處理帳戶及密碼指引
主頁 > 
處理帳戶及密碼指引
< 返回

處理帳戶及密碼指引

你處理帳戶及密碼等個人數據的方式,是資訊保安的前線工作。

要做的事
應使用至少由八個大小寫不一的字母、數字及特殊字符混合組成的密碼。
應使用不容易猜到但方便用戶本人記憶的密碼,以避免將密碼寫下。
應使用無須眼看鍵盤即能快速輸入的密碼,以避免行經的人看到所輸入的內容。
應定期更改密碼,例如每 90 天更改密碼一次。
在首次登入時應更改預設或初始密碼。
應使用嚴謹的認證方式,例如雙重認證,保護用於處理敏感資料的帳戶。
不同的帳戶應使用不同的登入密碼,特別是用於處理私人和敏感資料的帳戶。
在懷疑密碼遭到洩露時應立即更換密碼。更換密碼後,應通知系統/保安管理員,以便採取跟進行動。
應緊記在學校、圖書館或網吧等公眾地方離開或用完互聯網時登出系統。
不要做的事
不應使用姓名作為登入名稱(未經修改、倒寫字母排列、大寫字母、重複字母等)。
不應使用配偶或子女的姓名。
不應使用他人容易取得的其他個人資料,包括身份證號碼、車牌號碼、電話號碼、出生日期、居所街道名稱等。
不應使用由相同字母或數字組成的密碼。
不應使用連貫的字母或數字,例如 "abcdefgh" 或 "23456789"。
不應使用在鍵盤上相鄰鍵碼組成的密碼,例如 "qwertyui"。
不應使用能夠在英語或其它外語字典中查到的單字。
不應使用能夠在英語或其它外語字典中查到的倒寫字母排列之單字。
不應使用廣為人知的縮寫,例如 HKSAR、 HKMA、 MTR等。
不應使用舊密碼。
不應在所有系統都使用同一個密碼,在不重要和較重要的系統上應使用不同的密碼。
不應寫下密碼,甚至把密碼放在電腦附近或存放於寫有 "密碼 "兩字的文件夾中。
不應向別人透露你的密碼,儘管有充分的原因。
不應把密碼顯示於屏幕上。
不應以電郵寄出未加密的密碼。
不應在瀏覽器內儲存密碼,應取消瀏覽器軟件的有關功能。
不應將密碼儲存在任何媒體,除非這些媒體可阻止未獲授權人士接達(例如利用已獲批准的加密法來加密)。

以下是系統/保安管理員對密碼處理的一些資訊保安作業守則。

要做的事
應揀選有效的密碼作為帳戶初始密碼。
應揀選不同的初始密碼予不同的帳戶。
應要求用戶在收到新的密碼後,立即更換初始密碼。
應更換所有的系統預設密碼,包括安裝新系統後的服務帳戶密碼。
應要求用戶定期更改密碼,例如每 90 天更改密碼一次。
應預設自動暫停多次連續登入失敗的用戶帳戶。
應在帳戶操作被暫停後,規定有關帳戶必須經系統/保安管理員人手調整後才能重新啓動。
應禁止用戶使用短於預定長度的密碼,或使用舊密碼。
不要做的事
不應以電郵寄出沒有加密的密碼。
不應替不能辨識的用戶披露或重新設定密碼。
不要讓公眾接達密碼的數據庫,例如在UNIX系統的密碼檔案。