Política de contraseñas

1. Descripción

Las contraseñas son uno de los aspectos más importantes de la seguridad de la información, ya que una contraseña mal elegida aumenta el riesgo potencial de acceso no autorizado al sistema de información de la empresa. Todos los empleados de SU EMPRESA (incluidos los contratistas y terceros) son responsables de cumplir con esta política.

2.Proposito

El propósito de esta política es establecer estándares para la creación, protección, almacenamiento y frecuencia de cambio de contraseñas seguras.

3. Alcance

Esta política se aplica a todo el personal que tiene o es responsable de acceder a información confidencial en todos los niveles (o cualquier forma de acceso que admita o requiera una contraseña) en cualquier sistema, equipo que tenga acceso (o almacene información confidencial) a su red corporativa. .

4. Política

1. Las contraseñas de las cuentas del sistema (administrador de dominio, administrador local, raíz, etc.) deben cambiarse trimestralmente.
2. Todas las contraseñas de las cuentas del sistema, así como las contraseñas de las aplicaciones y el equipo activo, deben almacenarse en una base de datos cifrada, cuyo acceso es limitado.
3. Las contraseñas de las cuentas de dominio deben tener una validez máxima de 9 meses. El intervalo recomendado para cambiar la contraseña es de 6 meses.
4. La contraseña de una cuenta de usuario que tiene privilegios administrativos, obtenida a través de la pertenencia a un grupo o mediante programas como sudo, debe ser única con respecto a otras contraseñas para la cuenta de ese usuario.
5. Está prohibido transferir contraseñas a los usuarios mediante mensajes de correo o de cualquier otra forma abierta a través de Internet.
6. La contraseña recibida por el usuario debe cambiarse en el primer inicio de sesión.
7. Cuando se utiliza el protocolo SNMP, es necesario utilizar valores diferentes de los estándar de las cadenas de conexión (Nombre de la comunidad) «público», «privado», «sistema» y diferente de la contraseña utilizada para iniciar sesión en el sistema.
8. Todas las contraseñas de usuario, así como las contraseñas del sistema, deben cumplir con esta política.

5. Instrucciones

Instrucciones para crear una contraseña. SU EMPRESA utiliza contraseñas para diversos fines. Entre ellos: acceso a cuenta de usuario, interfaces web, correo electrónico, protección del protector de pantalla, contraseñas de correo de voz y acceso a enrutadores. Dado que muy pocos sistemas admiten tokens de contraseña de un solo uso (contraseñas dinámicas que se usan solo una vez), debe saber cómo elegir una contraseña segura.

Las contraseñas malas y débiles tienen las siguientes características:

1. Contiene menos de ocho caracteres.
2. Son una palabra que está contenida en diccionarios (rusos o extranjeros).
3. Son una palabra de uso común.
4. Contiene el apellido, apodo del animal, los nombres de amigos, empleados, personajes de ficción, etc.
5. Contiene términos y nombres informáticos, comandos, nombres de sitios, empresas, equipos, software.
6. Contiene el nombre de su empresa y nombres geográficos, como «Moscú», «Saratov» o sus derivados.
7. Contienen fechas de nacimiento y otra información personal como direcciones y números de teléfono.
8. Un patrón de palabra o número como aaabbb, qwerty, zyxwvuts, 12345, etc.
9. El ejemplo anterior, ingresado en orden inverso.
10. Los dos ejemplos anteriores con un dígito al principio o al final de la contraseña (por ejemplo, Moscú1, 1Saratov).

6. Opciones de contraseña segura

1. Contiene una combinación de letras mayúsculas y minúsculas (por ejemplo, az, AZ).
2. Incluye números y signos de puntuación, por ejemplo, 0-9,! @ # $% ^ & * () _ + | ~ – = \ `{} [[]]:“; ‘<>?,. /).
3. Consta de ocho o más personajes.
4. Ni una palabra en ningún idioma, dialecto, jerga, jerga, etc.
5. No se basa en información personal, como apellido, fecha de nacimiento, etc.
6. Nunca grabado o almacenado en línea.

Cree contraseñas fáciles de recordar. Una forma de crear estas contraseñas es utilizar canciones, poemas y otras frases fáciles de recordar. Por ejemplo, de la frase: «Esto puede ser una forma de recordar», puede obtener las siguientes contraseñas: «¡TmB1w2R!» o «Tmb1W> r ~» y otras opciones.

Advertencia: ¡No utilice ninguno de los ejemplos anteriores como contraseña!

7. Reglas de protección por contraseña

1. No utilice la misma contraseña para acceder a las cuentas de SU EMPRESA y otros recursos (por ejemplo, acceso a Internet desde casa, sistemas de comercio electrónico, etc.). Si es posible, no utilice la misma contraseña para acceder a diferentes recursos dentro de la empresa. Por ejemplo, use una contraseña para las aplicaciones y otra para la administración de recursos. Utilice diferentes contraseñas para las cuentas del sistema Windows y Unix.
2. No comparta su contraseña con nadie, ni siquiera con su secretaria o personal de servicio. Todas las contraseñas son información confidencial de «SU EMPRESA» .
3. Lista de acciones prohibidas.
4. No le dé su contraseña a nadie por teléfono.
5. No envíe su contraseña por correo electrónico.
6. No comparta su contraseña con su jefe.
7. No hables de tu contraseña junto a extraños.
8. No menciones el contenido de la contraseña (por ejemplo, «mi cumpleaños»).
9. No indique su contraseña en cuestionarios o cuestionarios.
10. No comparta su contraseña con los miembros de su familia.
11. No comparta su contraseña con compañeros de trabajo antes de irse de vacaciones.
12. No escriba la contraseña ni la guarde en el lugar de trabajo.
13. No almacene la contraseña en un archivo en una computadora, incluida una portátil, sin cifrado.
14. No utilice la función Recordar contraseña en aplicaciones como Eudora, Outlook o Netscape Messenger

Si alguien le pide su contraseña, consulte este documento o pida llamar al departamento de seguridad de la información.

Si cree que su cuenta o contraseña ha sido comprometida, infórmelo al departamento de seguridad de la información de SU EMPRESA y cambie todas las contraseñas.

Las personas autorizadas de «SU EMPRESA» pueden utilizar la fuerza bruta o intentar descifrar contraseñas con regularidad. Si la contraseña es adivinada o descifrada durante tales eventos, se le pedirá que cambie su contraseña.

8. Estándar de desarrollo de aplicaciones

Los desarrolladores de aplicaciones deben proporcionar las siguientes medidas de seguridad en sus programas:

1. Las aplicaciones deben admitir la autenticación de usuarios individuales, no de grupos.
2. Las aplicaciones no deben almacenar contraseñas de forma abierta o fácilmente identificable.
3. Las aplicaciones deben proporcionar algún tipo de cesión de derechos para que un usuario pueda realizar las funciones de otro sin conocer su contraseña.
4. Las aplicaciones siempre deben ser compatibles con TACACS +, RADIUS y / o X.509 basado en LDAP siempre que sea posible.

9. Uso de contraseñas y frases de contraseña para acceso remoto.

Para controlar el acceso remoto a las redes de SU EMPRESA, utilice contraseñas de un solo uso o un sistema de clave asimétrica con una frase de contraseña segura.

Las frases de contraseña son diferentes de las contraseñas. La frase de contraseña es una versión más larga de la contraseña y, por lo tanto, más segura. Las frases de contraseña se utilizan comúnmente para la autenticación en sistemas de cifrado asimétrico. Un sistema de clave asimétrica define la relación matemática entre una clave pública conocida por todos y una clave privada conocida solo por su propietario. Sin una frase de contraseña que dé acceso a la clave privada, el usuario no tendrá acceso.

Una frase de contraseña generalmente consta de varias palabras, lo que es más resistente a los ataques de diccionario. Una buena frase de contraseña es relativamente larga y contiene una combinación de letras mayúsculas y minúsculas, números y signos de puntuación. A continuación, se muestra un ejemplo de una buena frase de contraseña: «El *? #> * @ TrafficOnThe101Was * & #! # This Morning»

Todas las reglas para crear contraseñas seguras también se aplican a las frases de contraseña.

10. Responsabilidad

Cualquier empleado que viole esta política puede estar sujeto a sanciones que incluyen el despido.