CERT, Rekomendacje techniczne dla systemów uwierzytelniania
Rekomendacje techniczne dla systemów uwierzytelniania
Poniższy dokument skierowany jest do administratorów, twórców i projektantów systemów informatycznych wymagających kontroli dostępu użytkowników i pozwalających na uwierzytelnienie z użyciem hasła.
CERT Polska rekomenduje następujące zasady dla systemu uwierzytelniającego użytkownika:
POWINIEN stosować bezpieczny algorytm hashujący do przechowywania haseł1
NIE POWINIEN wymuszać okresowej zmiany haseł użytkowników2
NIE POWINIEN pozwalać na ustawienie hasła znajdującego się na liście słabych/często używanych haseł3
NIE POWINIEN pozwalać na ustawienie hasła zawierającego przewidywalne człony (np. nazwa firmy, usługi)
POWINIEN ustalać minimalną długość hasła na co najmniej 12 znaków
POWINIEN pozwalać na ustawienie hasła o długości co najmniej do 64 znaków
NIE POWINIEN wymagać dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr czy dużych liter
POWINIEN wymuszać zmianę hasła jeśli potwierdzono, bądź zachodzi podejrzenie, że aktualne hasło zostało przejęte lub upublicznione
POWINIEN podawać...
Pełna treść dostępna po zalogowaniu do LEX