资讯科技密码标准
概述
本标准解决了大学账户的认证要求,以确保机密性, 完整性, 以及大学数据和技术资源的可用性. 不同的需求反映了采用多因素身份验证(MFA)的当前缓解措施以及已知风险.
政策参考
范围
这些标准为所有大学教员建立了密码要求, 工作人员, 学生, 附属机构访问, 存储, 处理UI数据或使用任何数据分类级别的UI技术资源. 生效日期:2019年4月16日.
标准
- 个人帐户的长度和到期标准
- 低风险(例如). 学生)密码长度和有效期要求:
身份验证因素 最小字符 过期 仅与Duo Mobile或硬件因素有关 12个字符 不定 支持所有MFA类型 12个字符 400天 - 中度风险(例如.大多数学院 & 员工)密码长度和有效期要求:
身份验证因素 最小字符 过期 仅与Duo Mobile或硬件因素有关 12个字符 不定 支持所有MFA类型 12个字符 400天 - 高风险密码的长度和有效期要求:
身份验证因素 最小字符 过期 仅与Duo Mobile或硬件因素有关 12个字符 1095天 支持所有MFA类型 12个字符 90天
- 低风险(例如). 学生)密码长度和有效期要求:
- 共享/功能/特权帐户的长度和过期时间
- 共享账户密码长度和有效期要求:
风险 身份验证因素 最小字符 过期 低 仅与Duo Mobile或硬件因素有关 12个字符 不定 低 支持所有MFA类型 12个字符 400天 中度或高度 仅与Duo Mobile或硬件因素有关 12个字符 1095天 中度或高度 支持所有MFA类型 12个字符 90天 - 功能账号密码长度和有效期要求:
风险 身份验证因素 最小字符 过期 任何 仅与Duo Mobile或硬件因素有关 30个字符 1825天 任何 MFA阻塞 30个字符 1825天 - 特权帐户密码的长度和有效期要求:
风险 身份验证因素 最小字符 过期 高 与Duo移动或硬件因素仅,或MFA阻塞 12个字符 400天
- 共享账户密码长度和有效期要求:
- 密码老化、历史记录和字典要求
- 新密码可能会在修改后立即被修改.
- 密码历史记录,或限制重用以前的密码:
系统必须配置为防止重复使用至少最后24个密码. 哪里的系统不支持这个, 该系统必须经过ITS安全办公室的审查和批准,并适当减轻任何已识别的风险. - 词典要求:
- 对于受MFA保护的单个UI密码,不再需要对密码进行标准字典检查.
- 哪些系统支持这种使用, 必须检查已知的坏密码字典,以防止使用易受影响的密码.
- 系统的多因素身份验证需求
系统 所需的其他身份验证因素 高的风险 是的 适度的风险 是的,密码暴露在互联网上 低风险 由系统所有者自行决定 - 当前支持的硬件因素
- 由ITS提供和分配的热协议令牌,包括由Duo或飞天品牌的令牌
- Duo支持的通用第二因素(U2F)令牌,包括Yubikeys
- 移动设备, 包括访问或处理UI数据的手机和平板电脑, 或对中高风险UI数据提供本地认证, 需要强制使用个人识别码和/或生物识别验证器吗
- 移动设备密码/PIN码标准应为:
- 至少6个数字或字符
- 不允许重复或顺序pin (i.e.、123456、999999等.)
- 在多次错误的身份验证尝试后自动锁定或擦除
- ITS需要使用ITS管理的应用程序保护, 或移动设备管理,以确保用户界面数据的安全性,并满足此要求和其他要求, 数据在中等或高级分类级别进行处理.
- 哪些手提电脑已配置资讯科技署认可的生物识别认证, 它们还应符合ITS移动设备的PIN认证标准.
- 经批准的生物识别技术包括但不限于:
- 苹果面部识别或指纹
- 微软Hello面部ID或指纹,包括方便的PIN
- Android生物识别技术
- 移动设备密码/PIN码标准应为:
其他参考资料
- NIST sp800 - 171 (2016年1月)
- NIST SP800-53r4 (2013年4月)
- 顺式控制 version 7
定义*
特权帐户 | 用于提高对系统或数据的访问权限的个人帐户, 其中可能包括对访问权限进行更改的权限, 角色, 安全配置, 或其他用户的非公开数据. (APM 30.10) |
个人帐户 | 分配给单个个人的主要帐户,用于访问技术资源, 包括交互式登录到计算机, 电子邮件, VPN, 横幅, 或其他大学资源. (APM 30.10) |
功能的账户 | 由应用程序和进程使用,而不是由最终用户交互使用的帐户. (APM 30.10) |
共享账户 | 多个用户知道密码或以其他方式使用该帐户进行交互式登录时使用或共享的帐户. (APM 30.10) |
远程访问 | 访问通过外部网络(Internet)通信的信息系统 |
本地访问 | 直接访问信息系统,而不是通过网络 |
多因素身份验证 | 两个或多个因素来实现身份验证, including something you know (password); something you have (cryptographic device, hardware or software token); or something you are (biometric) |
安全功能 | 信息系统的硬件和软件,负责执行系统安全控制或策略,并支持代码和数据的隔离 |
*如需进一步说明,请参考APM或NIST sp800 - 171.
标准的主人
UI信息技术服务(ITS)负责这些标准的内容和管理.
修订历史
版本 | 作者(年代) | 日期 | 笔记 |
---|---|---|---|
V1 | M. 公园、维. 米勒,维. 雅各 | 3/6/19 | 标准文件原件. |