大学政策

密码策略

批准人:主席
生效日期:2023年6月26日

政策声明

本政策的目的是提供密码标准,旨在保持对全球十大体育官方网址(WIU)系统和数据的访问控制,并列举符合监管标准和法律所需的身份验证要求. 此策略适用于WIU系统上配置的所有帐户.

范围(谁应该阅读此政策)

WIU密码政策适用于任何有权访问WIU数据的个人. 该政策适用于WIU所有的系统/数据, 它是托管在本地还是第三方托管.

定义

  • 活动目录微软的活动目录为大学技术提供了一种方便的方式来验证工作站的用户身份, 管理工作站功能和控制对WIU计算资源的访问.
  • 散列:哈希是将任何给定的键或字符串转换为另一个值的过程. 这通常用一个更短的, 固定长度的值或键,表示并使查找或使用原始字符串更容易. 结果被称为哈希.
  • 密码:用于创建密码的单词序列. 在本文档中,密码和密码短语可以互换使用.
  • 密码:用于向系统验证(证明用户身份)的单词或字符串. 在本文档中,密码和密码短语可以互换使用.
  • 密码盐渍是一种技术,通过添加32个或更多字符的字符串,然后对其进行哈希,以保护存储在数据库中的密码.
  • 伸展运动使用弱密钥使用更强类型的加密的一种方法是通过多个进程发送它. 例如, 您可以先散列密码, 然后对密码的哈希值进行哈希, 然后对密码散列的散列进行散列, 等等....... 这种多过程强化被称为键拉伸或键强化.

政策

第1节:密码要求

以下一组密码要求将在支持以下标准的WIU系统上实现. 所有其他系统必须遵守第2节的要求.

  1. 密码长度至少为12个字符.
  2. 密码长度必须至少为64个字符.
  3. 所有密码必须对照常用密码字典进行检查, 预期, 或者在被接受之前妥协的价值观. 例子包括但不限于:
    1. 以前的密码泄露泄露的密码.
    2. 字典里的单词.
    3. 重复的:重复的或连续的.g. Aaaaa或1234abcd.
    4. 特定于上下文的词语,如服务名称、用户名或其衍生词.
  4. 除非忘记了密码,否则不需要密码过期, 受损或潜在受损.
  5. 不应存储未经身份验证的帐户可以访问的密码提示.
  6. 密码将没有组合规则.
  7. 所有密码在存储时都必须经过散列、加盐和拉伸处理.
  8. 通知用户异常行为,例如:
    1. 如果一个用户的帐户有三个以上的并发登录.
    2. 如果一个用户的帐户在24小时内有超过5次错误的密码尝试.
第2节:可选密码要求

对于不能实现第1节:密码要求的WIU控制系统,必须实现以下密码要求.

  1. 密码最长使用时间为120天.
  2. 密码的最小使用期限为1天.
  3. 密码的最小长度为8个字符. 密码短语总是推荐/首选的.
  4. 所有密码必须包含以下字符类型中的任意一种:
    1. 大写字母:A - Z
    2. 小写字母:a - z
    3. 数量(s): 0 - 9
    4. 特殊字符
  5. 用户将无法重复使用过去使用过的10个密码. 
第3节:密码使用
  1. 所有永久或间歇连接到网络的WIU工作站将使用遵循密码策略的访问控制系统.
  2. 所有用户将被唯一标识. 禁止用户匿名登录任何系统或网络.g. Macintosh和Windows客户帐户).
  3. 在二十(20)次无效登录尝试后,用户帐户将被锁定(某些系统可能允许更少的尝试). 帐户将保持锁定三十(30)分钟或直到由系统管理员重新启用.
  4. 所有WIU工作站应在用户不活动15分钟后要求重新验证. 所有系统或应用程序都必须在最多三十分钟的用户不活动后要求重新身份验证. 这应该设置为仍然允许业务功能的最短时间. 所有WIU工作站都应该锁定,需要重新认证,或者在不使用时关闭.
  5. 密码被归类为敏感、机密信息.
  6. 在WIU工作站、系统或应用程序上使用的密码不得:
    1. 帐户所有者用于其他非wiu访问的相同密码(例如.g. 个人邮箱、网上银行、电子商务购物账户等.)
    2. 与任何人分享, 包括同事, 家庭成员, 朋友, 任何形式的熟人甚至大学技术支持人员.g. 在线,口头,书面,通过短信,电子邮件,即时通讯,聊天等).
    3.  包含个人信息(例如.g. 姓名、生日、电话、地址等.)或将用户名作为密码的一部分.
第4节:具有提升权限的WIU系统帐户

以下内容仅适用于具有高级特权的帐户(例如管理一台或多台服务器的系统管理员使用的帐户).

  1. 系统级帐户(e.g.、root、enable等.)要求:
    1. 首次登录必须通过分配给工作人员的帐户进行, 在使用系统级管理帐户之前.
    2. 密码的最小长度为12个字符.
    3. 必须禁止对系统级帐户的远程访问.e. 在sshd配置中将PermitRootLogin设置为no.
    4. 第1节中的所有其他密码要求均适用.
  2. 具有提升权限的管理帐户(例如.g., windows域,Vsphere管理员,网络管理员等.)要求:
    1. 一个能够清晰且唯一地标识用户的帐户,而不是用户的主要用户帐户.
    2. 第1节中的所有其他密码要求均适用.
  3. 系统, 服务, 用于自动身份验证的应用程序帐户不得以任何理由被个人使用,但允许使用永不过期的密码. 这些帐户要求:
    1. 最小密码长度为16个字符.
    2. 第1节中的所有其他密码要求均适用.
  4. 在生产中使用任何计算机或通信系统之前,必须更改供应商提供的和/或默认密码, 或托管任何WIU数据.
  5. 使用SNMP的地方, 社区字符串将被定义为标准默认值“public”以外的东西,”“私人,和system,且不能与交互登录时使用的密码相同.
  6. 当知道帐户密码升高的个人离开学校时,必须立即更改密码.
第5节:接受信用卡支付的地区的附加密码要求

WIU坚持 支付卡行业(PCI)数据安全标准(DSS)要求和安全评估程序. 当PCI DSS要求与大学政策冲突时,应采用最严格的政策.

WIU的政策要求如下:

  1. 必须集中管理帐户的添加、删除和修改.
  2. 在执行密码重置之前,必须验证用户的身份.
  3. 每个用户的首次密码必须设置为唯一的值,并且要求在第一次使用后立即更改密码. 第一次密码的创建不会遵循以前获得第一次密码的人可以猜测的模式.
  4. 所有用户的访问权限将在其雇佣终止后立即被撤销.
  5. 账户将在九十(90)天后被停用.
  6. 账户不得为共享账户、通用账户或集团账户.
  7. 每九十(90)天或更短的时间更换一次账户对应的密码.
  8. 所有其他一般密码要求(第1条)和密码使用(第2条)适用.

职责(实施和执行)

大学技术负责, 实现, 执行, 更新和维护此策略.

资源