校网信办：关于紧急排查整改各类信息系统弱口令问题的通知

发布日期:2019-04-01

校内各单位及全体用户：    

 接相关部门紧急通知，再次要求各单位紧急排查整改弱口令问题。校内各单位要加强对本单位全体工作人员的宣传培训，严防此类事件发生。全体用户个人也要高度重视弱口令问题，确保个人隐私和信息安全。

弱口令，即容易破译的密码，多为简单的数字组合、帐号相同的数字组合、键盘上的临近键或常见姓名，生日、电话等，例如“123456”、“abc123”、“Michael”、“7018001”、“19910101”等。

除服务器、应用系统和个人计算机操作系统等账户外，校内基本账户有两个：

1、信息门户账户。用于登录信息门户系统、网页认证、PPPoE认证、VPN认证以及与信息门户联动的各类系统。部分系统由于升级等因素，暂未对接的，可能会出现一定时间内的独立密码，各独立系统会有相应的通知。对于各单位新建的信息系统，必须满足强制复杂口令的技术要求；与信息门户对接可以直接登陆后，原登录界面或接口必须关停。

2、电子邮件账户。用于登录我校电子邮件系统，虽然在信息门户中绑定邮箱后，可以直接登录邮箱，但依旧是独立账户，忘记密码时需要独立找回，所以电子邮件设置中，必须绑定个人手机号码（登录邮箱后，点击设置 - 账户，在账户信息中填写手机号码，点击保存更改，完成绑定），对于没有绑定手机号码的账户，将定期冻结。同时我们建议绑定微信（登录邮箱后，点击设置 - 微信绑定 - 在微信设置中点击绑定微信，扫描二维码完成绑定。但不要开启安全登录，否则会影响邮箱登录的便捷性。）

对于校内两个基本账户、个人计算机操作系统、各单位服务器、应用系统管理员账户，建议如下：

1、所有账户均使用强密码：密码中包含大写字母、小写字母、数字、特殊符号中的三种及以上；长度不小于8；不使用相同数字或字母例如8888；不使用连续升序、降序数字或字母abcd；不使用出生日期或工号19910101；不使用键盘上的连续字符串例如qwert或者!@#$等。可以使用自己喜欢的一句话或者名词的首字母等不规律字符串，例如QCxxd!((!2019 （青春心向党+按住SHIFT 1991+2019），既方便记忆，又足够复杂。

2、任何情况下，个人账户和密码均不能随意告诉他人，避免承担由于帐号密码管理不善造成的不良后果甚至法律责任。若不得不临时共享密码时，建议修改一个密码（避免别人知道自己日常的密码使用习惯），别人用完后，立刻修改新密码。

3、各单位服务器、系统管理员等密码，要求最少每三个月更新一次密码，确保应用系统的安全使用；更新时做好相应的台账记录，但不得将密码本身写入台账。个人账户也建议定期修改密码，或按照系统要求完成。

4、各应用系统负责人需在系统中启用“弱密码过滤策略”，规范用户设置密码的强度，从而降低用户密码被破译的概率。与学校统一身份认证对接后的各类应用系统，必须将原登录界面或接口关停，避免用户一直使用信息门户单点登录，但独立登录页面依然存在，密码被盗后导致信息泄露和其他损失。

5、需经常查看登录或认证日志，核查近期登录情况是否异常。

      咨询电话：7011544

      特此通知

                                                                                                                                                                       校网信办

                                                                                                                                                                      2019年3月29日