1、嚴格的口令策略應包含的要素:
(1)滿足壹定的長度,比如8位以上;
(2)同時包含數字,字母和特殊字符 C)系統強制要求定期更改口令;
(3)用戶可以設臵空口令。
2、所有囗令,包括初始囗令,都必須依據部門規定的下列規則建立和執行:
(1)必須定期更改;
(2)必須符合部門規定的最小長度6位;
(3)最好是字母和數字字符的組合;
(4)必須不能是可以輕易聯想到的賬號所有者的特性:用戶名、綽號、親屬的姓名、生日等;
(5)必須不能用字典中的單詞或首字母縮寫;
(6)必須保存歷史口令,以防止口令的重復使用。
3、該策略的目的是為用戶鑒別機制建立創造、分發、保護、終止以及收回的規則。
4、存儲的口令必須進行加密;
5、用戶的賬號口令必須不能泄露級任何人。部門不能詢問用戶的賬戶,口令;
6、安全標誌(如智能卡)在關系結束時,必須退回;
7、如果懷疑口令的安全性,應立即進行更改;
8、管理員不能為了使用信息資源規避口令;
9、用戶不能通過自動登錄的方式繞過口令登錄程序。
·計算機設備如果無人值守必須啟動口令保護屏保或註銷;