此策略的目的是为创建强密码建立一个标准 以及保护富兰克林地区的密码 & 马歇尔(F&M). 这一政策 亦规定了访问学院信息的多因素认证要求 资源. 学院基础设施委员会有权自行决定 有权随时修改本政策.

信息安全需要全体成员的参与和支持 F&M社区具有获取信息资产的能力. 这是每个人的责任 F的成员&M社区，以帮助确保所有信息资产保持安全 和可用的. 有关如何更改与您的F&M NetID可以在帐户管理页面上找到 密码.hosannaphil.com. 登录并按照指示操作.

II. 范围

此政策适用于F的所有成员&M社区，其中包括，但不是 仅限于员工、学生、访客、志愿者、第三方、承包商、 顾问、客户、临时人员和其他(统称为“用户”) 有权访问、支持、管理、管理或维护F&M信息资产.

3. 定义

“多因素身份验证” 在登录过程中是否使用了额外的安全层. 用户将输入 他们的帐户名，如netid或电子邮件地址，后面跟着帐户密码. 此时，如果特定系统启用了多因素身份验证，则 中生成的附加信息将向用户提出挑战 实时从已注册的设备或可从另一种认证方法.

“注册设备” 一般是:

• • 一种能够接收短信的手机.

  • 安装了身份验证应用程序的智能手机或移动设备 密码每30-60秒就会变一次.

  • 安装了身份验证应用程序的智能手机或移动设备 在身份验证时批准或拒绝登录请求.

“另一种认证方法” 是指:

• • 能够接收语音呼叫的电话号码，可在 认证时间. 这些通常是家庭或办公室电话.

  • 专门为此用途制作的USB密钥.

  • 打印备份代码的列表.

IV. 政策 

Passwords are a critical aspect of information security; they are the front line of 保护用户帐户. 选择不当的密码可能会导致泄露 F的&M的整个校园网络. 因此，所有F&M用户负责取 在选择和保护密码时采取适当的预防措施.

你绝对不能与任何人分享你的登录名和密码.

访问控制
所有对系统的访问都必须由一种涉及最小值的身份验证方法来控制 用户名/密码组合. 用户名/密码组合必须提供 验证用户的身份.

初始密码
新用户会收到一个警报，表明他们可以进入密码更改系统 创建密码. 他们需要有一个记录在案的手机号码. 如果他们 没有手机号码记录，他们需要联系帮助台. 如果用户需要帮助台工作人员帮助重置密码， 验证用户身份后，提供帮助台提供的临时密码 只能当面或通过电话传达给用户吗. 它不会被送达 电子邮件. 此临时密码还要求用户立即更改 首次使用密码. 这些要求在更改密码时可用.

密码存储
密码绝对不能以明文形式存储. 用户不能“硬编码”任何用户名/密码 在脚本或明文文件(如系统shell脚本、批处理作业或文字处理)中 文档.

对于所有员工，密码不应该以明文形式存储在文字处理中 文件或其他地方. 有关密码管理方面的帮助，请联系Help Desk For 关于最佳实践和可用工具的建议.

锁定账户
用户不应该使用F&其他未管理系统上的M用户名和密码 供学院使用或不专门用于学院的业务. 在事件F&M用户名 是在互联网上的安全漏洞中被发现的，还是已经被泄露了，这个账户 可能会立即锁定并需要更改密码才能重新获得访问权限.

多因素用户责任
用户必须注册一个支持的设备或认证的替代方法 为身份验证提供额外的因素. 这个额外的因素可能或可能 不需要在每次登录时，无论时间，地点或情况. 失败 注册设备或认证的替代方法将阻止访问 受多因素身份验证保护的系统.

用户必须及时报告被盗，丢失，或未经授权使用其注册 设备或与帮助台联系的替代方法.

授权人员可以监控来自注册设备或替代设备的传输 进行日常维护或故障排除时使用的认证方法 问题.

异常
CIO或CISO可以根据以下情况提前批准对此策略的例外请求 对学院信息资产的感知威胁. 授予的豁免将 定期审查，并可随时撤销.

-----
政策维护人员:信息技术服务部副总裁兼首席信息官 官
最后一次审查:2024年1月29日