Bài viết sưu tầm
PASSWORD POLICY
(Tuân thủ CIS Benchmarks - ISO/IEC 27001 - NIST SP 800-63B)
1. Mục đích
Chính sách này quy định các yêu cầu tối thiểu về quản lý mật khẩu nhằm:
-
Bảo vệ thông tin xác thực người dùng
-
Giảm thiểu nguy cơ tấn công brute-force, credential stuffing và truy cập trái phép
-
Đáp ứng yêu cầu tuân thủ các tiêu chuẩn an toàn thông tin:
-
Center for Internet Security (CIS Benchmarks)
-
ISO/IEC 27001:2022
-
NIST SP 800-63B – Digital Identity Guidelines
2. Phạm vi áp dụng
Chính sách này áp dụng cho:
-
Tất cả tài khoản người dùng, tài khoản đặc quyền và tài khoản dịch vụ
-
Tất cả hệ thống Linux/Unix (Kali Linux, Ubuntu, RHEL, CentOS)
-
Các cơ chế xác thực cục bộ và xác thực dựa trên PAM
3. Căn cứ tiêu chuẩn
3.1 Center for Internet Security (CIS)
-
CIS Linux Benchmarks (Debian, Ubuntu, RHEL)
-
CIS Critical Security Controls v8
-
Control 5: Account Management
-
Control 6: Access Control Management
-
3.2 ISO/IEC 27001:2022
-
Annex A.5.17 – Thông tin xác thực (Authentication Information)
-
Annex A.8.2 – Quyền truy cập đặc quyền
-
Annex A.8.16 – Giám sát hoạt động
3.3 NIST
-
NIST SP 800-63B, Mục 5.1.1 – Memorized Secrets
4. Chính sách độ mạnh mật khẩu
Tham chiếu CIS: CIS Linux Benchmark – Configure password creation requirements
5. Chính sách vòng đời mật khẩu
(Password Aging – CIS Benchmarks)
Ghi chú: Mặc dù NIST không bắt buộc thay đổi định kỳ, chính sách này vẫn áp dụng theo khuyến nghị của CIS Benchmarks và môi trường có yêu cầu bảo mật cao.
6. Chính sách khóa tài khoản
(Account Lockout – CIS Controls)
Mục đích:
-
Ngăn chặn brute-force attack
-
Ngăn tấn công dò mật khẩu hàng loạt
7. Chính sách bảo vệ và lưu trữ mật khẩu
-
Mật khẩu phải được:
-
Lưu trữ dưới dạng băm một chiều
-
Bảo vệ bằng quyền truy cập hệ điều hành
-
-
Thuật toán băm được phép:
-
SHA-512 hoặc mạnh hơn
-
-
Nghiêm cấm:
-
Lưu mật khẩu dạng plaintext
-
Truyền mật khẩu qua email, chat hoặc kênh không an toàn
-
8. Chính sách mật khẩu cho tài khoản đặc quyền
(Privileged Account Policy – CIS Benchmarks)
Áp dụng cho:
-
root
-
Tài khoản có quyền sudo
-
Tài khoản quản trị hệ thống
9. Trách nhiệm của người dùng
Người dùng có trách nhiệm:
-
Tuân thủ chính sách mật khẩu
-
Không chia sẻ mật khẩu cho người khác
-
Báo cáo ngay khi nghi ngờ bị lộ hoặc xâm phạm tài khoản
10. Trách nhiệm của quản trị hệ thống
Quản trị viên phải:
-
Cấu hình và thực thi chính sách thông qua PAM hoặc cơ chế tương đương
-
Giám sát nhật ký xác thực
-
Rà soát cấu hình định kỳ theo CIS Benchmarks
11. Kiểm tra tuân thủ và đánh giá
-
Đánh giá tuân thủ ít nhất 1 lần/năm
-
Bằng chứng kiểm tra bao gồm:
-
/etc/security/pwquality.conf
-
/etc/login.defs
-
Cấu hình PAM
-
Log xác thực hệ thống
-
-
Vi phạm chính sách có thể dẫn đến:
-
Khóa tài khoản
-
Xử lý theo quy định an toàn thông tin
-
12. Bảng đối chiếu tiêu chuẩn
13. Phụ lục
Chính sách này được triển khai kỹ thuật trên Linux thông qua:
-
pam_pwquality
-
pam_faillock
-
/etc/login.defs
-
chage
» Các tin khác:
- Cấu hình Password Policy trên Linux (14/01/2026)
- CTF (Capture The Flag) (1) (13/01/2026)
- Thuật toán K-means clustering (12/01/2026)
- Hướng dẫn lập trình trợ lý ảo = Python (09/01/2026)
- An ninh mạng đang trở thành 'cuộc chiến của AI' (06/01/2026)
- Làm quen với Kali Linux (31/12/2025)
- Các loại tham số trong thủ tục lưu trữ (30/12/2025)
- Phần mềm Rational Rose (18/12/2025)
- Chủ đề: OSCP - SQL Injection Attacks (18/12/2025)
- Thực hành tấn công khai thác lỗ hổng lỗ hổng usermap_script của Samba (18/12/2025)
