校网信办:关于紧急排查整改各类信息系统弱口令问题的通知
发布日期:2019-04-01
校内各单位及全体用户:
接相关部门紧急通知,再次要求各单位紧急排查整改弱口令问题。校内各单位要加强对本单位全体工作人员的宣传培训,严防此类事件发生。全体用户个人也要高度重视弱口令问题,确保个人隐私和信息安全。
弱口令,即容易破译的密码,多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名,生日、电话等,例如“123456”、“abc123”、“Michael”、“7018001”、“19910101”等。
除服务器、应用系统和个人计算机操作系统等账户外,校内基本账户有两个:
1、信息门户账户。用于登录信息门户系统、网页认证、PPPoE认证、VPN认证以及与信息门户联动的各类系统。部分系统由于升级等因素,暂未对接的,可能会出现一定时间内的独立密码,各独立系统会有相应的通知。对于各单位新建的信息系统,必须满足强制复杂口令的技术要求;与信息门户对接可以直接登陆后,原登录界面或接口必须关停。
2、电子邮件账户。用于登录我校电子邮件系统,虽然在信息门户中绑定邮箱后,可以直接登录邮箱,但依旧是独立账户,忘记密码时需要独立找回,所以电子邮件设置中,必须绑定个人手机号码(登录邮箱后,点击设置 - 账户,在账户信息中填写手机号码,点击保存更改,完成绑定),对于没有绑定手机号码的账户,将定期冻结。同时我们建议绑定微信(登录邮箱后,点击设置 - 微信绑定 - 在微信设置中点击绑定微信,扫描二维码完成绑定。但不要开启安全登录,否则会影响邮箱登录的便捷性。)
对于校内两个基本账户、个人计算机操作系统、各单位服务器、应用系统管理员账户,建议如下:
1、所有账户均使用强密码:密码中包含大写字母、小写字母、数字、特殊符号中的三种及以上;长度不小于8;不使用相同数字或字母例如8888;不使用连续升序、降序数字或字母abcd;不使用出生日期或工号19910101;不使用键盘上的连续字符串例如qwert或者!@#$等。可以使用自己喜欢的一句话或者名词的首字母等不规律字符串,例如QCxxd!((!2019 (青春心向党+按住SHIFT 1991+2019),既方便记忆,又足够复杂。
2、任何情况下,个人账户和密码均不能随意告诉他人,避免承担由于帐号密码管理不善造成的不良后果甚至法律责任。若不得不临时共享密码时,建议修改一个密码(避免别人知道自己日常的密码使用习惯),别人用完后,立刻修改新密码。
3、各单位服务器、系统管理员等密码,要求最少每三个月更新一次密码,确保应用系统的安全使用;更新时做好相应的台账记录,但不得将密码本身写入台账。个人账户也建议定期修改密码,或按照系统要求完成。
4、各应用系统负责人需在系统中启用“弱密码过滤策略”,规范用户设置密码的强度,从而降低用户密码被破译的概率。与学校统一身份认证对接后的各类应用系统,必须将原登录界面或接口关停,避免用户一直使用信息门户单点登录,但独立登录页面依然存在,密码被盗后导致信息泄露和其他损失。
5、需经常查看登录或认证日志,核查近期登录情况是否异常。
咨询电话:7011544
特此通知
校网信办
2019年3月29日