4.0 Policy

4.1 General

•

All production system-level passwords must be part of the InfoSec administered global password

management database.

•

User accounts that have system-level privileges granted through group memberships or programs

such as "sudo" must have a unique password from all other accounts held by that user.

•

 .

•

Where SNMP is used,

 the community strings must be defined as something other than the

standard defaults of "public," "private" and "system" and must be different from the passwords

used to log in interactively. A keyed hash must be used where available (e.g., SNMPv2).

•

4.2 Guidelines

A. General Password Construction Guidelines

Passwords are used for various purposes at <Company Name>. Some of the more common uses include:

user level accounts, web accounts, email accounts, screen saver protection, voicemail password, and local

router logins. Since very few systems have support for one-time tokens (i.e., dynamic passwords which are

only used once), everyone should be aware of how to select strong passwords.

Poor, weak passwords have the following characteristics:

•

The password contains less than fifteen characters

•

The password is a word found in a dictionary (English or foreign)

•

The password is a common usage word such as:

o

Names of family, pets, friends, co-workers, fantasy characters, etc.

o

Computer terms and names, commands, sites, companies, hardware, software.

o

The words "<Company Name>", "sanjose", "sanfran" or any derivation.

o

Birthdays and other personal information such as addresses and phone numbers.

o

Word or number patterns like aaabbb, qwerty, zyxwvuts, 123321, etc.

o

Any of the above spelled backwards.

o

Any of the above preceded or followed by a digit (e.g., secret1, 1secret)

Strong passwords have the following characteristics:

•

Contain both upper and lower case characters (e.g., a-z, A-Z)

•

Have digits and punctuation characters as well as letters e.g., 0-9, !@#$%^&*()_+|-

=\`{}[]:";'<>?,./)

•

Are at least fifteen alphanumeric characters long and is a passphrase (Ohmy1stubbedmyt0e).

•

Are not a word in any language, slang, dialect, jargon, etc.

•

Are not based on personal information, names of family, etc.

•

Passwords should never be written down or stored on-line. Try to create passwords that can be

easily remembered. One way to do this is create a password based on a song title, affirmation, or

other phrase. For example, the phrase might be: "This May Be One Way To Remember" and the

password could be: "TmB1w2R!" or "Tmb1W>r" or some other variation.

NOTE: Do not use either of these examples as passwords!

B. Password Protection Standards

Do not use the same password for <Company Name> accounts as for other non-<Company Name> access

(e.g., personal ISP account, option trading, benefits, etc.). Where possible, don't use the same password for

various <Company Name> access needs. For example, select one password for the Engineering systems

and a separate password for IT systems. Also, select a separate password to be used for an NT account and

a UNIX account.

Do not share <Company Name> passwords with anyone, including administrative assistants or secretaries.

All passwords are to be treated as sensitive, Confidential <Company Name> information.

Here is a list of "dont's":

•

Don't reveal a password over the phone to ANYONE

•

Don't reveal a password in an email message

•

Don't reveal a password to the boss

•

Don't talk about a password in front of others

•

Don't hint at the format of a password (e.g., "my family name")

•

Don't reveal a password on questionnaires or security forms

•

Don't share a password with family members

•

Don't reveal a password to co-workers while on vacation

If someone demands a password, refer them to this document or have them call someone in the Information

Security Department.

Do not use the "Remember Password" feature of applications (e.g., Eudora, OutLook, Netscape

Messenger).

Again, do not write passwords down and store them anywhere in your office. Do not store passwords in a

file on ANY computer system (including Palm Pilots or similar devices) without encryption.

Change passwords at least once every six months (except system-level passwords which must be changed

quarterly). The recommended change interval is every four months.

If an account or password is suspected to have been compromised, report the incident to InfoSec and

change all passwords.

Password cracking or guessing may be performed on a periodic or random basis by InfoSec or its delegates.

If a password is guessed or cracked during one of these scans, the user will be required to change it.

C. Application Development Standards

Application developers must ensure their programs contain the following security precautions.

Applications:

•

should support authentication of individual users, not groups.

•

should not store passwords in clear text or in any easily reversible form.

•

should provide for some sort of role management, such that one user can take over the functions of

another without having to know the other's password.

•

should support TACACS+ , RADIUS and/or X.509 with LDAP security retrieval, wherever

possible.

D. Use of Passwords and Passphrases for Remote Access Users

Access to the <Company Name> Networks via remote access is to be controlled using either a one-time

password authentication or a public/private key system with a strong passphrase.

E. Passphrases

Passphrases are generally used for public/private key authentication. A public/private key system defines a

mathematical relationship between the public key that is known by all, and the private key, that is known

only to the user. Without the passphrase to "unlock" the private key, the user cannot gain access.

Passphrases are not the same as passwords. A passphrase is a longer version of a password and is,

therefore, more secure. A passphrase is typically composed of multiple words. Because of this, a

passphrase is more secure against "dictionary attacks."

A good passphrase is relatively long and contains a combination of upper and lowercase letters and

numeric and punctuation characters. An example of a good passphrase:

"The*?#>*@TrafficOnThe101Was*&#!#ThisMorning"

All of the rules above that apply to passwords apply to passphrases.

5.0 Enforcement

Any employee found to have violated this policy may be subject to disciplinary action, up to and including

termination of employment.

6.0 Definitions

Terms

Definitions

Application Administration Account

Any account that is for the administration of an application

(e.g., Oracle database administrator, ISSU administrator).

7.0 Revision History

 4.0 πολιτική

4.1 γενικό

•

Όλοι οι σύστημα-ισόπεδοι κωδικοί πρόσβασης παραγωγής πρέπει να είναι μέρος του διεξαχθε'ντος INFOSEC σφαιρικού κωδικού πρόσβασης

διοικητική βάση δεδομένων.

•

 •

Απολογισμοί χρηστών που χορηγούν τα σύστημα-ισόπεδα προνόμια μέσω των ιδιοτήτων μέλους ομάδας ή των προγραμμάτων

όπως «το sudo» πρέπει να έχει έναν μοναδικό κωδικό πρόσβασης από όλους τους άλλους απολογισμούς που κατέχει εκείνος ο χρήστης.

•

Όπου το SNMP χρησιμοποιείται, οι κοινοτικές σειρές πρέπει να οριστούν ως κάτι εκτός από

οι τυποποιημένες προεπιλογές «του κοινού,» «ιδιωτικός» και «του συστήματος» και πρέπει να είναι διαφορετικές από τους κωδικούς πρόσβασης

χρησιμοποιημένος για να συνδεθεί αμφίδρομα. Κλειδωμένο hash πρέπει να χρησιμοποιηθεί όπου διαθέσιμο (π.χ., SNMPv2).

•

4.2 οδηγίες

Α. γενικές οδηγίες κατασκευής κωδικού πρόσβασης

Οι κωδικοί πρόσβασης χρησιμοποιούνται για διάφορους λόγους σε <Company Name>. Μερικές από τις πιό κοινές χρήσεις περιλαμβάνουν:

το επίπεδο χρηστών λογαριάζει, απολογισμοί Ιστού, λογαριασμοί ηλεκτρονικού ταχυδρομείου, προστασία οικονόμων οθόνης, κωδικός πρόσβασης φωνητικού ταχυδρομείου, και τοπικός

δρομολογητής logins. Δεδομένου ότι πολύ λίγα συστήματα έχουν την υποστήριξη για τα one-time σημεία (δηλ., δυναμικοί κωδικοί πρόσβασης που είναι

μόνο χρησιμοποίησε μιά φορά), ο καθένας πρέπει να γνωρίζει το πώς να επιλέξει τους ισχυρούς κωδικούς πρόσβασης.

Οι φτωχοί, αδύνατοι κωδικοί πρόσβασης έχουν τα ακόλουθα χαρακτηριστικά:

•

Ο κωδικός πρόσβασης περιέχει λιγότερο από δεκαπέντε χαρακτήρες

•

Ο κωδικός πρόσβασης είναι μια λέξη που βρίσκεται σε ένα λεξικό (αγγλικά ή ξένα)

•

Ο κωδικός πρόσβασης είναι μια κοινή λέξη χρήσης όπως:

ο

Ονόματα της οικογένειας, των κατοικίδιων ζώων, των φίλων, των συναδέλφων, των χαρακτήρων φαντασίας, κ.λπ.

ο

Όροι υπολογιστών και ονόματα, εντολές, περιοχές, επιχειρήσεις, υλικό, λογισμικό.

ο

Οι λέξεις «<Company Name>», «sanjose», «sanfran» ή οποιαδήποτε παραγωγή.

ο

Γενέθλια και άλλη προσωπική πληροφορία όπως οι διευθύνσεις και οι αριθμοί τηλεφώνου.

ο

Σχέδια λέξης ή αριθμού όπως το aaabbb, το qwerty, zyxwvuts, 123321, κ.λπ.

ο

Οποιοιδήποτε από ανωτέρω συλλαβισμένος προς τα πίσω.

ο

Οποιεσδήποτε από ανωτέρω προηγημένη ή ακολουθούμενη από ένα ψηφίο (π.χ., secret1, 1secret)

Οι ισχυροί κωδικοί πρόσβασης έχουν τα ακόλουθα χαρακτηριστικά:

•

Περιέχετε και τα δύο στοιχεία κεφαλαία και μικρά (π.χ., AZ, AZ)

•

Έχετε τους χαρακτήρες ψηφίων και στίξης καθώς επίσης και τα γράμματα π.χ., 0-9! @#$%^&* () _+|-

= \ `{} []: ««<>; . /)

•

Είναι τουλάχιστον δεκαπέντε αλφανουμερικοί χαρακτήρες μακροχρόνιοι και είναι ένα passphrase (Ohmy1stubbedmyt0e).

•

Δεν είναι μια λέξη σε οποιεσδήποτε γλώσσα, λαϊκό ιδίωμα, διάλεκτο, επαγγελματική γλώσσα, κ.λπ.

•

Δεν είναι βασισμένος στη προσωπική πληροφορία, τα ονόματα της οικογένειας, κ.λπ.

•

Οι κωδικοί πρόσβασης δεν πρέπει ποτέ να γραφτούν κάτω ή αποθηκευμένος σε απευθείας σύνδεση. Προσπαθήστε να δημιουργήσετε τους κωδικούς πρόσβασης που μπορούν να είναι

εύκολα αναφερόμενος. Μονόδρομο να κάνει αυτό είναι δημιουργεί έναν κωδικό πρόσβασης βασισμένο σε έναν τίτλο τραγουδιού, επιβεβαίωση, ή

άλλη φράση. Παραδείγματος χάριν, η φράση να είναι: «Αυτό μπορεί να είναι μονόδρομο για να θυμηθεί» και

ο κωδικός πρόσβασης θα μπορούσε να είναι: «TmB1w2R!» ή «Tmb1W>r» ή κάποια άλλη παραλλαγή.

ΣΗΜΕΙΩΣΗ: Μην χρησιμοποιήστε καθενός αυτών των παραδειγμάτων ως κωδικούς πρόσβασης!

Β. πρότυπα προστασίας κωδικού πρόσβασης

Μην χρησιμοποιήστε τον ίδιο κωδικό πρόσβασης για τους <Company απολογισμούς Name> όπως για άλλη μη-<Company πρόσβαση Name>

(π.χ., προσωπικός ISP απολογισμός, εμπορικές συναλλαγές επιλογής, οφέλη, κ.λπ.). Όπου είναι δυνατόν, μην χρησιμοποιήστε τον ίδιο κωδικό πρόσβασης για

διάφορες <Company ανάγκες πρόσβασης Name>. Παραδείγματος χάριν, επιλέξτε έναν κωδικό πρόσβασης για τα συστήματα εφαρμοσμένης μηχανικής

και ένας χωριστός κωδικός πρόσβασης για τα συστήματα ΤΠ. Επίσης, επιλέξτε έναν χωριστό κωδικό πρόσβασης που χρησιμοποιείται για έναν απολογισμό NT και

ένας απολογισμός της UNIX.

Μην μοιραστείτε τους <Company κωδικούς πρόσβασης Name> με καθέναν, συμπεριλαμβανομένων των διοικητικών υπαλλήλων ή των γραμματέων.

Όλοι οι κωδικοί πρόσβασης πρόκειται να αντιμετωπιστούν όπως ευαίσθητες, εμπιστευτικές <Company πληροφορίες Name>.

Εδώ είναι ένας κατάλογος «»:

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης πέρα από το τηλέφωνο σε ΚΑΘΕΝΑ

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης στον προϊστάμενο

•

Μην μιλήστε για έναν κωδικό πρόσβασης μπροστά από άλλους

•

Μην υπαινιχτείτε στο σχήμα ενός κωδικού πρόσβασης (π.χ., «το επώνυμό μου»)

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης στα ερωτηματολόγια ή τις μορφές ασφάλειας

•

Μην μοιραστείτε έναν κωδικό πρόσβασης με τα οικογενειακά μέλη

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης στους συναδέλφους ενώ στις διακοπές

Εάν κάποιος απαιτεί έναν κωδικό πρόσβασης, τους αναφέρετε στο παρόν έγγραφο ή τους έχει να καλέσουν κάποιο στις πληροφορίες

Υπουργείο Κοινωνικής Ασφάλισης.

Μην χρησιμοποιήστε το χαρακτηριστικό γνώρισμα «θυμάται του κωδικού πρόσβασης» των εφαρμογών (π.χ., Eudora, προοπτική, Netscape

Αγγελιοφόρος).

Πάλι, μην γράψτε τους κωδικούς πρόσβασης κάτω και τους αποθηκεύστε οπουδήποτε στο γραφείο σας. Μην αποθηκεύστε τους κωδικούς πρόσβασης στο α

αρχείο σε ΟΠΟΙΟΔΗΠΟΤΕ συγκρότημα ηλεκτρονικών υπολογιστών (συμπεριλαμβανομένων των πιλότων φοινικών ή των παρόμοιων συσκευών) χωρίς κρυπτογράφηση.

Κωδικοί πρόσβασης αλλαγής τουλάχιστον μιά φορά κάθε έξι μήνες (εκτός από τους σύστημα-ισόπεδους κωδικούς πρόσβασης που πρέπει να αλλάξουν

τριμηνιαίος). Το συνιστώμενο διάστημα αλλαγής είναι κάθε τέσσερις μήνες.

Εάν ένας απολογισμός ή ένας κωδικός πρόσβασης υποψιάζεται για να έχει συμβιβαστεί, εκθέστε το γεγονός στο INFOSEC και

αλλάξτε όλους τους κωδικούς πρόσβασης.

Ο κωδικός πρόσβασης που ραγίζει ή που υποθέτει μπορεί να εκτελεσθεί σε περιοδική ή τυχαία βάση από το INFOSEC ή τους εκπροσώπους του.

Εάν ένας κωδικός πρόσβασης υποθέτεται ή ραγίζεται κατά τη διάρκεια μιας από αυτές τις ανιχνεύσεις, ο χρήστης θα απαιτηθεί για να τον αλλάξει.

Γ. πρότυπα ανάπτυξης εφαρμογών

Οι υπεύθυνοι για την ανάπτυξη εφαρμογής πρέπει να εξασφαλίσουν τα προγράμματά ότι τους περιέχουν τις ακόλουθες προφυλάξεις ασφάλειας.

Εφαρμογές:

•

πρέπει να υποστηρίξετε την επικύρωση των μεμονωμένων χρηστών, όχι ομάδες.

•

μην πρέπει να αποθηκεύσετε τους κωδικούς πρόσβασης στο σαφές κείμενο ή με οποιαδήποτε εύκολα αντιστρέψιμη μορφή.

•

πρέπει να επιτρέψετε κάποιο είδος της διαχείρισης ρόλου, έτσι ώστε ένας χρήστης μπορεί να αναλάβει τις λειτουργίες

άλλος χωρίς να πρέπει να είναι γνωστός ο άλλος κωδικός πρόσβασης.

•

πρέπει να υποστηρίξετε TACACS+, την ΑΚΤΊΝΑ ή/και X.509 με την ανάκτηση ασφάλειας LDAP, οπουδήποτε

πιθανός.

Δ. Χρήση των κωδικών πρόσβασης και Passphrases για τους χρήστες εξ' αποστάσεως πρόσβασης

Η πρόσβαση στα <Company δίκτυα Name> μέσω της εξ' αποστάσεως πρόσβασης πρόκειται να ελεγχθεί χρησιμοποιώντας καθεμία one-time

επικύρωση κωδικού πρόσβασης ή ένα δημόσιο/ιδιωτικό βασικό σύστημα με ένα ισχυρό passphrase.

Ε. Passphrases

Το Passphrases χρησιμοποιείται γενικά για τη δημόσια/ιδιωτική βασική επικύρωση. Ένα δημόσιο/ιδιωτικό βασικό σύστημα καθορίζει το α

μαθηματική σχέση μεταξύ του δημόσιου κλειδιού που είναι γνωστού από όλους, και το ιδιωτικό κλειδί, το οποίο είναι γνωστό

μόνο στο χρήστη. Χωρίς το passphrase για «να ξεκλειδώσει» το ιδιωτικό κλειδί, ο χρήστης δεν μπορεί να αποκτήσει πρόσβαση.

Το Passphrases δεν είναι το ίδιο με τους κωδικούς πρόσβασης. Ένα passphrase είναι μια πιό μακροχρόνια έκδοση ενός κωδικού πρόσβασης και είναι,

επομένως, ασφαλέστερος. Ένα passphrase αποτελείται χαρακτηριστικά από τις πολλαπλάσιες λέξεις. Λόγω αυτού, α

το passphrase είναι ασφαλέστερο ενάντια στις «επιθέσεις λεξικών.»

Ένα καλό passphrase είναι σχετικά μακρύ και περιέχει έναν συνδυασμό ανώτερων και πεζών επιστολών και

αριθμητικοί και χαρακτήρες στίξης. Ένα παράδειγμα ενός καλού passphrase:

«The*; #>*@TrafficOnThe101Was*&#! »

Όλοι οι κανόνες επάνω από αυτόν ισχύουν για τους κωδικούς πρόσβασης ισχύουν για τα passphrases.

5.0 επιβολή

Οποιοσδήποτε υπάλληλος που βρέθηκε για να έχει παραβιάσει αυτήν την πολιτική μπορεί να υπόκειται στη πειθαρχική ποινή, μέχρι και συμπεριλαμβανομένου

λήξη της απασχόλησης.

6.0 ορισμοί

Όροι

Ορισμοί

Απολογισμός διοίκησης εφαρμογής

Οποιοσδήποτε απολογισμός που είναι για τη διοίκηση μιας εφαρμογής

(π.χ., διοικητής βάσεων δεδομένων της Oracle, διοικητής ISSU).

7.0 ιστορία αναθεώρησης

Password Policy

Created by or for the SANS Institute. Feel free to modify or use for your organization. If you have a

policy to contribute, please send e-mail to stephen@sans.edu

1.0 Overview

Passwords are an important aspect of computer security. They are the front line of protection for user

accounts. A poorly chosen password may result in the compromise of <Company Name>'s entire corporate

network. As such, all <Company Name> employees (including contractors and vendors with access to

<Company Name> systems) are responsible for taking the appropriate steps, as outlined below, to select

and secure their passwords.

2.0 Purpose

The purpose of this policy is to establish a standard for creation of strong passwords, the protection of those

passwords, and the frequency of change.

3.0 Scope

The scope of this policy includes all personnel who have or are responsible for an account (or any form of

access that supports or requires a password) on any system that resides at any <Company Name> facility,

has access to the <Company Name> network, or stores any non-public <Company Name> information.

4.0 Policy

4.1 General

•

All system-level passwords (e.g., root, enable, NT admin, application administration accounts,

etc.) must be changed on at least a quarterly basis.

•

All production system-level passwords must be part of the InfoSec administered global password

management database.

•

All user-level passwords (e.g., email, web, desktop computer, etc.) must be changed at least every

six months. The recommended change interval is every four months.

•

User accounts that have system-level privileges granted through group memberships or programs

such as "sudo" must have a unique password from all other accounts held by that user.

•

Passwords must not be inserted into email messages or other forms of electronic communication.

•

Where SNMP is used, the community strings must be defined as something other than the

standard defaults of "public," "private" and "system" and must be different from the passwords

used to log in interactively. A keyed hash must be used where available (e.g., SNMPv2).

•

All user-level and system-level passwords must conform to the guidelines described below.

4.2 Guidelines

A. General Password Construction Guidelines

Passwords are used for various purposes at <Company Name>. Some of the more common uses include:

user level accounts, web accounts, email accounts, screen saver protection, voicemail password, and local

router logins. Since very few systems have support for one-time tokens (i.e., dynamic passwords which are

only used once), everyone should be aware of how to select strong passwords.

Poor, weak passwords have the following characteristics:

•

The password contains less than fifteen characters

•

The password is a word found in a dictionary (English or foreign)

•

The password is a common usage word such as:

o

Names of family, pets, friends, co-workers, fantasy characters, etc.

o

Computer terms and names, commands, sites, companies, hardware, software.

o

The words "<Company Name>", "sanjose", "sanfran" or any derivation.

o

Birthdays and other personal information such as addresses and phone numbers.

o

Word or number patterns like aaabbb, qwerty, zyxwvuts, 123321, etc.

o

Any of the above spelled backwards.

o

Any of the above preceded or followed by a digit (e.g., secret1, 1secret)

Strong passwords have the following characteristics:

•

Contain both upper and lower case characters (e.g., a-z, A-Z)

•

Have digits and punctuation characters as well as letters e.g., 0-9, !@#$%^&*()_+|-

=\`{}[]:";'<>?,./)

•

Are at least fifteen alphanumeric characters long and is a passphrase (Ohmy1stubbedmyt0e).

•

Are not a word in any language, slang, dialect, jargon, etc.

•

Are not based on personal information, names of family, etc.

•

Passwords should never be written down or stored on-line. Try to create passwords that can be

easily remembered. One way to do this is create a password based on a song title, affirmation, or

other phrase. For example, the phrase might be: "This May Be One Way To Remember" and the

password could be: "TmB1w2R!" or "Tmb1W>r" or some other variation.

NOTE: Do not use either of these examples as passwords!

B. Password Protection Standards

Do not use the same password for <Company Name> accounts as for other non-<Company Name> access

(e.g., personal ISP account, option trading, benefits, etc.). Where possible, don't use the same password for

various <Company Name> access needs. For example, select one password for the Engineering systems

and a separate password for IT systems. Also, select a separate password to be used for an NT account and

a UNIX account.

Do not share <Company Name> passwords with anyone, including administrative assistants or secretaries.

All passwords are to be treated as sensitive, Confidential <Company Name> information.

Here is a list of "dont's":

•

Don't reveal a password over the phone to ANYONE

•

Don't reveal a password in an email message

•

Don't reveal a password to the boss

•

Don't talk about a password in front of others

•

Don't hint at the format of a password (e.g., "my family name")

•

Don't reveal a password on questionnaires or security forms

•

Don't share a password with family members

•

Don't reveal a password to co-workers while on vacation

If someone demands a password, refer them to this document or have them call someone in the Information

Security Department.

Do not use the "Remember Password" feature of applications (e.g., Eudora, OutLook, Netscape

Messenger).

Again, do not write passwords down and store them anywhere in your office. Do not store passwords in a

file on ANY computer system (including Palm Pilots or similar devices) without encryption.

Change passwords at least once every six months (except system-level passwords which must be changed

quarterly). The recommended change interval is every four months.

If an account or password is suspected to have been compromised, report the incident to InfoSec and

change all passwords.

Password cracking or guessing may be performed on a periodic or random basis by InfoSec or its delegates.

If a password is guessed or cracked during one of these scans, the user will be required to change it.

C. Application Development Standards

Application developers must ensure their programs contain the following security precautions.

Applications:

•

should support authentication of individual users, not groups.

•

should not store passwords in clear text or in any easily reversible form.

•

should provide for some sort of role management, such that one user can take over the functions of

another without having to know the other's password.

•

should support TACACS+ , RADIUS and/or X.509 with LDAP security retrieval, wherever

possible.

D. Use of Passwords and Passphrases for Remote Access Users

Access to the <Company Name> Networks via remote access is to be controlled using either a one-time

password authentication or a public/private key system with a strong passphrase.

E. Passphrases

Passphrases are generally used for public/private key authentication. A public/private key system defines a

mathematical relationship between the public key that is known by all, and the private key, that is known

only to the user. Without the passphrase to "unlock" the private key, the user cannot gain access.

Passphrases are not the same as passwords. A passphrase is a longer version of a password and is,

therefore, more secure. A passphrase is typically composed of multiple words. Because of this, a

passphrase is more secure against "dictionary attacks."

A good passphrase is relatively long and contains a combination of upper and lowercase letters and

numeric and punctuation characters. An example of a good passphrase:

"The*?#>*@TrafficOnThe101Was*&#!#ThisMorning"

All of the rules above that apply to passwords apply to passphrases.

5.0 Enforcement

Any employee found to have violated this policy may be subject to disciplinary action, up to and including

termination of employment.

6.0 Definitions

Terms

Definitions

Application Administration Account

Any account that is for the administration of an application

(e.g., Oracle database administrator, ISSU administrator).

7.0 Revision History

Πολιτική κωδικού πρόσβασης

Δημιουργημένος από ή για ΧΩΡΙΣ το ίδρυμα. Αισθανθείτε ελεύθερος να τροποποιήσει ή χρήση για την οργάνωσή σας. Εάν έχετε το α

η πολιτική για να συμβάλει, παρακαλώ στέλνει το ηλεκτρονικό ταχυδρομείο σε stephen@sans.edu

1.0 επισκόπηση

Οι κωδικοί πρόσβασης είναι μια σημαντική πτυχή της ασφάλειας υπολογιστών. Είναι η πρώτη γραμμή της προστασίας για το χρήστη

απολογισμοί. Ένας κακώς επιλεγμένος κωδικός πρόσβασης μπορεί να οδηγήσει στο συμβιβασμό ολόκληρου εταιρικού <Company Name>

δίκτυο. Υπό αυτήν τη μορφή, όλοι οι <Company υπάλληλοι Name> (συμπεριλαμβανομένων των αναδόχων και των προμηθευτών με την πρόσβαση

Τα <Company συστήματα Name>) είναι αρμόδια για τη λήψη των κατάλληλων μέτρων, όπως περιγράφονται κατωτέρω, για να επιλέξουν

και εξασφαλίστε τους κωδικούς πρόσβασής τους.

2.0 σκοπός

Ο σκοπός αυτής της πολιτικής είναι να καθιερωθούν πρότυπα για τη δημιουργία των ισχυρών κωδικών πρόσβασης, η προστασία εκείνοι

κωδικοί πρόσβασης, και η συχνότητα της αλλαγής

.

3.0 πεδίο

Το πεδίο αυτής της πολιτικής περιλαμβάνει όλο το προσωπικό που έχει ή είναι αρμόδιο για έναν απολογισμό (ή οποιαδήποτε μορφή

έχετε πρόσβαση ότι υποστηρίξεις ή απαιτεί έναν κωδικό πρόσβασης) σε οποιοδήποτε σύστημα που κατοικεί σε οποιαδήποτε <Company δυνατότητα Name>,

έχει πρόσβαση στο <Company δίκτυο Name>, ή αποθηκεύει οποιεσδήποτε μη-δημόσιες <Company πληροφορίες Name>.

4.0 πολιτική

4.1 γενικό

•

Όλοι οι σύστημα-ισόπεδοι κωδικοί πρόσβασης (π.χ., η ρίζα, επιτρέπει, NT admin, απολογισμοί διοίκησης εφαρμογής,

κ.λπ.) πρέπει να αλλαχτεί τουλάχιστον σε τριμηνιαία βάση.

•

Όλοι οι σύστημα-ισόπεδοι κωδικοί πρόσβασης παραγωγής πρέπει να είναι μέρος του διεξαχθε'ντος INFOSEC σφαιρικού κωδικού πρόσβασης

διοικητική βάση δεδομένων.

•

Όλοι οι χρήστης-ισόπεδοι κωδικοί πρόσβασης (π.χ., ηλεκτρονικό ταχυδρομείο, Ιστός, υπολογιστής γραφείου, κ.λπ.) πρέπει να είναι αλλαγμένο τουλάχιστον κάθε

έξι μήνες. Το συνιστώμενο διάστημα αλλαγής είναι κάθε τέσσερις μήνες.

•

Απολογισμοί χρηστών που χορηγούν τα σύστημα-ισόπεδα προνόμια μέσω των ιδιοτήτων μέλους ομάδας ή των προγραμμάτων

όπως «το sudo» πρέπει να έχει έναν μοναδικό κωδικό πρόσβασης από όλους τους άλλους απολογισμούς που κατέχει εκείνος ο χρήστης.

•

Οι κωδικοί πρόσβασης δεν πρέπει να παρεμβληθούν στα μηνύματα ηλεκτρονικού ταχυδρομείου ή άλλες μορφές ηλεκτρονικής επικοινωνίας.

•

Όπου το SNMP χρησιμοποιείται, οι κοινοτικές σειρές πρέπει να οριστούν ως κάτι εκτός από

οι τυποποιημένες προεπιλογές «του κοινού,» «ιδιωτικός» και «του συστήματος» και πρέπει να είναι διαφορετικές από τους κωδικούς πρόσβασης

χρησιμοποιημένος για να συνδεθεί αμφίδρομα. Κλειδωμένο hash πρέπει να χρησιμοποιηθεί όπου διαθέσιμο (π.χ., SNMPv2).

•

Όλοι το χρήστης-επίπεδο και οι σύστημα-ισόπεδοι κωδικοί πρόσβασης πρέπει να προσαρμοστούν στις οδηγίες που περιγράφονται κατωτέρω.

4.2 οδηγίες

Α. γενικές οδηγίες κατασκευής κωδικού πρόσβασης

Οι κωδικοί πρόσβασης χρησιμοποιούνται για διάφορους λόγους σε <Company Name>. Μερικές από τις πιό κοινές χρήσεις περιλαμβάνουν:

το επίπεδο χρηστών λογαριάζει, απολογισμοί Ιστού, λογαριασμοί ηλεκτρονικού ταχυδρομείου, προστασία οικονόμων οθόνης, κωδικός πρόσβασης φωνητικού ταχυδρομείου, και τοπικός

δρομολογητής logins. Δεδομένου ότι πολύ λίγα συστήματα έχουν την υποστήριξη για τα one-time σημεία (δηλ., δυναμικοί κωδικοί πρόσβασης που είναι

μόνο χρησιμοποίησε μιά φορά), ο καθένας πρέπει να γνωρίζει το πώς να επιλέξει τους ισχυρούς κωδικούς πρόσβασης.

Οι φτωχοί, αδύνατοι κωδικοί πρόσβασης έχουν τα ακόλουθα χαρακτηριστικά:

•

Ο κωδικός πρόσβασης περιέχει λιγότερο από δεκαπέντε χαρακτήρες

•

Ο κωδικός πρόσβασης είναι μια λέξη που βρίσκεται σε ένα λεξικό (αγγλικά ή ξένα)

•

Ο κωδικός πρόσβασης είναι μια κοινή λέξη χρήσης όπως:

ο

Ονόματα της οικογένειας, των κατοικίδιων ζώων, των φίλων, των συναδέλφων, των χαρακτήρων φαντασίας, κ.λπ.

ο

Όροι υπολογιστών και ονόματα, εντολές, περιοχές, επιχειρήσεις, υλικό, λογισμικό.

ο

Οι λέξεις «<Company Name>», «sanjose», «sanfran» ή οποιαδήποτε παραγωγή.

ο

Γενέθλια και άλλη προσωπική πληροφορία όπως οι διευθύνσεις και οι αριθμοί τηλεφώνου.

ο

Σχέδια λέξης ή αριθμού όπως το aaabbb, το qwerty, zyxwvuts, 123321, κ.λπ.

ο

Οποιοιδήποτε από ανωτέρω συλλαβισμένος προς τα πίσω.

ο

Οποιεσδήποτε από ανωτέρω προηγημένη ή ακολουθούμενη από ένα ψηφίο (π.χ., secret1, 1secret)

Οι ισχυροί κωδικοί πρόσβασης έχουν τα ακόλουθα χαρακτηριστικά:

•

Περιέχετε και τα δύο στοιχεία κεφαλαία και μικρά (π.χ., AZ, AZ)

•

Έχετε τους χαρακτήρες ψηφίων και στίξης καθώς επίσης και τα γράμματα π.χ., 0-9! @#$%^&* () _+|-

= \ `{} []: ««<>; . /)

•

Είναι τουλάχιστον δεκαπέντε αλφανουμερικοί χαρακτήρες μακροχρόνιοι και είναι ένα passphrase (Ohmy1stubbedmyt0e).

•

Δεν είναι μια λέξη σε οποιεσδήποτε γλώσσα, λαϊκό ιδίωμα, διάλεκτο, επαγγελματική γλώσσα, κ.λπ.

•

Δεν είναι βασισμένος στη προσωπική πληροφορία, τα ονόματα της οικογένειας, κ.λπ.

•

Οι κωδικοί πρόσβασης δεν πρέπει ποτέ να γραφτούν κάτω ή αποθηκευμένος σε απευθείας σύνδεση. Προσπαθήστε να δημιουργήσετε τους κωδικούς πρόσβασης που μπορούν να είναι

εύκολα αναφερόμενος. Μονόδρομο να κάνει αυτό είναι δημιουργεί έναν κωδικό πρόσβασης βασισμένο σε έναν τίτλο τραγουδιού, επιβεβαίωση, ή

άλλη φράση. Παραδείγματος χάριν, η φράση να είναι: «Αυτό μπορεί να είναι μονόδρομο για να θυμηθεί» και

ο κωδικός πρόσβασης θα μπορούσε να είναι: «TmB1w2R!» ή «Tmb1W>r» ή κάποια άλλη παραλλαγή.

ΣΗΜΕΙΩΣΗ: Μην χρησιμοποιήστε καθενός αυτών των παραδειγμάτων ως κωδικούς πρόσβασης!

Β. πρότυπα προστασίας κωδικού πρόσβασης

Μην χρησιμοποιήστε τον ίδιο κωδικό πρόσβασης για τους <Company απολογισμούς Name> όπως για άλλη μη-<Company πρόσβαση Name>

(π.χ., προσωπικός ISP απολογισμός, εμπορικές συναλλαγές επιλογής, οφέλη, κ.λπ.). Όπου είναι δυνατόν, μην χρησιμοποιήστε τον ίδιο κωδικό πρόσβασης για

διάφορες <Company ανάγκες πρόσβασης Name>. Παραδείγματος χάριν, επιλέξτε έναν κωδικό πρόσβασης για τα συστήματα εφαρμοσμένης μηχανικής

και ένας χωριστός κωδικός πρόσβασης για τα συστήματα ΤΠ. Επίσης, επιλέξτε έναν χωριστό κωδικό πρόσβασης που χρησιμοποιείται για έναν απολογισμό NT και

ένας απολογισμός της UNIX.

Μην μοιραστείτε τους <Company κωδικούς πρόσβασης Name> με καθέναν, συμπεριλαμβανομένων των διοικητικών υπαλλήλων ή των γραμματέων.

Όλοι οι κωδικοί πρόσβασης πρόκειται να αντιμετωπιστούν όπως ευαίσθητες, εμπιστευτικές <Company πληροφορίες Name>.

Εδώ είναι ένας κατάλογος «»:

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης πέρα από το τηλέφωνο σε ΚΑΘΕΝΑ

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης στον προϊστάμενο

•

Μην μιλήστε για έναν κωδικό πρόσβασης μπροστά από άλλους

•

Μην υπαινιχτείτε στο σχήμα ενός κωδικού πρόσβασης (π.χ., «το επώνυμό μου»)

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης στα ερωτηματολόγια ή τις μορφές ασφάλειας

•

Μην μοιραστείτε έναν κωδικό πρόσβασης με τα οικογενειακά μέλη

•

Μην αποκαλύψτε έναν κωδικό πρόσβασης στους συναδέλφους ενώ στις διακοπές

Εάν κάποιος απαιτεί έναν κωδικό πρόσβασης, τους αναφέρετε στο παρόν έγγραφο ή τους έχει να καλέσουν κάποιο στις πληροφορίες

Υπουργείο Κοινωνικής Ασφάλισης.

Μην χρησιμοποιήστε το χαρακτηριστικό γνώρισμα «θυμάται του κωδικού πρόσβασης» των εφαρμογών (π.χ., Eudora, προοπτική, Netscape

Αγγελιοφόρος).

Πάλι, μην γράψτε τους κωδικούς πρόσβασης κάτω και τους αποθηκεύστε οπουδήποτε στο γραφείο σας. Μην αποθηκεύστε τους κωδικούς πρόσβασης στο α

αρχείο σε ΟΠΟΙΟΔΗΠΟΤΕ συγκρότημα ηλεκτρονικών υπολογιστών (συμπεριλαμβανομένων των πιλότων φοινικών ή των παρόμοιων συσκευών) χωρίς κρυπτογράφηση.

Κωδικοί πρόσβασης αλλαγής τουλάχιστον μιά φορά κάθε έξι μήνες (εκτός από τους σύστημα-ισόπεδους κωδικούς πρόσβασης που πρέπει να αλλάξουν

τριμηνιαίος). Το συνιστώμενο διάστημα αλλαγής είναι κάθε τέσσερις μήνες.

Εάν ένας απολογισμός ή ένας κωδικός πρόσβασης υποψιάζεται για να έχει συμβιβαστεί, εκθέστε το γεγονός στο INFOSEC και

αλλάξτε όλους τους κωδικούς πρόσβασης.

Ο κωδικός πρόσβασης που ραγίζει ή που υποθέτει μπορεί να εκτελεσθεί σε περιοδική ή τυχαία βάση από το INFOSEC ή τους εκπροσώπους του.

Εάν ένας κωδικός πρόσβασης υποθέτεται ή ραγίζεται κατά τη διάρκεια μιας από αυτές τις ανιχνεύσεις, ο χρήστης θα απαιτηθεί για να τον αλλάξει.

Γ. πρότυπα ανάπτυξης εφαρμογών

Οι υπεύθυνοι για την ανάπτυξη εφαρμογής πρέπει να εξασφαλίσουν τα προγράμματά ότι τους περιέχουν τις ακόλουθες προφυλάξεις ασφάλειας.

Εφαρμογές:

•

πρέπει να υποστηρίξετε την επικύρωση των μεμονωμένων χρηστών, όχι ομάδες.

•

μην πρέπει να αποθηκεύσετε τους κωδικούς πρόσβασης στο σαφές κείμενο ή με οποιαδήποτε εύκολα αντιστρέψιμη μορφή.

•

πρέπει να επιτρέψετε κάποιο είδος της διαχείρισης ρόλου, έτσι ώστε ένας χρήστης μπορεί να αναλάβει τις λειτουργίες

άλλος χωρίς να πρέπει να είναι γνωστός ο άλλος κωδικός πρόσβασης.

•

πρέπει να υποστηρίξετε TACACS+, την ΑΚΤΊΝΑ ή/και X.509 με την ανάκτηση ασφάλειας LDAP, οπουδήποτε

πιθανός.

Δ. Χρήση των κωδικών πρόσβασης και Passphrases για τους χρήστες εξ' αποστάσεως πρόσβασης

Η πρόσβαση στα <Company δίκτυα Name> μέσω της εξ' αποστάσεως πρόσβασης πρόκειται να ελεγχθεί χρησιμοποιώντας καθεμία one-time

επικύρωση κωδικού πρόσβασης ή ένα δημόσιο/ιδιωτικό βασικό σύστημα με ένα ισχυρό passphrase.

Ε. Passphrases

Το Passphrases χρησιμοποιείται γενικά για τη δημόσια/ιδιωτική βασική επικύρωση. Ένα δημόσιο/ιδιωτικό βασικό σύστημα καθορίζει το α

μαθηματική σχέση μεταξύ του δημόσιου κλειδιού που είναι γνωστού από όλους, και το ιδιωτικό κλειδί, το οποίο είναι γνωστό

μόνο στο χρήστη. Χωρίς το passphrase για «να ξεκλειδώσει» το ιδιωτικό κλειδί, ο χρήστης δεν μπορεί να αποκτήσει πρόσβαση.

Το Passphrases δεν είναι το ίδιο με τους κωδικούς πρόσβασης. Ένα passphrase είναι μια πιό μακροχρόνια έκδοση ενός κωδικού πρόσβασης και είναι,

επομένως, ασφαλέστερος. Ένα passphrase αποτελείται χαρακτηριστικά από τις πολλαπλάσιες λέξεις. Λόγω αυτού, α

το passphrase είναι ασφαλέστερο ενάντια στις «επιθέσεις λεξικών.»

Ένα καλό passphrase είναι σχετικά μακρύ και περιέχει έναν συνδυασμό ανώτερων και πεζών επιστολών και

αριθμητικοί και χαρακτήρες στίξης. Ένα παράδειγμα ενός καλού passphrase:

«The*; #>*@TrafficOnThe101Was*&#! »

Όλοι οι κανόνες επάνω από αυτόν ισχύουν για τους κωδικούς πρόσβασης ισχύουν για τα passphrases.

5.0 επιβολή

Οποιοσδήποτε υπάλληλος που βρέθηκε για να έχει παραβιάσει αυτήν την πολιτική μπορεί να υπόκειται στη πειθαρχική ποινή, μέχρι και συμπεριλαμβανομένου

λήξη της απασχόλησης.

6.0 ορισμοί

Όροι

Ορισμοί

Απολογισμός διοίκησης εφαρμογής

Οποιοσδήποτε απολογισμός που είναι για τη διοίκηση μιας εφαρμογής

(π.χ., διοικητής βάσεων δεδομένων της Oracle, διοικητής ISSU).

7.0 ιστορία αναθεώρησης