2023年12月2日发(作者:)

用户密码使用规范

修订记录

版本号 修订人 修订日期 修订类型

修订说明

审核人 批准人

批准日期

修订类型包含:新增、修改、删除。

目 录

1. 目的 ................................................................... 1

2. 适用范围 ............................................................... 1

3. 规范内容 ............................................................... 1

3.1. 密码强度 ......................................................... 1

3.2. 密码策略 ......................................................... 1

3.3. 忘记密码重置功能 ................................................. 2

3.4. 手机短信动态密码 ................................................. 2

1. 目的

为保证系统集成事业部信息系统的安全,特制订该文档,规范各类系统的密码使用规范。

2. 适用范围

技术与研发中心。

3. 规范内容

3.1. 密码强度

一般管理员的密码长度至少 8 位,最多不超过 20 位;重要管理员的口令至

少在 12 位以上。密码复杂度应至少包含以下四种类别的字符中的三种:

• 英语大写字母 A, B, C, … Z;

英语小写字母 a, b, c, … z;

西方阿拉伯数字 0, 1, 2, … 9;

非字母数字字符,如标点符号,@, #, $, %, &,*等。

3.2. 密码策略

• 密码不能为连续的数字,如 123456;

• 密码不能为相同的数字或字母,如 111111;

• 更改密码时,要求新密码与原密码不相同;

• 初始密码不能使用个人信息,如工号,身份证的某几位;

1/2 • 密码不能是等差数字;

• 修改密码时,新密码不能是旧密码改了大小写;

• 修改密码时,新密码不能是旧密码的一个循环;

• 不容许重复使用相同密码,对密码历史进行检测;

• 密码不能是工号等片段信息;

• 密码和用户名必须不同;

• 严禁将密码泄露给他人,或与他人共用同一账号。密码有效期;

• 一般管理员:密码最长有效期半年,半年提示更改一次;

• 重要管理员:密码最长有效期三个月,三个月强制更改一次。

3.3. 忘记密码重置功能

系统密码找回或重置时,必须通过开户预留的手机号或邮件信息找回或重置;系统禁止对管理员账户进行密码找回。

3.4. 手机短信动态密码

• 开通手机动态密码时,系统应验证用户身份并登记手机号码;

• 更改手机号码时,系统应对用户的身份进行验证;

• 手机动态密码应随机产生,手机动态密码长度应不少于 4 位;

• 手机动态密码应具有有效时间,最长不超过 5 分钟,超过有效时间未使用应立即作废。

• 密码强度检测在用户设置或修改密码时,系统应具有提示当前设置或修改密码的安全程度的功能。

2/2