 过期的口令在没有更改的情况下最多只能使用3次,之后应该禁用,只有管理员或维护人员才能恢复。
- 禁止重用口令。
- 为了防止重用口令必须保存至少12个历史口令。
- 所有系统用户的口令必须是难以猜测的。
- 口令不能是字典中能够找到的词。
- 口令不能通过明文电子邮件传输。
- 口令不能以明文形式保存在任何电子介质中。
- 可以在PGP或强度相当的加密措施的保护下将口令存放在电子文件中。
- 所有供应商的默认口令必须更改。
- 用户应该在不同的系统中使用不同的口令。
- 如果root账号的口令被攻破或泄漏,所有的口令都必须修改。
- 当怀疑口令被攻破或泄漏就必须予以更改。
- 口令不能通过语音或移动电话告知。
- 用户获取口令时必须用适当的方式证明自己的身份。
- 输错3次口令后账号将被锁定,只有系统管理员或维护人员可以解锁。
- 对口令的使用、成功登录日志、失败登录日志(包括日期、时间、用户名或登录名)要经常进行审计。
- 如果可能应控制登录尝试的频率。
- 如果可能用户在空闲状态达30分钟后应该自动退出。
- 用户成功登录时,应显示上次成功或失败登录的日期和时间。
|
