10. Quản lý truy cập.
10.3.1. Sử dụng mật khẩu
Biện pháp quản lý
Người dùng phải được yêu cầu tuân thủ quy tắc thực hành an toàn tốt trong việc lựa chọn và sử dụng mật khẩu.
Hướng dẫn triển khai
Tất cả những người dùng cần được tư vấn: a) giữ bí mật các mật khẩu;
b) tránh giữ hồ sơ (ví dụ giấy, tập tin phần mềm hoặc thiết bị cầm tay) của các mật khẩu, trừ khi hồ sơ này có thể được lưu trữ an toàn và phương pháp lưu trữ đã được phê duyệt;
c) thay đổi mật khẩu bất cứ khi nào có bất kỳ dấu hiệu về tổn hại hệ thống hoặc mật khẩu; d) chọn mật khẩu chất lượng với độ dài tối thiểu mà
1) dễ nhớ;
2) không dựa trên bất cứ điều gì mà người khác có thể dễ dàng đoán hoặc có được nhờ các thông tin có liên quan tới cá nhân đó, ví dụ như tên, số điện thoại, và ngày tháng năm sinh...
3) không dễ bị tổn hại bởi những tấn công dò tìm mật khẩu thông qua từ điển (tức là không chứa các từ có trong từ điển);
4) không phải là dạng các ký tự hay các số giống nhau liên tiếp.
e) thay đổi mật khẩu theo định kỳ hay dựa trên số lần truy cập (mật khẩu cho các tài khoản đặc quyền cần thay đổi mật khẩu thường xuyên hơn bình thường), và tránh sử dụng lại mật khẩu cũ hoặc quay vòng các mật khẩu cũ;
f) thay đổi mật khẩu tạm thời ở lần truy cập đầu tiên;
g) không đưa mật khẩu vào thủ tục đăng nhập tự động, ví dụ được lưu trữ trong chương trình macro hay khóa chức năng;
h) không chia sẻ mật khẩu người dùng cá nhân;
i) không sử dụng chung một mật khẩu cho tất cả các mục đích nghiệp vụ và không phải nghiệp vụ. Nếu người dùng cần truy cập nhiều dịch vụ, hệ thống hay nền tảng chương trình và được yêu cầu phải duy trì nhiều mật khẩu riêng thì họ phải được tư vấn rằng họ có thể sử dụng một mật khẩu chất lượng, duy nhất (xem phần d) ở trên) cho tất cả các dịch vụ mà người dùng được bảo đảm rằng mức độ bảo vệ hợp lý đã được thiết lập đối với việc lưu trữ mật khẩu trong mỗi dịch vụ, hệ thống hay nền tảng chương trình.
Thông tin khác
Việc quản lý hệ thống hỗ trợ để giải quyết các mật khẩu bị mất hoặc quên cần được đặc biệt quan tâm vì đây cũng có thể là một phương tiện tấn công hệ thống mật khẩu.