Важные данные на компьютере часто защищаются паролем, предположим, что пароль содержит 8 символов

Обновлено: 03.07.2024

В соответствии с Политикой паролей UCSC эти стандарты требуются для паролей, которые обеспечивают доступ к закрытым данным университета, или когда это требуется по закону, политике UC или университетского городка или контракту. Они рекомендуются в качестве передовой практики. следить за всеми паролями, даже если они не требуются.

I. Введение

Пароли являются важной частью компьютерной безопасности в UCSC. Они часто служат первой линией защиты в предотвращении несанкционированного доступа к компьютерам и данным в кампусе. Из-за этого важно выбирать пароли, которые достаточно сложны и загадочны, чтобы другие не могли их угадать или взломать с помощью программ «взломщика паролей». Также важно хранить пароли в секрете и в безопасности, чтобы другие не могли их использовать или найти.

Эти стандарты предназначены для предоставления информации и рекомендаций о том, как создавать надежные, загадочные пароли и как обеспечивать их безопасность и конфиденциальность. Для некоторых шагов могут потребоваться дополнительные изменения конфигурации/настроек.

ПОМИМО ПАРОЛЕЙ – Многофакторная аутентификация (MFA): пароли все чаще становятся слабым звеном в защите информации и учетных записей. В дополнение к соблюдению этих Стандартов, добавление еще одного уровня защиты ваших учетных записей с помощью двухэтапной/многофакторной аутентификации, где это возможно, обеспечивает дополнительную защиту. Тогда для входа кому-то потребуется больше, чем просто ваше имя пользователя и пароль. Это новое требование для учетных записей, предоставляющих доступ к ограниченным данным, и для привилегированных учетных записей, а также для доступа к Campus и Data Center VPN. Подробнее


II. Стандарты надежности паролей: как создавать надежные, загадочные пароли, которые трудно угадать или взломать

ТРЕБОВАНИЯ
Следующие требования применяются во многих системах UCSC. Пароли, которые не соответствуют этим требованиям или признаны уязвимыми автоматическими средствами проверки надежности паролей, могут быть отклонены.

ДОПОЛНИТЕЛЬНЫЕ СОВЕТЫ И ПОДСКАЗКИ
по созданию хороших, загадочных, трудно угадываемых паролей

  • Более длинные пароли лучше.
  • Не указывайте личную информацию, имена семьи, места, домашних животных, дни рождения, адрес, хобби, номерной знак и т. д.
  • Избегайте сленговых, диалектных, жаргонных слов и т. п.
  • Пароль, состоящий из нескольких слов, разделенных пробелами, на самом деле может быть более надежным и легким для запоминания, чем более сложный и малопонятный.
    • Основание пароля на знакомой вам фразе — это один из способов создать пароль, который будет запоминающимся для вас, но непонятным для других. Например, «Холмы оживают звуками музыки!!» на самом деле довольно хороший пароль, за исключением того факта, что он неудобно длинный и опубликован здесь. Более короткая версия может быть такой: «Холмы! живой! Музыка!" или, используя вариант первой буквы каждого слова, "ThRawts0m!".
    • Несколько запоминающихся слов, не имеющих отношения к делу, также могут быть хорошим паролем, например "правильная скоба для лошадиных батарей" или, если система требует дополнительной сложности, "правильная скоба для лошадиных батарей!"
    • Автоматические программы "взломщика паролей" теперь также проверяют наличие полных словарных слов подряд, независимо от того, разделены они пробелами или нет, поэтому всегда лучше модифицировать словарные слова. "Холмы оживают под звуки музыки!" намного надежнее, чем "Холмы оживают звуками музыки!" Его также сложнее запомнить, так что это компромисс.
    <р>1. Не сообщайте никому свои пароли и не публикуйте их каким-либо образом.

    <р>2. Не записывайте пароли.

    <р>3. Если вы считаете, что ваш пароль мог быть скомпрометирован, сообщите об этом в Центр поддержки ITS и своему руководителю.

    <р>4. Как можно скорее измените пароли, предоставленные для первоначального доступа, или сбросьте пароль. Информация для этого должна быть предоставлена ​​вместе с паролем. Если это не так, обратитесь за инструкциями к лицу или в офис, выдавший пароль.

    <р>5. Не позволяйте вашим приложениям или браузеру запоминать/сохранять пароли, обеспечивающие доступ к системам или данным с ограниченным доступом.

    • Таким образом, если кто-то получит доступ к вашему компьютеру, он не получит доступ ко всем вашим аккаунтам.
    • МЕНЕДЖЕРЫ ПАРОЛЕЙ. Пароли можно безопасно хранить с помощью различных бесплатных и недорогих инструментов шифрования, предназначенных для управления паролями, включая связку ключей вашего компьютера и сторонние решения. Например, LastPass — это облачный вариант. [1]
      • Важные примечания:
      • Менеджеры паролей могут оценить надежность ваших паролей и создать безопасные пароли для вашего использования.
      • Мастер-пароли, обеспечивающие доступ к этим инструментам, должны соответствовать минимальным стандартам надежности и безопасности, указанным в этих Стандартах. Для связок ключей это пароль, используемый для доступа к компьютеру.
      • Не храните пароли, обеспечивающие доступ к данным с ограниченным доступом на веб-сайте поставщика услуг, не входящего в UCSC. Дополнительные сведения и дополнительные рекомендации см. в разделе Использование сторонних и облачных сервисов. перед использованием менеджера паролей.
      <р>6. Используйте разные пароли для учетных записей, предоставляющих доступ к данным с ограниченным доступом, и пароли для менее конфиденциальных или личных учетных записей.

      • Для дополнительной безопасности используйте разные пароли для каждой учетной записи, предоставляющей доступ к конфиденциальным данным; таким образом, если один из ваших паролей будет скомпрометирован, с остальными все еще будет все в порядке.
      <р>7. Убедитесь, что пароли передаются безопасно.


      IV. Дополнительные требования к поставщикам услуг

      <р>1. Пароли, предоставляемые в качестве исходных паролей или сброса паролей, должны соответствовать минимальным требованиям к паролю UCSC. «Changeme», «admin», «pass1» и другие распространенные пароли, найденные в программах взлома паролей, использовать нельзя.

      • Пароли, предоставляемые в качестве исходных паролей или для сброса паролей, также не должны быть фиксированным паролем или опубликованной/легко вычисляемой формулой, которая в случае обнаружения может быть использована для получения несанкционированного доступа к системе или приложению.
      • Пароли, предоставляемые для первоначального доступа или сброса пароля, должны быть уникальными.
      <р>2. Убедитесь, что конечные пользователи осведомлены о вышеуказанных стандартах надежности паролей, когда приложения и системы не могут обеспечить их соблюдение технически.

      <р>3. Обеспечьте безопасную передачу и хранение паролей.

      <р>4. Срок действия паролей, предоставленных для первоначального доступа или сброса паролей, должен быть установлен на момент первоначального использования. Если это невозможно, попросите пользователей сменить эти пароли как можно скорее после первого использования и предоставьте соответствующие инструкции.

      <р>5. Заранее уведомляйте пользователей о требованиях к длине и сложности пароля, чтобы они могли придумывать хорошо продуманные и запоминающиеся пароли, а не пароли, созданные спонтанно.

      <р>6. Пароли, используемые для привилегированного доступа, не должны совпадать с паролями, используемыми для непривилегированного доступа.

      <р>7. Доступ на уровне администратора к данным, компьютерам или сетям с ограниченным доступом должен позволять идентифицировать лицо, осуществляющее доступ, т.е. с помощью уникального идентификатора пользователя/пароля и повышенных разрешений вместо использования общей учетной записи администратора или root.

      <р>8. Сообщайте о возможных нарушениях безопасности паролей в Центр поддержки ITS.

      <р>9. ПРИМЕЧАНИЕ. Поставщикам услуг следует рассмотреть возможность использования служб управления идентификацией (IdM) UCSC, таких как Shibboleth, для аутентификации в своих приложениях. Дополнительную информацию см. на странице службы IdM в каталоге услуг ITS.


      V. Системные требования и стандарты

      <р>1. Там, где это возможно и применимо, приложения и системы должны быть настроены для обеспечения соблюдения этих стандартов паролей.

      <р>2. Новые системы и приложения должны поддерживать вышеуказанные стандарты надежности паролей.

      <р>3. Системы должны быть настроены для обеспечения безопасной передачи и хранения паролей.

      <р>4. Срок действия паролей, предоставляемых для первоначального доступа и сброса паролей, должен быть установлен на срок действия при первоначальном использовании, если это возможно.

      • Кроме того, срок действия первоначальных паролей должен быть установлен не более чем через 120 дней, а срок действия сброса пароля должен истекать через 72 часа, если это возможно, чтобы предотвратить несанкционированный доступ к учетной записи. Примечание. Это требование не подразумевает периодического истечения срока действия паролей. Вместо этого он предназначен для предотвращения неправильного использования начальных и временных паролей.
      <р>5. Все пароли по умолчанию для сетевых устройств должны быть изменены.

      <р>6. По возможности системы должны быть настроены таким образом, чтобы предотвратить повторную отправку ранее использованных паролей.


      VI. Получение помощи

      - Используйте CruzID Manager, чтобы изменить свой пароль CruzID Blue или Gold.

      - Обратитесь в Центр поддержки ITS, чтобы задать вопросы или оставить отзыв об этих Стандартах или сообщить о скомпрометированном пароле: itrequest.ucsc.edu, help@ucsc.edu, 459-HELP (4357).

      --------------------------------
      [1] Ссылки на этой странице на коммерческие веб-сайты не означает одобрения Калифорнийского университета или его филиалов.

      Сертификаты могут помочь специалистам по безопасности подтвердить свои базовые знания в области информационной безопасности. Рассмотрите возможность добавления этих лучших облачных средств безопасности .

      Изучите три основные проблемы безопасности при работе с несколькими арендаторами и способы их устранения, в том числе недостаточную видимость и превышение привилегий.

      Если ваша компания использует поставщика облачных баз данных, очень важно обеспечить максимальную безопасность. Ознакомьтесь с функциями безопасности .

      Cradlepoint и Extreme Networks объединят маршрутизаторы 5G первой компании с сетевой структурой второй для создания беспроводной глобальной сети 5G.

      Израильский стартап OneLayer запустился незаметно с начальным финансированием в размере 8,2 млн долларов США и программной платформой для защиты Интернета вещей.

      Российско-украинская война, которая затрагивает все, от инфляции до доступности чипов, оставила половину корпоративных технических лидеров.

      ИТ-руководители начали год с ветерком в спину, опираясь на инвестиции, сделанные во время пандемии, и вновь сосредоточившись на .

      Определения метавселенной различаются, как и прогнозы относительно того, когда она появится. Но умные ИТ-директора должны ознакомиться с .

      Компании, привлекающие украинских программистов, работают над переводом сотрудников, желающих переехать. Технологические компании в долгосрочной перспективе могут .

      ИТ-администраторам, рассматривающим возможность перехода на Windows 11, следует узнать, как функции версии Enterprise могут помочь их .

      Последняя сборка для разработчиков Windows 11 позволяет открывать несколько папок в приложении для управления файлами. Предполагается, что эта функция .

      Администраторам настольных компьютеров следует обратить внимание на собственные функции безопасности и архитектуру Windows 10, чтобы установить базовый уровень настольных компьютеров.

      Чтобы добиться высокой доступности и отказоустойчивости в AWS, ИТ-администраторы должны сначала понять различия между двумя моделями.

      Amazon ECS и EKS похожи, но их различий достаточно, чтобы выделить их для пользователей AWS. Узнайте, что лучше всего подходит для вашего .

      Новые дополнения к системам хранения, такие как гибкие блочные тома и высокая доступность для ZFS, делают облачную платформу Oracle более конкурентоспособной.

      Университет сотрудничает с Oracle в проведении исследований по наблюдению за цветущими фруктовыми деревьями весной

      Оператор мобильной связи добился самого значительного прироста клиентов с потребительскими контрактами с 2012 года и увеличения EBITDA на 10 % с постепенным увеличением.

      Внедрение систем EPR в организациях NHS поможет активизировать усилия по цифровой трансформации и является ключом к достижению результатов.

      ИЭУ

          • Состояние образованияДайджест статистики образованияПрогнозы статистики образованияТематические исследования
          • Национальная программа оценки образовательного прогресса (NAEP) для международной оценки компетенций взрослых (PIAAC)
          • Программа международной деятельности (IAP)
          • Продольное исследование раннего детства (ECLS)Национальное обследование образования домохозяйств (NHES)
          • Common Core of Data (CCD)Secondary Longitudinal Studies ProgramEducation Demographic and Geographic Estimates (EDGE)National Teacher and Principal Survey (NTPS)подробнее.
          • Программа библиотечной статистики
          • Бакалавриат и выше (B&B)Статистика профессионального/технического образования (CTES)Интегрированная система данных о высшем образовании (IPEDS)Национальное исследование помощи учащимся послесреднего образования (NPSAS)подробнее.
          • Общие стандарты данных в сфере образования (CEDS)Национальный форум по статистике образованияГосударственная программа грантов для систем продольных данных — (SLDS)подробнее.
          • Программа статистических стандартов Национального кооператива послесреднего образования (NPEC) для дистанционного обучения.
            • EDATDelta Cost ProjectIPEDS Data CenterКак подать заявку на лицензию с ограниченным использованием
            • Таблицы ASC-EDЛаборатория данныхЭлементарная вторичная информационная системаInternational Data ExplorerIPEDS Data CenterNAEP Data Explorer
            • Панель управления ACSCollege NavigatorЧастные школыГосударственные школьные округаГосударственные школыПоиск школ и колледжей
            • Профили штатов NAEP (nationsreportcard.gov)Поиск коллег по финансам округа государственных школЦентр статистики финансов образованияЦентр данных IPEDS
            • Инструмент вопросов NAEPИнструмент вопросов NAAL
            • Панель управления ACS-EDКарты ACS-EDКарта колледжаПоиск по регионуMapEdSAFEMapSchool and District Navigator
            • Инвентаризация библиографических данных
            • ОценкиРаннее детствоНачальное и среднее образованиеБиблиотекаПослешкольное образование и дополнительные ресурсы
            • Блог NCESЧто нового в NCESКонференции/обучениеНовостиFlashВозможности финансированияПресс-релизыStatChat
            • Поиск по публикациям и продуктамГодовые отчетыЛицензии на данные с ограниченным использованием
              Последние публикацииПо предметному указателю A-ZПо областям исследований и программДанные Продукты за последние 6 месяцев
            • О NCESCommissionerСвязаться с NCESStaffHelp

            Это действительно происходит!

            Ким осторожно подошла к Фреду. Как менеджер по безопасности, она знала, как важно полностью собрать информацию, прежде чем делать поспешные выводы. «Фред, мой просмотр наших компьютерных журналов показывает, что вы входили в систему и просматривали конфиденциальную информацию об учениках. Я не мог понять, почему кому-то из службы общественного питания нужно просматривать результаты тестов отдельных учеников, поэтому я подумал, что я зайди и спроси."

            Фред посмотрел на Ким так, словно был удивлен, что задал такой вопрос. "Вы забыли, что у меня есть доступ к студенческим записям?"

            "У вас есть доступ к определенным элементам, связанным с правом учащегося на бесплатные и льготные обеды", – пояснила Ким. "Это предел вашей потребности знать."

            "Я не знал, что мой доступ ограничен", – честно заявил Фред. "Я решил, что если мой пароль приведет меня к файлу, это будет честная игра."

            Ким сделал паузу, поняв, что для Фреда могло быть разумным предположить, что ему разрешено читать файл, если его пароль дает ему доступ. «Хм, я понимаю вашу точку зрения, Фред, но, по правде говоря, вы не должны получать доступ к информации об успеваемости, которая не связана с вашими законными образовательными обязанностями. На этот раз я не буду придавать этому большого значения, но от а теперь ограничьте просмотр информацией о бесплатных обедах и обедах по сниженным ценам. А пока я собираюсь разослать персоналу записку, напоминающую им, что на самом деле означает необходимость знать."


            Несомненно, организация имеет право защищать свои вычислительные и информационные ресурсы с помощью действий по обеспечению безопасности доступа пользователей, однако пользователи ( независимо от того, авторизованы они или нет) также имеют права. Необходимо приложить разумные усилия, чтобы информировать всех пользователей, даже незваных хакеров, о том, что система находится под наблюдением и что несанкционированная деятельность будет наказана и/или преследована в судебном порядке, если это будет сочтено целесообразным. Если такие усилия не будут предприняты, организация может фактически нарушать права на неприкосновенность частной жизни своих злоумышленников!

            В. Можно ли иметь безопасную систему, если у вас есть сотрудники, которые работают удаленно или работают по нестандартному графику?
            A. да. Хотя определенные контрмеры могут потребоваться скорректировать для соответствия нетрадиционным графикам (например, практика ограничения пользователей допустимым временем и местоположением входа в систему), система с удаленными сотрудниками, частыми путешественниками и другими пользователями удаленного доступа все еще может быть безопасной. Это может потребовать от разработчиков политики более творческого мышления, но каждое руководство по безопасности в любом случае должно быть адаптировано для удовлетворения потребностей организации (см. главу 2).

            В. Является ли использование паролей эффективной стратегией защиты системы?
            A. Тот факт, что системы паролей являются наиболее распространенной стратегией аутентификации, применяемой в настоящее время, не означает, что они стали менее эффективными. На самом деле причина их популярности именно в том, что они могут быть очень полезны для ограничения доступа к системе. Главной проблемой систем паролей является не их техническая целостность, а степень, в которой (как и многие стратегии) ​​они зависят от надлежащего применения пользователями. Хотя, безусловно, существуют более дорогие и даже эффективные способы ограничения доступа пользователей, если анализ рисков определяет, что система паролей отвечает потребностям организации и является наиболее рентабельной, вы можете быть уверены в защите паролей, пока пользователи правильно внедряют систему. -что, в свою очередь, требует соответствующей подготовки персонала (см. главу 10).

            Инициирование процедур безопасности также приносит пользу пользователям:

            1) помогает им защитить свои собственные файлы

            2) снижает вероятность неправомерного раскрытия конфиденциальной информации

            p>

            3) Информировать их о том, что считается и что не считается приемлемым поведением

              Намеренные действия (например, совместное использование учетных записей пользователей, взлом, спуфинг пользователей или выдача себя за других)

              Ограничьте доступ пользователей только к тем файлам, которые им необходимы для работы. Предоставление ненужного доступа значительно увеличивает риск без соответствующего увеличения выгоды. Зачем беспокоиться?

              Выберите систему аутентификации. Правильный выбор системы аутентификации зависит от потребностей организации и ее системы и должен основываться на результатах оценки рисков (см. главу 2). Обратите внимание, что следующие варианты переходят от наименее безопасных к наиболее безопасным, а также (что неудивительно) от наименее дорогих к наиболее дорогим:

              Что-то известное пользователю (например, пароль — см. ниже)

            Поскольку пароли являются наиболее распространенным методом аутентификации пользователей, они заслуживают особого внимания.

              Требовать, чтобы пароль состоял не менее чем из шести символов (хотя предпочтительнее от восьми до десяти). использование паролей, которые представляют собой слова, имена, даты или другие обычно ожидаемые форматы. использование паролей, которые отражают или идентифицируют владельца учетной записи (например, без дат рождения, инициалов или имен домашних животных). сочетание символов (например, буквы/цифры и верхний/нижний регистр, если система чувствительна к регистру).

              системному администратору изменить все предустановленные пароли, встроенные в программное обеспечение (например, супервизора, демо и root). требовать смены паролей через заданные промежутки времени (например, раз в месяц). нулевая терпимость к обмену паролями. незащищенное хранение личных паролей (напр., они не должны быть написаны на стикере Post-It™ и приклеены скотчем к боковой стороне монитора). отправить пароль в составе сообщения электронной почты. пользователям не вводить свой пароль, когда кто-то может наблюдать. (или иным образом неясным) отображение пароля на мониторе, когда пользователи вводят его. пользователи, что легко изменить пароль, если они думают, что их пароль мог быть скомпрометирован. зашифрованную историю паролей, чтобы убедиться, что пользователи не просто используют старые пароли, когда они должны их менять. рабочем месте, чтобы убедиться, что все правила соблюдаются.

            Это действительно происходит!

            Директор Маллинз был сторонником правил, но он также серьезно относился к выполнению работы. Когда через две недели после начала занятий он узнал, что ни один из трех его новых учителей еще не получил учетные записи в компьютерной сети из центрального офиса, он пришел в ярость. У них было достаточно поводов для беспокойства, и им не мешало оставаться в автономном режиме. Он позвал своего помощника: «Меня не волнует, запрещает политика безопасности совместное использование паролей или нет, этим людям нужно войти в систему. Пусть они используют мой пароль для входа — это «A4a6dc», понятно? что у них есть доступ ко всему, что им нужно для работы!"

            Прошло три недели, прежде чем системный администратор отправил письмо директору Маллинзу по электронной почте о явном неправильном использовании его пароля: «Системные журналы почти ежедневно показывают случаи, когда несколько человек одновременно пытаются войти в систему с вашим паролем. Пожалуйста, немедленно измените пароль и дайте мне знать, если у вас есть какие-либо идеи о том, кто его использует не по назначению."


            Не забудьте настроить контрмеры в соответствии с потребностями организации и пользователей.


            Некоторые злоумышленники используют «словари паролей», которые в буквальном смысле пытаются сопоставлять пароли по одному слову в течение тысяч и тысяч попыток!

              Ограничьте пользователям допустимое время входа в систему: у среднего сотрудника дневной смены нет причин получать доступ к системе посреди ночи.

            Политика Службы информационных технологий (ITS) предусматривает, что пароли, используемые для доступа к вычислительным системам в Lafayette, должны быть надежными. ITS настоятельно рекомендует использовать надежные пароли для всех других вычислительных систем.

            Надежный пароль – это более безопасный пароль, поскольку его сложно подобрать машине или человеку. Надежность пароля может быть достигнута за счет включения следующих характеристик; чем больше характеристик вы включите в свой пароль, тем надежнее он будет.

            Характеристики надежных паролей

            Надежный пароль трудно угадать, но вам должно быть легко его запомнить — пароль, который нужно записать, ненадежен, независимо от того, сколько из вышеперечисленных характеристик используется.

            Хотя все системы, использующие Lafayette NetID и пароль для аутентификации, поддерживают пароль с указанными выше характеристиками, обратите внимание, что другие системы могут не поддерживать столь же надежные пароли. Например, система может не распознавать регистр, иметь ограничение на количество символов или не разрешать использование специальных символов. ITS рекомендует, чтобы в таких ситуациях пользователи использовали столько надежных паролей, сколько позволяет система.

            Примеры слабых паролей

            • Любое слово, которое можно найти в словаре на любом языке (например, "самолет" или аэроплано).
            • Словарь, в котором некоторые буквы просто заменены цифрами (например, a1rplan3 или aer0plan0).
            • Повторяющийся символ или последовательность символов (например, AAAAA или 12345).
            • Последовательность символов клавиатуры (например, qwerty или poiuy).
            • Личная информация (например, дни рождения, имена домашних животных или друзей, номер социального страхования, адреса).
            • Все, что записано и хранится где-то рядом с вашим компьютером.

            Советы по обеспечению безопасности вашего пароля

            • Меняйте его регулярно — раз в три-шесть месяцев.
            • Измените его, если у вас есть малейшее подозрение, что пароль стал известен человеку или машине.
            • Никогда не используйте его для других веб-сайтов.
            • Не вводите его на компьютерах, которым вы не доверяете; например, в интернет-кафе.
            • Никогда не сохраняйте его для веб-формы на компьютере, которым вы не управляете или который используется более чем одним человеком.
            • Никогда и никому об этом не говорите.
            • Никогда не записывайте это.

            Советы по созданию надежного пароля

            Придумайте слово или фразу, а затем замените буквы цифрами и специальными символами и смешайте регистр. Например:

            Придумайте слово и число, затем смешайте их и смешайте регистр. Например, название вашей начальной школы (Main Street Elementary) и месяц и год рождения вашего питомца (12/96) становятся m1A2/i9n6

            Читайте также: