PASSWORD POLICY: Tuân thủ CIS Benchmarks - ISO/IEC 27001 - NIST SP 800-63B

PASSWORD POLICY

(Tuân thủ CIS Benchmarks - ISO/IEC 27001 - NIST SP 800-63B)

1. Mục đích

Chính sách này quy định các yêu cầu tối thiểu về quản lý mật khẩu nhằm:

Bảo vệ thông tin xác thực người dùng
Giảm thiểu nguy cơ tấn công brute-force, credential stuffing và truy cập trái phép
Đáp ứng yêu cầu tuân thủ các tiêu chuẩn an toàn thông tin:
Center for Internet Security (CIS Benchmarks)
ISO/IEC 27001:2022
NIST SP 800-63B – Digital Identity Guidelines

2. Phạm vi áp dụng

Chính sách này áp dụng cho:

Tất cả tài khoản người dùng, tài khoản đặc quyền và tài khoản dịch vụ
Tất cả hệ thống Linux/Unix (Kali Linux, Ubuntu, RHEL, CentOS)
Các cơ chế xác thực cục bộ và xác thực dựa trên PAM

3. Căn cứ tiêu chuẩn

3.1 Center for Internet Security (CIS)

CIS Linux Benchmarks (Debian, Ubuntu, RHEL)
CIS Critical Security Controls v8
- Control 5: Account Management
- Control 6: Access Control Management

3.2 ISO/IEC 27001:2022

Annex A.5.17 – Thông tin xác thực (Authentication Information)
Annex A.8.2 – Quyền truy cập đặc quyền
Annex A.8.16 – Giám sát hoạt động

3.3 NIST

NIST SP 800-63B, Mục 5.1.1 – Memorized Secrets

4. Chính sách độ mạnh mật khẩu

Tiêu chí	Yêu cầu
Độ dài tối thiểu	≥ 12 ký tự
Chữ hoa	Bắt buộc có
Chữ thường	Bắt buộc có
Chữ số	Bắt buộc có
Ký tự đặc biệt	Bắt buộc có
Chứa tên đăng nhập	Không được phép
Ký tự lặp liên tiếp	Tối đa 3
Khác mật khẩu cũ	Tối thiểu 4 ký tự

Tham chiếu CIS: CIS Linux Benchmark – Configure password creation requirements

5. Chính sách vòng đời mật khẩu

(Password Aging – CIS Benchmarks)

Thuộc tính	Giá trị
Thời gian hiệu lực tối đa	90 ngày
Thời gian tối thiểu trước khi đổi lại	1 ngày
Cảnh báo trước khi hết hạn	7 ngày
Lịch sử mật khẩu	Không được sử dụng lại 5 mật khẩu gần nhất

Ghi chú: Mặc dù NIST không bắt buộc thay đổi định kỳ, chính sách này vẫn áp dụng theo khuyến nghị của CIS Benchmarks và môi trường có yêu cầu bảo mật cao.

6. Chính sách khóa tài khoản

(Account Lockout – CIS Controls)

Tiêu chí	Giá trị
Số lần đăng nhập sai	5 lần
Thời gian khóa	10 phút
Mở khóa tự động	Có
Ghi log sự kiện	Bắt buộc

Mục đích:

Ngăn chặn brute-force attack
Ngăn tấn công dò mật khẩu hàng loạt

7. Chính sách bảo vệ và lưu trữ mật khẩu

Mật khẩu phải được:
- Lưu trữ dưới dạng băm một chiều
- Bảo vệ bằng quyền truy cập hệ điều hành
Thuật toán băm được phép:
- SHA-512 hoặc mạnh hơn
Nghiêm cấm:
- Lưu mật khẩu dạng plaintext
- Truyền mật khẩu qua email, chat hoặc kênh không an toàn

8. Chính sách mật khẩu cho tài khoản đặc quyền

(Privileged Account Policy – CIS Benchmarks)

áp dụng cho:

root
Tài khoản có quyền sudo
Tài khoản quản trị hệ thống

Tiêu chí	Yêu cầu
Độ dài tối thiểu	≥ 14 ký tự
Tài khoản dùng chung	Không được phép
Đăng nhập trực tiếp root	Vô hiệu hóa (khuyến nghị)
Ghi log xác thực	Bắt buộc

9. Trách nhiệm của người dùng

Người dùng có trách nhiệm:

Tuân thủ chính sách mật khẩu
Không chia sẻ mật khẩu cho người khác
Báo cáo ngay khi nghi ngờ bị lộ hoặc xâm phạm tài khoản

10. Trách nhiệm của quản trị hệ thống

Quản trị viên phải:

Cấu hình và thực thi chính sách thông qua PAM hoặc cơ chế tương đương
Giám sát nhật ký xác thực
Rà soát cấu hình định kỳ theo CIS Benchmarks

11. Kiểm tra tuân thủ và đánh giá

Đánh giá tuân thủ ít nhất 1 lần/năm
Bằng chứng kiểm tra bao gồm:
- /etc/security/pwquality.conf
- /etc/login.defs
- Cấu hình PAM
- Log xác thực hệ thống
Vi phạm chính sách có thể dẫn đến:
- Khóa tài khoản
- Xử lý theo quy định an toàn thông tin

12. Bảng đối chiếu tiêu chuẩn

Nội dung	CIS Benchmarks	ISO 27001	NIST
Độ mạnh mật khẩu	✓	A.5.17	5.1.1
Vòng đời mật khẩu	✓	A.8.24	Khuyến nghị
Khóa tài khoản	✓	A.8.16	✓
Tài khoản đặc quyền	✓	A.8.2	✓

13. Phụ lục

Chính sách này được triển khai kỹ thuật trên Linux thông qua:

pam_pwquality
pam_faillock
/etc/login.defs
chage

Trường Khoa Học Máy Tính & Trí Tuệ Nhân Tạo

Khoa Công Nghệ Thông Tin