根據高雄市教育局113年8月7日召開「113年因應國家資通安全研究院供防演練檢討會議」決議辦理,調整「高雄市高中職校務行政系統暨學生學習歷程系統」安全性事宜,制定密碼設定規則如下:
弱密碼檢查機制
(1) 勿使用預設密碼。
(2) 勿重複使用密碼,不能使用跟前3次相同的密碼,90天更換密碼。
(3) 勿使用個人資料(如帳號、姓名、生日、電話號碼、身分證號碼、學號、單位名稱等)。
(4) 勿使用連續或重複3碼的英文(檢查時不分大小寫)字母和數字(例如:qaz、wsx、asdf、qwerty、abcde、12345等等)或鍵盤相鄰排列1qaz@WSX 、1qaz2wsx,英文單字welcome,一串數字123456等。
(5) 避免使用一些太過常見字詞(常見動物、寵物名稱、知名人物),檢查時英文不分大小寫,例如:admin、P@$$w0rd、password、1234567890、iloveyou、JoeBiden、DonaldJohnTrump、monekey等等。
(6) 避免在更新密碼時,只修改了其中一個字元 (例如:MyG@laxy01、MyG@laxy02、MyG@laxy03)。
(7) 高強度密碼可以是一段片語,將數個英文字串在一起變成一個長串字元 (例如:correcthorsebatterystaple、randommousebottlepickle 等等),但要參雜數字和符號。
密碼原則規範
(1) 密碼最短使用期限:1天
(2) 密碼最長使用期限:90天以下,大於0天
(3) 最小密碼長度:8字元以上
(4) 密碼必須符合複雜性需求
(5) 強制執行密碼歷程記錄:3 個以上記憶的密碼
(6) 使用不可還原的加密來存放密碼
(7) 帳戶鎖定閾值(嘗試登入錯誤次數):5 次以下不正確的登入嘗試,但須大於0次
(8) 重設帳戶鎖定計數器的時間間隔(重設登入次數的計時時間):15分鐘
(9) 帳戶鎖定期間:15分鐘