10. Quản lý truy cập.
10.5.3. Hệ thống quản lý mật khẩu
Biện pháp quản lý
Các hệ thống quản lý mật khẩu phải có khả năng tương tác và đảm bảo chất lượng của mật khẩu.
Hướng dẫn triển khai
Một hệ thống quản lý mật khẩu cần:
a) bắt buộc sử dụng các ID và mật khẩu cá nhân riêng để duy trì khả năng giải trình trách nhiệm; b) cho phép người dùng chọn và thay đổi mật khẩu của họ và có thủ tục xác nhận để cho phép các lỗi đầu vào;
c) bắt buộc phải chọn các mật khẩu chất lượng (xem 10.3.1); d) bắt buộc phải thay đổi mật khẩu (xem 10.3.1);
f) duy trì hồ sơ gồm các mật khẩu trước đó của người dùng và ngăn chặn việc sử dụng lại; g) không hiển thị các mật khẩu trên màn hình khi nó đang được nhập vào hệ thống; h) lưu trữ các tệp mật khẩu riêng với dữ liệu hệ thống ứng dụng;
i) lưu trữ và truyền mật khẩu theo dạng đã được bảo vệ (ví dụ ở dạng đã mã hóa hoặc hàm băm).
Thông tin khác
Mật khẩu là một trong những phương tiện cơ bản trong việc xác minh quyền của người dùng được phép truy cập tới một dịch vụ máy tính.
Một vài ứng dụng yêu cầu mật khẩu người dùng phải được ấn định bởi một cơ quan có thẩm quyền độc lập; trong trường hợp này, điểm b), d) và e) của hướng dẫn trên đây không được áp dụng. Trong hầu hết các trường hợp mật khẩu được lựa chọn và duy trì bởi người dùng. Xem phần 10.3.1 hướng dẫn về sử dụng mật khẩu.