Site Overlay

Criteri password

By Arif Akyüz

Criteri password

cropped 2
arifakyuz

Che aspetto dovrebbe avere una politica per le password complesse?

1. La lunghezza della password per gli utenti finali deve essere di almeno 10 caratteri.
2. La lunghezza della password per gli account amministratore deve essere di almeno 14 caratteri.
3. La lunghezza della password per gli account di sistema e di servizio deve essere di almeno 20 caratteri.

4. I caratteri della password devono essere composti da almeno un numero,
una lettera maiuscola e una minuscola.
• Deve contenere almeno tre dei seguenti caratteri;
• Lettere maiuscole, (es. ABCDEFG…)
• Lettere minuscole, (ad esempio, abcdefg…)
• Numero, (ad es. 1234567890)
• Punteggiatura (ad es. !?.,, ecc.)
• Caratteri speciali (ad esempio @#$%^&*()_+|~-='{}[]:";'<>/, ecc.)

5. Non deve contenere informazioni personali • Nomi
di familiari, nome dell'azienda, date di nascita, numero di telefono o informazioni sull'indirizzo • Stringhe di
parole o numeri non devono
essere utilizzate. (ad esempio aaabbb, qwerty, zyxwvuts, 12345678,123321,
ecc.)

6. Tutte le password a livello di sistema (ad esempio: root, administrator, enable, ecc.) devono essere modificate entro e non oltre una volta ogni 90 giorni.
• Tutte le password a livello utente (ad es. e-mail, web, desktop, applicazioni, ecc.) devono essere modificate entro e non oltre una volta ogni 90 giorni.
• Gli amministratori di sistema devono utilizzare password diverse per ogni sistema.
• Le password non devono essere allegate a messaggi di posta elettronica o moduli elettronici.
• Le password non devono essere memorizzate scrivendole da nessuna parte.
• Le password devono contenere caratteristiche complesse (ad esempio, lunghezza della password, variazione dei caratteri, espressioni non da dizionario,
ecc.).
• Anche le password degli account utente aperti per le persone esterne che non sono dipendenti dell'istituzione dovrebbero avere una struttura forte che non può essere facilmente
decifrata.

7. Considerazioni
sulla creazione della password Le password devono essere libere dalla struttura "password debole" descritta di seguito e devono essere conformi alla struttura "password complessa".

Password deboli
Le password deboli hanno le seguenti caratteristiche e gli utenti dovrebbero evitare
di scegliere le password da tali funzionalità.
● Le password hanno 6 o meno caratteri.
● Le password hanno un valore comune come segue.
● Non
composto da lettere e numeri complessità ● Formato da parole nella
parola ● Terminologia informatica ecc. Nomi: comandi, siti, aziende, hardware, software, ecc.
● Nomi speciali come "Arif", "Istanbul", "ankara".
● Informazioni personali come data di nascita, indirizzo e numeri di telefono.
● Lettere o numeri sequenziali come aaabbb, qwerty, zyxwuts, 123321, ecc.
● Il modo in cui qualsiasi parola sopra è scritta indietro.
● Seguendo qualsiasi parola sopra con numeri (esempio, hidden1, hidden2).

8. Le password complesse hanno le seguenti caratteristiche e gli utenti devono seguire questi tipi di regole per le password: ● Avere caratteri minuscoli e maiuscoli (ad esempio, a-z,
A-Z) ● Sia i caratteri numerici che quelli di punteggiatura hanno caratteri speciali nascosti. (0-9, !@#$%^&*()_+|~- ='{}[]:";'<>?,./) c) Non deve appartenere alle informazioni del vocabolario come i nomi dei dizionari. d) Le password non devono essere scritte o conservate elettronicamente. Quando si scelgono password complesse, è necessario creare password che possano essere facilmente ricordate senza digitarle da nessuna parte. Ad esempio; "Il nostro primo obiettivo di qualità è garantire la soddisfazione del cliente!" può essere sotto forma di "1Kh, MmS!" o dei suoi derivati. e) La politica delle password, che deve essere utilizzata all'interno dell'istituzione, è costituita da password che contengono almeno una lettera maiuscola, almeno una lettera minuscola e almeno un carattere numerico composto da un minimo di 8 caratteri.
Attenzione: non utilizzare nessuno degli esempi precedenti come password.

9. Protezione con password Tutti gli utenti devono seguire rigorosamente le seguenti regole.
● Le password utilizzate all'interno dell'istituzione non devono essere utilizzate in alcun modo al di fuori dell'istituzione.
(ad es. password di accesso a Internet, servizi bancari o altri luoghi).
● Password diverse devono essere utilizzate per sistemi diversi. Esempio: password diverse per i sistemi Unix,
password diverse per i sistemi Windows.
● Le password utilizzate all'interno dell'istituzione non devono essere condivise con nessuno. Tutte le password devono essere considerate informazioni private appartenenti all'istituzione
.
● Nessuna persona deve condividere la propria password verbalmente o per iscritto al telefono.
● Nessuna password, incluso il senior manager, dovrebbe essere comunicata a nessuno.
● Le password non dovrebbero essere discusse di fronte ad altri.
● I nomi dei membri della famiglia non devono essere utilizzati come password.
● Nessuna password deve essere specificata su qualsiasi modulo.
● Le password non devono essere condivise con i membri della famiglia.
● Le password non dovrebbero essere dette ai colleghi quando sono lontani dal lavoro.
● Le funzionalità di "Promemoria password" nelle applicazioni non devono essere selezionate come password. (esempio: Outlook,
Internet Explorer, ecc.)