III-2所大学的密码政策

概观

批准日期:2020年5月22日
生效日期:2020年5月22日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:2.1版;以前的版本2.0日期2020年1月12日
相关立法和大学政策:

审查期限:3年
最后一次审查的日期:2020年5月19日
有关:教师,员工,学生,校友,会员帐户持有人

这一政策的总结:

永利棋牌游戏app下载依赖于利用高校提供的凭据(永利棋牌游戏app下载的网络ID和密码)来访问网络大学的信息技术(IT)资源提供认证。特别是,密码短语构成的分层防御计划的第一线,作为“钥匙”的用户功能必须获得进入大学的信息和信息技术系统。用户身份验证凭据引线的妥协潜力妥协的高风险的机密性,完整性和大学IT系统和信息的可用性。所有用户都通过可接受的使用计算机和信息技术资源政策(AUP)的采取适当措施的约束,在此政策中描述,创造和保护他们的密码短语。

这一政策的目的

这一政策的目的是要建立最低保护标准,复杂性(强度)和刷新间隔大学密码短语。个人用户有责任保护自己的帐户凭据,个人责任和最小特权原则,这一政策得到应用。

定义

妥协: 当比分配的用户之外的任何人知道用户的凭据。

证书: 网络用户ID的组合(例如ABC123)和密码。

Kerberos主体: 在其认证基础底层网络的机制,使用证书进行身份验证。

多因素认证(MFA): 有时被称为双因素认证或2FA,是一种增强安全性,其允许用户的证据存在两片 - 用户凭证 - 在到帐户登录时。用户凭证属于任何这三类:你知道的东西(如密码或PIN),你拥有的东西(如与外交部应用智能手机),或一些你(如指纹)。该大学已经部署了MFA功能来保护用户帐户的访问。

密码复杂性或熵: 密码短语自动化,蛮力猜测攻击的抵抗性的量度。

密码寿命: 当时,以天为一个密码生效。每一天的最小密码寿命将意味着用户必须等待,直到下一个日历天可以改变(技术控制,以防止口令“回收”)前。 180天的最大密码寿命,例如,是在时间间隔之后该密码必须被改变。

最小权限原则: 限制访问的最低水平,这将允许正常运作的做法。这意味着我们给人的用户权限的最低水平,他们可以有,仍然按所需的学生做他们的教师或教学工作或功能。

政策冲突: 当一个政策柜台另一个策略。例如,如果本地化要求需要改变对基于风险的终身密码短语,这个较短的时限为准。

系统级密码短语: 由系统管理员或其他员工提升访问权限级别大学信息系统中使用的密码。这个定义包括根级别和管理员级别的帐户凭据。

责任

经理和主管负责实施,坚持和反馈有关这一政策。

所有教职员工,学生,校友和分支机构负责其凭据的保护。这CWRU套在这个政策的标准说,以社区大学一般在管理和保密性,完整性和永利棋牌游戏系统和数据的可用性保护的重要性。

引用

NIST特刊800-63b
NIST密码指引 //pages.nist.gov/800-63-3/
zxcvbn:低预算的密码强度估计,25日Usenix安全专题讨论会,2016年,//www.usenix.org/system/files/conference/usenixsecurity16/sec16_paper_wheeler.pdf

政策声明

政策

个人责任

永利棋牌游戏app下载的IT系统的所有用户都为识别的目的访问联机系统单独指定的凭证(永利棋牌游戏app下载的网络ID和密码)。按照CWRU可接受的使用政策,用户与他们的凭据进行活动单独负责。

密码短语是被保护,而不是与他人分享。

对密码强度要求

从历史上看,密码和密码短语是很容易使用暴力猜测技术,除非某些密码复杂性要求已实行破解。永利棋牌游戏app下载将专注于一个叫做密码复杂性的特点。

  • 密钥必须通过复杂的测试作为衡量密码强度
  • 最小密码长度应为12个字符
  • 同时创造了新的密码,用户将被给予视觉反馈对口令的复杂性,允许投入使用。
    • 允许密钥必须被视为“OK”或“非常好”,由复杂度试验(绿色状态栏)所指示的

所有生产系统级密码短语供内部使用或限制数据将成为大学的集中管理的账户管理系统的一部分,并应遵循的准则上面提出。

*限制: 密码短语不应该包含用户ID,用户的名字或姓氏。

密码刷新(年龄)

永利棋牌游戏app下载拥有多因素认证(MFA)可用于大学的IT系统。谁是登记使用MFA的用户将不需要改变定时的基础上他们的密码。

对于用户无需MFA,密码短语应每年因盗窃被发现或密码短语的共享改变,以缩小披露的影响。

  • 所有用户级密码短语(例如,电子邮件,网页,台式计算机等),用于与访问内部使用和限制信息系统的用户必须每年改变。
  • 用户可以更频繁地改变他们的密码,或者当他们怀疑自己的帐户可能已被盗用。
  • 最小密码历史为5时强制性更改应用(例如在一个帐户折衷的情况下),以阻止密码重新使用。
  • 建议的最低年龄的密码是1天。

在工作人员的收入(人事变动,工作职责的旋转等)的系统级密码短语(例如管理员,根,等等),通过这样的营业额影响将在7天工作人员更替而改变。如果存在情有可原,基于风险的决定将相应的部门经理/业务人员和信息安全办公室之间进行协调。

如果怀疑用户或系统的帐户凭据已被披露或泄露,用户应立即采取措施,改变和保护密码不被非法使用。出现[u]高科技成为通过了解帐户凭据妥协,通知[U]技术是将受影响的用户做出。如果他或她的凭据可能已经泄露用户名犯罪嫌疑人,[U]科技被告知只要是能够通过CWRU服务台联系。

密码重用

永利棋牌游戏app下载的用户不得重用他们的永利棋牌游戏app下载的密码短语用于其他在线或基于云的应用程序或账户(例如社交媒体)。

通用密码保护的网络登录

有通过组成员或程序授予的系统级权限,如“命令”用户帐户必须拥有由用户持有的所有其他帐户的唯一密码。

所有身份验证机制应使用加密(例如SSL或TLS),以保护登录会话。

该请求的用户ID和密码的应用程序不应该显示在数据输入字段中的密码短语。

用户社会安全号码(SSN),不得以任何登录凭证(用户ID或密码)的一部分。