9 Kiểm soát truy cập
9.5.4 Hệ thống quản lý mật khẩu
Các mật khẩu là một biện pháp nguyên tắc của việc xác định giá trị của quyền truy cập vào dịch vụ máy tinh của người sử dụng. Các hệ thống quản lý mật khẩu nên cung cấp một phương tiện hiệu quả, tương tác, đảm bảo các mật khẩu có chất lượng (xem 9.3.1 hướng dẫn về việc sử dụng các mật khẩu).
Một số ứng dụng yêu cầu các mật khẩu của người sử dụng phải được ấn định bằng một quyền độc lập. Trong hầu hết các trường hợp, các mật khẩu được lựa chọn và duy trì bởi người sử dụng. Một hệ thống quản lý mật khẩu tốt nên:
a) bắt buộc việc sử dụng các mật khẩu cá nhân để duy trì trách nhiệm giải trình;
b) khi thích hợp, cho phép người sử dụng lựa chọn và thay đổi các mật khẩu riêng của họ và có một thủ tục khẳng định lại cho các lỗi đầu vào;
c) bắt buộc lựa chọn các mật khẩu có chất lượng như đã nói ở mục 9.3.1;
d) ở nơi người sử dụng duy trì mật khẩu riêng của họ, bắt buộc những thay đổi mật khẩu phải như đã nói ở mục 9.3.1;
e) ở nơi người sử dụng lựa chọn các mật khẩu, buộc họ phải thay đổi cá mật khẩu tạm thời vào lần đăng nhập đầu tiên (xem 9.2.3);
f) duy trì một bản ghi các mật khẩu của người sử dụng trước đây, ví dụ trong vịng 12 tháng trước và ngăn không cho sử dụng lại;
g) khơng hiện mật khẩu trên màn hình khi được nhập vào;
h) lưu giữ các tệp mật khẩu tách biệt khỏi dữ liệu hệ thống ứng dụng;
i) lưu giữ các mật khẩu ở dạng mã hoá sử dụng một thuật toán mã hoá một chiều; j) thay đổi các mật khẩu mặc định của đại lý theo việc cài đặt phần mềm.