Какова периодичность смены личных клавиатурных паролей. Парольная защита. Инструкция по организации. Требования к паролям

Доброго времени суток, дорогие друзья, знакомые, читатели, почитатели и прочие личности. Сегодня кратко поговорим, как Вы поняли из заголовка, как часто менять пароли и почему стоит это делать.

Как показывает практика, смена паролей на большинстве важных для Вас ресурсов - это вещь весьма полезная и, пусть и не очень часто, но всё таки позволяет спасти Важную для Вас информацию и собственные аккаунты.

Сию процедуру замены, по частоте, стоит проводить в засимости от того насколько защищены компьютеры, с которых Вы пользуетесь теми или иными запароленными ресурсами, причем речь идет не только об антивирусах и фаерволах, но и многом другом.

Например, приватности компьютера (у меня на работе пользователи зачастую забывают жать банально кнопку "Выход " из аккаунта, скажем, ), т.е о количестве человек, которые пользуются этим самым компьютером\ами.

Так как часто менять пароли? Почему?

Оптимальная частота смены пароля составляет, в среднем раз в 1 (тридцать календарных дней) месяц для критических для Вас сервисов, вроде почты, электронных кошельков, банк-клиентов и тому подобного.

Реже, собственно, допустимо менять пароль для всех остальных сервисов при учете, что он не совпадает с какими-либо еще. В идеальном случае у Вас должны быть разные пары логинов-паролей везде или хотя бы ни один пароль, ни в один из моментов времени, не должен совпадать с другим.

С чем это связано? Как минимум с тем, что Вы не знаете (в большинстве случаев) и не можете (большинство пользователей) не то что знать, кто именно из программ, как и когда украдет Ваш пароль, но и не в силах контролировать утечку пароля со стороны сайта, где Вы зарегистрированы. Поэтому вопрос как часто менять пароли как-никогда актуален в наше время.

Послесловие

Как упростить себе задачу? Попробуйте использовать генераторы и хранилища паролей, вроде , и им подобным, а так же, крайне желательно, - никогда не храните пароль на бумажке в легкодоступном месте, особенно, если пароль от, повторюсь, важного Вам сервиса или, тем более, от работы.

В двух словах как-то оно вот так. Как и всегда, если есть какие-то вопросы, мысли, дополнения и прочее, то Вы можете оставить их в комментариях к этой статье. Ну и, да, можете рассказать как часто менять пароли на Ваш взгляд.

Приветствую Вас на своем блоге!
В целях безопасности на некоторых предприятиях у каждого пользователя есть свой пароль для входа в систему и этот пароль должен меняться через определенное время на новый. И как правило он не должен повторяться с последними пяти паролями. Когда я работал на одном из таких предприятий, у меня тоже был пароль для входа в систему для работы с определенными программами.

Но пароль можно установить и не на корпоративный компьютер, а на личный, если вы хотите, чтобы посторонние не смогли зайти в вашу систему без вашего ведома. И если вы хотите, чтобы защита вашего компьютера была надежной, то его нужно периодически менять на новый. Так будет сложнее подобрать его злоумышленникам.
В этой статье я хочу дать совет, как включить напоминание о смене пароля в Windows, чтобы вы не забыли его вовремя изменить.

Сначала нужно отменить в настройках вашей учетной записи, неограниченный срок действия пароля. Для этого нужно открыть окно “Управление компьютером”. Сделать это можно с помощью меню .

Пожалуй, не секрет, что начинающие пользователи персональных компьютеров используют один и тот же пароль для большинства своих аккаунтов в сети, для защиты учетной записи и др. Это одна из самых больших ошибок, так как злоумышленники могут скомпрометировать его и, разумеется, воспользоваться им. В связи с этим, пользователи персональных компьютеров должны задумываться о том, чтобы всегда устанавливать (или хотя бы стараться) разные пароли на учетные записи, аккаунты в интернете и т.д. Кроме того, одна из теорий, подтвержденных на практике уже не один раз гласит, что пароль периодически нужно менять. Периодическая смена паролей позволит еще лучше защитить компьютер и конфиденциальную информацию на нем, а кроме того, это усложнит процесс взлома злоумышленникам, так как старая информация, которая возможно, была ими найдена уже не будет актуальной.

Периодическая смена паролей

Периодическую смену паролей сегодня запрашивают далеко не все службы, программы или сайты. В большинстве своем, это присуще различным интернет-кошелькам (например, Киви или Яндекс.Деньги). Вряд ли кто-либо из пользователе подобных ресурсов и, соответственно, электронных денег желает, чтобы его средствами воспользовались какие-то третьи лица. В связи с этим многие владельцы таких кошельков просто соглашаются на регулярную замену паролей. В настройках системы пользователь может изменить дату замены пароля. Например, она может потребовать через месяц, три месяца, пол года, год или вообще ее можно отключить.

Стоит отметить еще один немаловажный нюанс, который заключается в том, что злоумышленники в основном пользуются брутфорсом (один из методов взлома), а в том случае, если пользователь не менял пароль на каком-то аккаунте уже продолжительное время, то сделать это можно будет очень легко.

Как составить пароль и как часто его нужно менять?

Если пользователь все же беспокоится о том, что его пароль может быть скомпрометирован, то лучше всего его менять раз в две недели (самый оптимальный вариант). Разумеется, пароль не должен состоять только из фамилии, имени, даты рождения или еще чего-либо, что могут знать многие люди. Пароль надо придумывать сложный, который будет содержать в себе как цифры, так и буквы и при этом, его длина должна составлять не менее 10 символов. Такой пароль можно менять реже, например, раз в месяц или два, но даже в таком случае вероятность взлома или подбора пароля будет оставаться. Стоит отметить, что еще желательно удалять все куки, историю и журналы в настройках браузера. Это тоже позволит увеличить безопасность персонального компьютера пользователя.

Инструкция по организации парольной защиты

1. Общие положения

1.1 Настоящая инструкция устанавливает порядок и правила генерации, использования паролей в информационных системах организации.

1.2 Требования настоящей инструкции распространяются на всех сотрудников организации.

1.3 Бесконтрольность в определении и использовании паролей может повлечь риск несанкционированного доступа к информации организации, повлечь мошеннические и другие действия информационных системах, которые могут нанести материальный вред и ущерб репутации организации.

2. Требования к паролям

2.1 Пароли не должны основываться на каком-либо одном слове, выданном идентификаторе, имени, кличке, паспортных данных, номерах страховок и т.д.

2.2 Пароли не должны основываться на типовых шаблонах и идущих подряд на клавиатуре или в алфавите символов, например, таких, как: qwerty, 1234567, abcdefgh и т.д.

2.3 Пароли должны содержать символы как минимум из трех следующих групп:

• Строчные латинские буквы: abcd...xyz;
• Прописные латинские буквы: ABCD...XYZ;
• Цифры: 123...90;
• Специальные символы: !%() _+ и т.д.

2.4 Требования к длине пароля:

• Для обычных пользователей ‑ не менее 8 символов;
• Для администраторов (локального\доменного ) ‑ не менее 15 символов;
• Для сервисных идентификаторов, разделяемых ключей (shared keys ) ‑ не менее 14 символов;
• Для SNMP Community Strings — не менее 10 символов.

2.5 Периодичность смены пароля:

• Административные – каждые 60 дней;
• Пользовательские– каждые 90 дней;
• Сервисные – не реже двух раз в год;
• Shared keys SNMP Community Strings — не реже одного раза в год.

2.6 Пароли не должны храниться и передаваться в незашифрованном виде по публичным сетям (локальная вычислительная сеть, интернет, электронная почта ).

2.7 . В ходе работы не должны использоваться встроенные идентификаторы. Для них должны быть назначены пароли, отличные от установленных производителем. К ним предъявляются требования, аналогичные требованиям к сервисным паролям.

2.8 Пароли нельзя записывать на бумагу, в память телефона и т.д. Нельзя сообщать, передавать кому-либо пароль.

2.9 Хеши паролей должны проверяться в ходе внутреннего аудита администратором информационной безопасности не реже двух раз в год с помощью типовых атак на подбор.

Возможна также проверка соответствия пароля требованиям данной инструкции в присутствии пользователя: пользователь называет свой пароль, а проверяющий осуществляет ввод пароля и его проверку. После такой проверки требуется обязательная и немедленная смена пароля.

2.10 Пароли сервисных идентификаторов должны входить в процедуру управления паролями УА, включающую хранение их в защищенном месте, разделение секрета, периодическую смену (1 раз в год ).

3. Требования к настройкам безопасности информационных систем

3.1 Учетная запись должна блокироваться после 5 неверных попыток доступа не менее, чем на 15 минут.

3.2 Запрещается использовать функции «Запомнить пароль » в любом программном обеспечении.

4. Требования к паролям сервисных учетных записей

4.1 Пароли для сервисных учетных записей должны формироваться ответственным за сервисную учетную запись и администратором информационной безопасности.

4.2 Длина каждой половины пароля должна быть не меньше 7 символов, сложность пароля указана в п.2.3. Перед запечатыванием конверта, обязательно проверить правильность смены пароля в информационной системе, делая соответствующую запись в журнале.

4.3 Пароль должен меняться не реже двух раз в год, или немедленно в случае увольнения или смены полномочий одного или двух ответственных за формирование пароля.

4.4 Каждая половина пароля сохраняется в отдельном конверте, исключающем возможность увидеть пароль через конверт, например, путем просвечивания конверта ярким светом. Конверты хранятся в сейфе начальника УА.

4.5 Каждая генерация\смена\вскрытие пароля или конверта должна обязательно формироваться соответствующей записью в журнале.

4.6 Администратор информационной безопасности, должен ежемесячно проверять наличие конвертов, целостность.

4.7 Вскрытие конвертов может произвести:

• ответственный за информационную систему;
• администратор информационной безопасности;
• Начальник УА

4.8 Конверты вскрываются одним лицом, с последующей регистрацией в журнале, при этом обязательно информирование администратора информационной безопасности с использованием почтовой рассылки.

4.9 В случае вскрытия\использования конвертов, по окончании выполнения работ необходимо произвести работы по созданию нового пароля с п.4.1

4.10 Администраторы оказывают помощь и содействия администратору информационной безопасности при проведении аудитов, управление сервисными, административными паролями, shared keys и SNMP Community Strings, включая генерацию паролей, их изменение и хранение в безопасном месте, а также настройку информационных систем для соблюдения данных требований.

4.11 Администратор по информационной безопасности несёт осуществляет аудит требований данной политики, разрабатывает процедур управления идентификаторами.

4.12 Пользователи информационных ресурсов обязаны соблюдать требования данной Инструкции при выборе пароля и работе с ним.

5. Ответственность

5.1 Виновные в нарушении условий настоящей Инструкции несут ответственность в соответствии с законодательством Российской Федерации, трудовым договором, должностной инструкцией.

6. Заключительные положения

6.1 Общий текущий контроль исполнения настоящей инструкции осуществляет АИБ.

6.2 АИБ поддерживает настоящую инструкцию в актуальном состоянии.

6.3 Изменения и дополнения в настоящую инструкцию утверждаются директором организации.

6.4 Инструкция вступает в силу с момента утверждения директором организации.

Скачать ZIP файл (17633)

Пригодились документы - поставь «лайк»: