9.3用戶責任

9.3用戶責任

9.3.1秘密鑒別信息的使用

控制
宜要求用戶遵循組織在使用秘密鑒別信息時的慣例。
實現指南
宜建議所有用戶：
a) 保持秘密鑒別信息的保密性，確保其不被泄露至任何其他方，包括職能機構的人員；
b) 避免保留秘密鑒別信息的記錄（例如在紙上、軟件文件中或手持設備中），除非可以對其進行安全地存儲及存儲方法得到批準（如口令庫）；
c) 一旦有跡象表明秘密鑒別信息可能受到損害時，就對其進行變更；
d) 當使用口令作為秘密鑒別信息時，宜選擇具有最小長度的優質口令，這些口令：
1) 易于記憶；
2) 不能基于別人容易猜測或獲得的與使用人相關的信息，例如，名字、電話號碼和生日等等；
3) 不容易遭受字典攻擊（即，不是由字典中的詞所組成的）；
4) 避免使用連續相同的，全數字的或全字母的字符。
5) 如果是臨時的口令，在第一次登陸時要修改。
e) 個人用戶的秘密鑒別信息不要共享；
f) 當口令作為秘密鑒別信息在自動登錄規程中使用和存儲時，確保其得到適當保護；
g) 業務用途和非業務用途使用不同的秘密鑒別信息。
其他信息