CSV里如何是合适的密码规范化管理????

wangziyuan

Q1:某些系统、现场工艺控制系统上的密码是由厂家设定的（只有一个账号，无法新建账号，无法实现分级），自己无法更改，因此定期更改密码难以实现，如何解决？

Answer1：

1.找厂家定期修改或是升级程序包含密码管理等；

2.设置分级密码，如两级密码，打开程序需要第二级密码，进入程序后操作员账户管理等不变，在第二级密码管理上做文章；（问过国外的一个专家说是这样做是不可以的）

3.把厂家的管理员账号要过来（一般不会给）。

4.或许这种系统不需要分级也不需要更改密码？（有没有比较合适的方法处理这样的情况？）

Q2：先说下我们单位的密码设置的原则——采用至少6位，数字加字母的组合且不应包含特殊字符。CFR中要求密码唯一性，是否是说不同用户的密码不应相同，且修改的密码也要保持唯一性，至少不能与上次的所有用户的密码相同。或者是说简单的要求用户名密码组合唯一性，会存不同用户相同那个密码（误登录）的风险，可是定期修改密码的时候如果用户设置了一个别人用的密码，系统应该提示密码唯一性，这时候用户就会知道这个密码有人用，也会存在误登录的风险，该如何解决这种情况？

Answer2：还是问的国外的一个专家，说是No one cares，至于密码唯一性要求这点应该写在SOP中要求用户来执行即可，在SOP中要求用户密码要按照密码策略来遵守。那么系统强制修改密码怎样保持密码唯一性呢？

Q3：系统管理员是否应该拥有普通用户的密码（这会存在管理员登录普通用户的账户进行违规或者无操作的风险），如果管理不应该知道用户的密码（老系统Audit中没有修改密码的记录，那么修改的密码是否应该记录在纸质文件上，会否造成密码泄露的风险？），而是系统定期强制用户登录的时候自己修改密码（这样保证不了用户更改的密码符合我们密码策略的要求），该如何处理呢？

Answer3：国外专家给的意见是No one cares，写在SOP中要求用户来执行。

总结：是不是太过于纠结，听过国外专家讲过后感觉CSV只要注意权限分级与审计追踪就可以的。

syhorchid

不必过于纠结

找不到方向

数据完整性（可靠性）这东西或者具体讲密码权限这东西目前主要查的检测仪器这方面，现场设备按照现有的条件，还达不到那么严格的管理，每个设备厂家的设备各不相同。法规指南里要求的IT一级，管理者二级（修改参数），操作工三级（选择参数），实际生产往往有困难。所以作为生产线的我们，不必太纠结。

山顶洞人

国外专家给的意见是No one cares，写在SOP中要求用户来执行。
这么多no one cares，我看，干脆连密码管理都不要了，反正no one cares，
第一个问题，是很有代表性的，不过，我觉得，真需要针对系统操作的风险设立对应的管理级别。

ZL221

学习了，..

xqliu

了解

wangshanhong

使用者修改密码的问题，可以要求厂家在系统中配置密码策略来执行，设置密码的要求让管理员根据SOP来设定，不符合要求的密码不可以设定；至于密码相同我感觉没必要，因为账户肯定是不同的，就算密码相同也不影响唯一性。

甜水镇镇长

这个标准真的是落后了。
看看互联网行业的标准，举例：阿里云

复杂度要求：(8-30个字符，必须同时包含下面四项中的三项：大写字母、小写字母、数字、和特殊字符（仅支持下列特殊字符： ( ) ` ~ ! @ # $ % ^ & * - _ + = | { } [ ] : ; ' < > , . ? / ）。其中，Windows 实例不能以斜线号（/）为密码首字符。)

另外之前工作的外企的SAP密码有效期是2个月，与前六次不能有重复。