Attribuer immédiatement les mots de passe produits par l’ordinateur
Les mots de passe ou les numéros d’identité personnels (NIP) générés par l’ordinateur doivent toujours être attribués immédiatement après leur création. Peu importe leur forme, les mots de passe et les NIP qui ne sont pas assignés tout de suite ne doivent jamais être mis en mémoire sur l’ordinateur en question.
Protéger les algorithmes de génération des mots de passe
Si un ordinateur génère des mots de passe ou des NIP, tous les logiciels et les fichiers qui comportent des formules, des algorithmes ou d’autres opérations servant à la génération doivent être surveillés au moyen des mesures de sécurité les plus rigoureuses possibles pour l’ordinateur en question.
Garder un historique crypté des mots de passe
Chaque station à usagers multiples doit comporter un logiciel d’exploitation ou d’application qui conserve un historique crypté des mots de passe fixes. Ce fichier d’historique doit servir à empêcher les usagers de réutiliser leurs anciens mots de passe et doit renfermer au moins les 13 derniers mots de passe de chaque usager.
Masquer ou supprimer l’affichage et impression de mots de passe
L’affichage ou l’impression de mots de passe doit être masquée, supprimée ou tout au moins occultée, pour que les personnes non autorisées ne puissent voir ou récupérer un mot de passe.
Obliger le changement régulier des mots de passe
Tous les usagers devraient être tenus de changer leur mot de passe régulièrement, de préférence tous les 30 jours pour l’accès à des données sensibles et tous les 90 jours pour l’accès au reste des données.
Limiter la validité des mots de passe initiaux à la première session
Les mots de passe initiaux émis par le gestionnaire des comptes ne doivent être valides que pour la première session de l’usager en mode interactif. La création d’un nouveau mot de passe doit donc être exigée avant même que l’usager puisse ouvrir la session.
Limiter les entrées consécutives de mauvais mots de passe
Afin de réduire le risque qu’un mot de passe puisse être deviné, le nombre de tentatives consécutives permises doit être très limité. Par exemple, après avoir entré dix fois de suite un mauvais mot de passe, l’usager verra son droit d’accès :
- suspendu jusqu’à ce qu’un administrateur de système le rétablisse;
- temporairement désactivé (pendant au moins trois minutes)
Imposer une seule combinaison pour l’ouverture de sessions simples ou généralisées
Une seule combinaison de code d’usager et de mot de passe doit être demandée pour l’accès au réseau ou au système destinataire. L’information concernant l’identité de l’usager doit alors être transmise (à l’insu de l’usager) aux autres ordinateurs, systèmes de gestion de bases de données, services et applications.
Protéger tous les postes de travail par un mot de passe au démarrage
Indépendamment de leur emplacement, tous les postes de travail utilisés pour les affaires de l’Université d’Ottawa doivent employer un système de contrôle d’accès approuvé par le Technologies de l'information. Dans la plupart des cas, cela signifie des écrans de veille protégés par un mot de passe fixe, ainsi qu’une fonction de désactivation après une certaine période d’inactivité.
Empêcher la lecture des mots de passe en dehors des postes de travail
Lorsqu’un mot de passe est transmis, diffusé ou enregistré à l’extérieur de l’ordinateur personnel ou du poste de travail, son format ne doit jamais être lisible.
Protéger les mots de passe envoyés par courrier
Les mots de passe et les noms d'usager envoyés par courrier conventionnel ou par tout autre service de distribution matérielle doivent faire l’objet d’envois séparés n’affichant aucune mention quant à la nature du contenu. De plus, les mots de passe doivent être dissimulés à l’intérieur d’enveloppes opaques qui laissent voir d’emblée toute violation.
Éviter la mise en mémoire des mots de passe en format lisible
Les mots de passe ne doivent pas être mis en mémoire en format lisible dans un fichier séquentiel, un script d’ouverture de session automatique, une macro de logiciel, une touche de fonction d’un terminal, un ordinateur sans contrôle d’accès, ou tout autre endroit où une personne non autorisée pourrait les trouver et les utiliser.
Assurer les cryptage des mots de passe
Les mots de passe doivent toujours être cryptés lorsqu’ils sont mis en mémoire pour une longue période ou transmis par réseau. Ainsi, ils ne peuvent être divulgués aux personnes branchées clandestinement, aux membres de l’équipe technique qui lisent le journal de l’ordinateur ou à toute autre personne non autorisée.
Changer le mot de passe par défaut du fournisseur
Tous les mots de passe par défaut attribués par le fournisseur doivent être changés sur les ordinateurs ou les systèmes de communication avant que ceux-ci soient utilisés à l’Université d’Ottawa.