10. Quản lý truy cập.
10.5.1. Các thủ tục đăng nhập an toàn
Biện pháp Quản lý
Truy cập đến các hệ điều hành cần được kiểm soát bởi thủ tục đăng nhập an toàn. Hướng dẫn triển khai
Thủ tục đăng nhập vào một hệ điều hành cần được thiết kế để tối giảm cơ hội truy cập trái phép. Vì vậy thủ tục đăng nhập cần tối giảm thông tin về hệ thống nhằm tránh phải cung cấp hỗ trợ không cần thiết cho những người dùng trái phép. Một thủ tục đăng nhập tốt cần:
a) không hiển thị những nhận dạng ứng dụng hoặc hệ thống cho tới khi quá trình đăng nhập đã được thiết lập thành công;
b) Hiển thị cảnh báo chung rằng chỉ những người dùng đã được cấp phép mới được truy cập vào máy tính;
c) không cung cấp những thông điệp giúp đỡ hỗ trợ người dùng trái phép trong thủ tục đăng nhập;
d) kiểm tra tính hợp lệ của thông tin đăng nhập chỉ khi đã hoàn tất tất cả các dữ liệu đầu vào. Nếu xuất hiện một điều kiện sai thì hệ thống không được chỉ ra phần dữ liệu đúng hoặc sai. e) giới hạn số lần cố gắng đăng nhập không thành công được cho phép, ví dụ nhiều nhất là ba lần, và phải quan tâm tới việc:
1) ghi lại những lần cố gắng đăng nhập thất bại và thành công;
2) đưa ra khoảng thời gian trễ bắt buộc trước khi tiếp tục cố gắng đăng nhập tiếp hoặc từ chối các cố gắng đăng nhập tiếp mà không cần cấp phép;
3) ngắt các kết nối liên kết dữ liệu;
4) gửi một thông điệp cảnh báo tới bảng điều khiển hệ thống nếu số lần cố gắng đăng nhập tối đa đã hết;
5) đặt số lần thử lại mật khẩu cùng với độ dài tối thiểu của mật khẩu và giá trị của hệ thống được bảo vệ;
f) giới hạn thời gian tối đa và tối thiểu được phép cho thủ tục đăng nhập. Nếu đã vượt qua thời gian này, hệ thống sẽ kết thúc việc đăng nhập;
g) Hiển thị thông tin dưới đây sau khi hoàn thành thủ tục đăng nhập: 1) Ngày và giờ của lần đăng nhập thành công trước đó;
2) Những chi tiết về các lần cố gắng đăng nhập không thành công kể từ lần đăng nhập thành công gần nhất;
h) không hiển thị mật khẩu đã được đưa vào hoặc cân nhắc tới việc ẩn các ký tự mật khẩu bằng các biểu tượng;
i) không truyền các mật khẩu dưới dạng ký tự rõ ràng trên mạng. Thông tin khác
Nếu mật khẩu được truyền đi dưới dạng ký tự rõ ràng trong suốt quá trình đăng nhập trên mạng, chúng có thể bị bắt bởi chương trình “nghe lén" trên mạng.