سياسة كلمة السر أو المرور
كلمة السر عنصر أساسي في أمن المعلومات، تُستخدم لإثبات الهوية وحماية البيانات والأنظمة. تُستخدم في مصادقة مستخدمي الأنظمة والتطبيقات، وتتطلب كلمات سر قوية ومشفرة لضمان الأمان وعدم التوقع.
-
-
الكاتب: الهيئة الوطنية لأمن وسلامة المعلومات
-
نوع المستند: سياسات, سياسات المستخدم
-
نوع المورد: إرشادي
-
سياسة كلمة السر أو المرور
المحتويات
الغرض من السياسة
الغرض من هذه السياسة هو تحديد سياسات وإجراءات كلمة السر/المرور لتقديم أفضل مستوى للخدمة مع أعلى درجات الحماية والخصوصية للمستخدمين.
النطاق
تسري هذه السياسة على جميع الموظفين في (جهة العمل) وتطبق على جميع كلمات المرور المستخدمة على كافة الأجهزة وملحقاتها والخدمات المرتبطة بها والأنظمة وفي جميع التطبيقات التي تعد جزءًا من شبكة (جهة العمل) التي توفر الوصول إلى بيانات (جهة العمل) المملوكة.
السياسة
- فرض كلمة مرور قوية
يجب أن تكون كلمة المرور قوية وألا تتضمن في تركيبها الكلمات التي يسهل على الأخرين إيجادها، وذلك وفق الآتي:
- يجب استخدام توليفة من الأحرف الكبيرة والصغيرة، مع أرقام، ورموز أو علامات الترقيم قدر الإمكان عند اختيارك لكلمة السر/المرور.
- لا يجب استخدام كلمات سر رائجة والتي يمكن التكهن بها بسهولة، كالأسماء وتاريخ الميلاد أو أرقام الهواتف.
- يجب ألا يقل عدد رموز كلمة السر/المرور عن 12 رمزاً.
- لا يجب استعمال اسم المستخدم في كلمة السر.
- لا يجب استخدام أرقاماً أو حروف متكررة مثل (3333 أو AAAA).
- في حالة اختيار كلمة تقليدية يفضل خلط حروفها بحيث لا تعطي معني متعارف عليه.
- يفضل أن تكون كلمة المرور “جملة مرور” لا يفهمها ألا المستخدم، مُكونة من تركيبة الأحرف والأرقام والرموز.
- تطبيق ضوابط صارمة على كلمات المرور على مستوى النظام وكلمة مرور الحسابات المشتركة.
- يجب تخزين كلمة المرور بطريقة آمنة تضمن عدم كشفها
- يجب التعامل مع جميع كلمات المرور في (جهة العمل) على أنها بيانات سرية.
- لا يحتفظ بكلمات المرور كنص عادي يمكن قراءته، وإنما يتم حفظ كلمات السر على شكل نص مشفر لا يمكن فكه أو استخدامه من الشخص المخول.
- يجب ألا يتم تخزين كلمات المرور على أنظمة الكمبيوتر في شكل غير محمي.
- كلمات المرور للأنظمة (جذر النظام/مسؤول النظام Root/Administrator) يجب أن تخزن باستعمال برمجيات حفظ كلمات المرور بطريقة مشفرة.
- يجب ضمان عدم تفعيل خاصية حفظ كلمة المرور في المتصفح وإدخال البيانات في كل مرة من جديد.
- الحفاظ على سرية كلمات المرور
يجب عدم مشاركة أو كشف كلمة المرور مع أي شخص لأي سبب من الأسباب:
- يجب عدم أفشاء كلمة المرور وعدم كتابتها بطريقة صريحة مما يجعلها عرضة للاطلاع أو حتى التلميح عن تركيبتها، إلا في حالةِ الضرورةِ القصوى ويجب تغييرها بعد الكشف عنها.
- يجب أخد الحذر من الأشخاص المتطفلين عند طباعة لكلمة السر/المرور أثناء عملية الولوج.
- يمنع إرسال كلمة المرور عبر البريد الإلكتروني أو من خلال أي وسيلة عبر الأنترنت.
- يجب تغيير كلمات المرور إذا ظهر أي مؤشر على احتمال اختراق للنظام أو لكلمة المرور.
- يجب تغيير كلمات المرور المستخدمة للحسابات المشتركة على الفور في حالة اختراقها أو عندما يغادر مالكها (جهة العمل).
- لا يجب استخدام نفس كلمة المرور لحسابات المسؤولين المتعددة.
- يجب على المستخدمين قدر الإمكان عدم استخدام كلمة المرور نفسها لحسابات مختلفة في (جهة العمل).
- يجب على المستخدمين عدم استعمال ذات كلمة المرور للحسابات والأجهزة داخل (جهة العمل) والحسابات والأجهزة الأخرى خارجها.
- كلمات المرور الأولى (المؤقتة)
يجب تغيير كلمات المرور الأولية للمستخدمين وفرض مدة انتهاء لصلاحيتها لإجبار المستخدم على تغييرها:
- على المستخدم تغيير كلمة المرور الأولية التي يستلمها من الجهة المختصة في أول استخدام له وقبل انتهاء وقت صلاحيتها؛ وذلك لضمان عدم تسريب كلمة السر لمستخدمين آخرين.
- يجب إعطاء كلمات المرور المؤقتة للمستخدمين بطريقة آمنة؛ ينبغي تجنب نقلها على ورقة مكشوفة (نص عادي) أو عن طريق أطراف ثالثة أو رسائل البريد الإلكتروني غير المحمية (النص الواضح) .
- وضع إجراءات للتحقق من هوية المستخدم قبل تقديم كلمة مرور جديدة أو بديلة أو مؤقتة.
- يجب على المستخدمين الإقرار باستلام كلمات المرور المؤقتة.
- يتطلب فحص كلمات المرور الجديدة في قوائم كلمات المرور شائعة الاستخدام أو المخترقة.
- يجب منع الولوج للأنظمة الداخلية والخاصة بعد 3 محاولات خاطئة خلال مدة زمنية لا تتجاوز 15 دقيقة. ويستمر المنع لمدة أقلها 30 دقيقة وأكثرها 3ساعات.
- يجب على المستخدم في حالة أن يشتبه أو يلاحظ وجود مشكلة أمنية أو أن كلمة المرور الخاصة به قد تعرضت للاختراق الإبلاغ عن الحادث وتغيير جميع كلمات المرور.
- يجب أن يُطلب من المستخدمين التوقيع على بيان للحفاظ على سرية كلمات المرور الشخصية؛ يمكن تضمين هذا البيان في شروط التوظيف.
- يجب أن يكون المستخدم على علم ودراية أنه المسؤول الوحيد عن حماية كلمة السر/المرور الخاصة به.