9 Kiểm soát truy cập
9.3.1 Sử dụng mật khẩu
Người sử dụng nên theo các thông lệ an ninh tốt trong việc lựa chọn và sử dụng các mật khẩu. Các mật khẩu có ý nghĩa xác định tính hợp lệ của tên truy nhập của người sử dụng và như vậy sẽ thiết lập quyền truy cập tới các phương tiện xử lý thơng tin hoặc các dịch vụ. Tồn bộ người sử dụng được khuyên phải:
a) giữ bí mật các mật khẩu;
b) tránh giữ lại một tờ giấy ghi mật khẩu, trừ phi nó được lưu giữ an tồn;
c) thay đổi mật khẩu bất kỳ lúc nào có dấu hiệu hệ thống hoặc mật khẩu có thể bị tổn hại; d) chọn các mật khẩu có chất lượng với độ dài ít nhất 6 ký tự và:
1) dễ nhớ;
2) khơng dựa trên bất kỳ cái gì mà một ai khác có thể dễ dàng đốn ra hoặc có được các thơng tin liên quan đến cá nhân, ví dụ tên, số điện thoại, ngày sinh v..v.;
3) tránh các nhóm ký tự giống nhau liên tiếp hoặc các số hoặc các chữ cái.
e) thay đổi các mật khẩu sau mỗi khoảng thời gian đều đặn hoặc theo những lần truy cập (các mật khẩu của cá tài khoản đặc quyền nên được thay đổi thường xuyên hơn các mật khẩu thông thường) và tránh sử dụng lại, quay lại các mật khẩu cũ;
f) thay đổi mật khẩu tạm thời vào lần khởi động đầu tiên;
g) khơng tính đến các mật khẩu trong bất kỳ q trình khởi động tự động hố nào, ví dụ được lưu trữ trong một phím chức năng hoặc macro;
h) không chia sẻ các mật khẩu cá nhân.
Nếu người sử dụng cần truy cập các dịch vụ phức tạp hoặc các nền tảng cơ sở và được yêu cầu duy trì các mật khẩu phức tạp, họ nên được khuyên nên dùng mật khẩu đơn, có chất lượng [xem mục d) ở trên] đối với toàn bộ các dịch vụ có một mức bảo vệ mật khẩu lưu trữ hợp lý.