处理帐户及密码指引
你处理帐户及密码等个人数据的方式,是资讯保安的前线工作。
要做的事
应使用至少由八个大小写不一的字母、数字及特殊字符混合组成的密码。
应使用不容易猜到但方便用户本人记忆的密码,以避免将密码写下。
应使用无须眼看键盘即能快速输入的密码,以避免行经的人看到所输入的内容。
应定期更改密码,例如每 90 天更改密码一次。
在首次登入时应更改预设或初始密码。
应使用严谨的认证方式,例如双重认证,保护用于处理敏感资料的帐户。
不同的帐户应使用不同的登入密码,特别是用于处理私人和敏感资料的帐户。
在怀疑密码遭到泄露时应立即更换密码。更换密码后,应通知系统/保安管理员,以便采取跟进行动。
应紧记在学校、图书馆或网吧等公众地方离开或用完互联网时登出系统。
不要做的事
不应使用姓名作为登入名称(未经修改、倒写字母排列、大写字母、重复字母等)。
不应使用配偶或子女的姓名。
不应使用他人容易取得的其他个人资料,包括身份证号码、车牌号码、电话号码、出生日期、居所街道名称等。
不应使用由相同字母或数字组成的密码
不应使用连贯的字母或数字,例如 "abcdefgh" 或 "23456789"。
不应使用在键盘上相邻键码组成的密码,例如 "qwertyui"。
不应使用能够在英语或其它外语字典中查到的单字。
不应使用能够在英语或其它外语字典中查到的倒写字母排列之单字。
不应使用广为人知的缩写,例如 HKSAR、 HKMA、 MTR等。
不应使用旧密码。
不应在所有系统都使用同一个密码 ; 在不重要和较重要的系统上应使用不同的密码。
不应写下密码,甚至把密码放在电脑附近或存放于写有 "密码 "两字的文件夹中。
不应向别人透露你的密码,尽管有充分的原因。
不应把密码显示于屏幕上。
不应以电邮寄出未加密的密码。
不应在浏览器内储存密码,应取消浏览器软件的有关功能。
不应将密码储存在任何媒体,除非这些媒体可阻止未获授权人士接达(例如利用已获批准的加密法来加密)。
以下是系统/保安管理员对密码处理的一些资讯保安作业守则。
要做的事
应拣选有效的密码作为帐户初始密码。
应拣选不同的初始密码予不同的帐户。
应要求用户在收到新的密码后,立即更换初始密码。
应更换所有的系统预设密码,包括安装新系统后的服务帐户密码。
应要求用户定期更改密码,例如每 90 天更改密码一次。
应预设自动暂停多次连续登入失败的用户帐户。
应在帐户操作被暂停后,规定有关帐户必须经系统/保安管理员人手调整后才能重新启动。
应禁止用户使用短于预定长度的密码,或使用旧密码。
不要做的事
不应以电邮寄出没有加密的密码。
不应替不能辨识的用户披露或重新设定密码。
不要让公众接达密码的数据库,例如在UNIX系统的密码档案。