ГОСТ Р ИСО/МЭК 27002-2012
подтверждения подлинности личности. Сочетание различных технологий и механизмов,
связанных безопасным способом, обеспечивает более надежную аутентификацию.
11.5.3 Система управления паролями
Мера и средство контроля и управления
Системыуправленияпаролями должныбыть интерактивнымии должны
обеспечивать уверенность в качестве паролей.
Рекомендация по реализации
Система управления паролями должна:
a) предписыватьиспользованиеиндивидуальныхпользовательских
идентификаторов и паролей с целью установления персональной ответственности;
b
) позволять пользователям выбирать и изменять свои пароли, и включать
процедуру подтверждения ошибок ввода;
c) предписывать использование качественных паролей (см. 11.3.1);
d) принуждать к изменению паролей (см. 11.3.1);
e) заставлять пользователей изменять временные пароли при первом начале
сеанса (см. 11.2.3);
1) вести учет предыдущих пользовательских паролей и предотвращать их
повторное использование;
д) не отображать пароли на экране при их вводе;
h) хранить файлы паролей отдельно от данных прикладных систем;
i) хранить и передавать пароли в защищенной (например зашифрованной или
хешированной) форме.
Дополнительная информация
Пароли являются одним из главных средств подтвержденияполномочий
пользователя, осуществляющего доступ к сервисам компьютера.
Некоторые прикладные программы требуют, чтобы пользовательские пароли
назначались независимым органом; в таких случаях перечисления b), d) и е) приведенных
выше рекомендаций не применяются. В большинстве же случаев, пароли выбираются и
поддерживаютсяпользователями.Смотритерекомендациипоиспользованию
паролей в 11.3.1.
117