目的
此标准确定了保护密歇根州所需的最低密码要求 科技的数据和系统。大学设备和系统使用密码以方便 身份验证,即帮助确保该人是他们所说的人。的 大学数据的安全高度依赖于保密性和特征 的密码。密码泄露可能导致数据丢失、拒绝服务 对于其他用户,或从受感染的计算机针对其他互联网用户的攻击。 密码泄露还可能导致私人数据的不当泄露 例如私人学生数据、研究参与者数据和私人员工数据。
范围
这些标准适用于连接到大学的所有电子设备和系统 网络,包括计算机、网络交换机和路由器、个人数字助理 设备、笔记本电脑、密码验证软件等
标准
以下标准规定了任何大学密码的最低要求 信息技术 (IT) 资源:
- 密码的最小长度必须为 12 个字符或系统规定的最大长度 如果系统的最大密码长度小于 12 个字符,则支持。
- 密码必须满足 4 项质量要求中的至少 3 项:
- 至少 1 个小写字母
- 至少 1 个大写字母
- 至少 1 个数字
- 至少 1 个特殊字符。不允许的字符是星号 (*)、百分号 (%)、与号 (&) 和分号 (;)。
- 用户必须选择难以猜测的唯一密码。密码不得:
- 包含用户的名字、中间名、姓氏或用户名
- 基于单个字典单词
- 包含超过 2 个重复字符(例如 Mmmmmm1、Ab7777777 等)
- 与去年使用过的密码重复
- 与其他用户共享
- 敏感 IT 系统上的密码必须至少每 90 天更改一次。
- 初始密码必须是唯一的,并通过安全方式提供并更改 首次登录时。
- 连续多次登录尝试失败(例如密码错误) 用户的帐户可能会被自动锁定。用户可能需要联系 帐户解锁帮助台或帐户可能在一段时间后自动解锁 的时间
- 切勿将密码写下来并放在显眼的地方。如果必须输入密码 写下来,应将其存储在安全的位置。
- 密码绝不能以明文形式以电子方式存储。密码管理器应该 用于安全地以电子方式存储密码。
- 用户在使用完应用程序后必须注销它们。
- 用户离开工作站时必须保护工作站的安全。设备将受到影响 10 分钟后因不活动而锁定。
- 用户只能在足球比赛结果系统中使用其足球比赛结果 ID 和密码 和服务。用户应为外部服务创建不同的用户名和密码 例如个人电子邮件、银行、在线商店、个人拥有的计算机或其他 系统。
- 用户必须联系 IT 帮助台来报告可疑的密码泄露。
- 如果用户怀疑密码已被泄露,则必须更改密码。
远程访问用户
远程访问信息技术资源(交换机、路由器、计算机等) 以及敏感或机密信息(社会安全号码、信用卡号码) 号码、银行帐号等)仅允许通过安全、经过身份验证的方式 和集中管理的访问方法。
相关信息
对密码要求的遵守情况将作为正常大学审核的一部分进行审查 程序。密歇根理工学院保留暂停帐户持有人访问的权利 维护大学网络的机密性、完整性和可用性, 如果发现不合规的系统或信息。
文档结束。
修订版 08/04/21