10. Quản lý truy cập.
10.2.3. Quản lý mật khẩu người dùng
Biện pháp quản lý
Việc cấp phát mật khẩu người dùng cần được kiểm soát thông qua một quy trình quản lý chính thức.
Hướng dẫn triển khai
Quá trình quản lý mật khẩu người dùng cần bao hàm những yêu cầu sau:
a) người dùng cần được yêu cầu ký vào một tờ in sẵn để giữ bí mật các mật khẩu cá nhân và giữ các mật khẩu nhóm chỉ trong nội bộ các thành viên của nhóm; bản ký này có thể nằm trong các điều khoản và điều kiện tuyển dụng (xem 7.1.3);
b) khi người dùng được yêu cầu duy trì các mật khẩu riêng của mình, ban đầu họ cần phải được cung cấp một mật khẩu an toàn tạm thời (xem 10.3.1), mật khẩu này sau đó sẽ buộc phải được thay đổi ngay;
c) thiết lập các thủ tục nhằm xác minh danh tính của người dùng trước khi cung cấp một mật khẩu mới, mật khẩu thay thế hoặc mật khẩu tạm thời;
d) các mật khẩu tạm thời phải được trao cho người dùng một cách an toàn; việc sử dụng của bên thứ ba hoặc các thông điệp thư điện tử không được bảo vệ cần được tránh;
e) các mật khẩu tạm thời phải là duy nhất đối với mỗi cá nhân và không thể đoán được; f) người dùng cần có kiến thức về việc nhận các mật khẩu;
g) không được lưu mật khẩu trên các hệ thống máy tính ở định dạng không được bảo vệ; h) các mật khẩu mặc định của nhà cung cấp cần được thay đổi ngay sau khi cài đặt hệ thống và phần mềm.
Thông tin khác
Mật khẩu là phương tiện phổ biến trong việc xác minh danh tính của người dùng trước khi truy cập tới các hệ thống thông tin hay các dịch vụ. Các công nghệ khác để nhận dạng và xác thực người dùng, chẳng hạn như sinh trắc học, ví dụ như kiểm tra dấu vân tay, xác minh chữ ký, và sử dụng thẻ phần cứng, ví dụ thẻ thông minh, cần được sẵn sàng và cần được quan tâm nếu thích hợp.