标识、身份验证和密码

一般

用户身份验证是控制谁可以访问信息资源的一种手段. 机密性, 完整性, 当未经授权的实体获得访问权限时，信息的可用性可能会丢失. 这, 反过来, 可能导致收入损失, 责任, 失去信任, 或给大学带来尴尬. 身份验证因素包括您知道的东西、您拥有的东西和您是什么. 在身份验证中使用多个因素可以增加用户身份的确定性.

适用性

此程序适用于所有大学信息资源. 本程序的目的是提供一组措施，以减轻与密码和身份验证问题相关的信息安全风险. 目标读者是任何大学员工, 学生, 使用需要身份验证的信息资源的来宾或访问者.

程序

1. 所有系统的密码应符合以下密码规则:

a. 不包含用户帐户名的全部或部分

b. 长度至少为8个字符

c. 包含下列四种字符中的三种:

•英文大写字符(A到Z)

•小写英文字符(a到z)

•基数为10位(0到9)

•非字母字符(例如， !, $, #, %)

d. 密码历史记录必须以禁止重复使用前10个密码的方式进行维护.

e. 密码有效期为120天.

f. 应使用适当的算法对存储的密码进行散列.

2. 密码必须被视为机密信息. 密码不应该透露给任何人.

3. 密码永远不应该以纯文本的形式传输, 除非该帐户仅用于访问可公开访问的数据.

4. 如果密码的安全性有疑问，应立即更改密码.

5. 如果密码被泄露, 有关事件应向资讯保安主任报告.

6. 用户不应该通过自动登录规避密码输入, 应用程序记住, 嵌入式脚本, 或者在处理/存储关键任务和/或机密数据的系统的客户端软件中硬编码密码. 在获得信息资源所有者的批准后，可以对特定的应用程序(如自动备份)进行例外处理.

7. 在没有启用密码保护的屏幕保护程序或自动注销的情况下，不应该让计算设备无人看管.

8. 密码管理和自动生成密码应该有, 能力存在的地方, 维护包含以下信息的可审计事务日志的能力:

•密码更改、过期、管理重置的时间和日期;

• Type of action performed; and,

•源系统(e.g.(IP和/或MAC地址)发起更改请求.

没有此功能的系统必须由首席信息官或指定人员批准并形成文件.

历史

最后更新2014年3月31日