Политика администрирования паролей
Ниже приведены общие правила работы с паролями, полезные для использования в Интернете:
Идентификаторы пользователей и их пароли должны быть уникальными для каждого пользователя.
Пароли должны состоять как минимум из 6 символов (не должны быть именами или известными фразами). Должно производиться периодическое тестирование специальными программами на предмет выявления угадываемых паролей (в этих программах должен быть набор правил по генерации угадываемых паролей) .
Пароли должны держаться в тайне, то есть не должны сообщаться другим людям, не должны вставляться в тексты программ, и не должны записываться на бумагу.
Пароли должны меняться каждый 90 дней(ил через другой период). Большинство систем могут заставить принудительно поменять пароль через определенное время и предотвратить использование того же самого или угадываемого пароля.
Бюджеты пользователей должны быть заморожены после 3 неудачных попыток входа в систему. Все случаи неверно введенных паролей должны быть записаны в системный журнал, чтобы потом можно было предпринять действия.
Сеансы пользователей с сервером должны блокироваться после 15-минутной неактивности (или другого указанного периода). Для возобновления сеанса должен снова требоваться ввод пароля.
При успешном входе в систему должны отображаться дата и время последнего входа в систему.
Бюджеты пользователей должны блокироваться после определенного времени неиспользования.
Для систем с высоким уровнем риска:
После некоторого числа попыток НСД система должна подавать сигнал тревоги и при возможности имитировать сеанс (выдавать ложные сообщения сервера) для пользователя, который делает эти попытки (чтобы он оставался подключенным к системе пока администратор безопасности пытается выяснить его местоположение))
