密碼使用管理原則
(取自本校ISMS-P-013帳號密碼及存取控制管理程序書內容)
密碼使用管理原則
- 使用者於第一次登錄系統時,應立即更改預設密碼,並妥善保管帳號與維持密碼之機密性。
- 密碼長度設定 使用者及管理者密碼長度設定至少8碼,且應符合密碼設置原則。
- 密碼內容設置原則
- )密碼內容之設定,應參雜數字、英文字母大小寫及特殊符號,至少符合下列要求中之2項。
- 內含至少1個大寫英文字母。
- 內含至少1個小寫英文字母。
- 內含至少1個阿拉伯數字。
- 內含至少1個特殊符號。
- )密碼內容之設定,應儘量避免使用易猜測或公開資訊,如下說明:
- 個人姓名、出生年月日、身分證字號。
- 機關、單位名稱或是其他相關事項。
- 使用者ID、其他系統ID。
- 電腦主機名稱、作業系統名稱。
- 電話號碼、空白、字典字彙(具有意義的英文單字,例如:flower、eagle、birthday等)。
- )密碼內容之設定,應參雜數字、英文字母大小寫及特殊符號,至少符合下列要求中之2項。
- 系統管理者及使用者應至少6個月更換密碼一次,密碼變更時應避免使用與前一次相同的密碼。
- 重要資通系統及特殊權限存取帳號之密碼變更週期,應較一般權限之帳號頻繁。
- 所有使用者須負帳號及密碼保管之責,不得對任何人透露或以任何形式公開自己帳號及密碼,以避免密碼外洩。
- 使用者懷疑其密碼被他人知悉或發現密碼可能遭破解時,應立即更改密碼。
- 使用者應避免將帳號、密碼記錄在書面上,或張貼在個人電腦、螢幕或其他未保護且容易洩漏秘密之處所。
- 系統管理者應避免共用系統管理者帳號,系統管理者帳號與密碼應存放於安全之處。保存帳號、密碼之檔案應以加密或加密碼之方式保護。
- 系統使用者禁止共用自己或他人的帳號及密碼。
- 使用者忘記密碼時,應依密碼申請規定辦理,由單位主管核准其權限帳號密碼變更。
- 使用者忘記密碼時,應向系統管理者提出申請,由系統管理者確認身分後,重新設定新密碼。
- 使用者每次存取系統時應輸入密碼登入系統,避免使用記錄密碼功能,導致開機時自動登入系統。
- 使用者帳號之存取應保留稽核紀錄(Log),系統管理者不得擅自修改或刪除稽核紀錄(Log)內容。針對異常登入情況,系統管理者應隨時監控並採取適當防護措施。