M 4.15 Turvaline sisselogimine


Algatamise eest vastutavad: IT-juht, IT-turvaosakond
Rakendamise eest vastutavad: administraator

Sisselogimisel tuleks kasutada Login -programmi või aktiveerida selline seadistus, mis lubaks rakendada järgnevaid meetmeid:

  • Iga kasutaja peab saama isikliku tunnuse ja isikliku parooli. Ilma tunnuse või paroolita ei tohi juurdepääsu võimaldada. Parooli asemel võib kasutajat identifitseerida ka elektroonilise allkirja, paroolipiletite vms abil.
  • Ebaõnnestunud Login -katsete arv peab olema piiratud. Pärast igat edutut sisselogimiskatset suureneb ooteaeg kuni järgmise sisselogimisvõimaluseni. Teatud arvu ebaõnnestunud katsete järel suletakse vastav kasutajatunnus ja/või terminal. Seejuures ei tohi vastav sulgemine takistada administraatori juurdepääsu, st administraatorile peab konsoolis pääsuvõimalus alles jääma.
  • Kasutajale näidatakse sisselogimisel eelmise eduka sisselogimise kellaaega.
  • Sisselogimisel teavitatakse kasutajat ebaõnnestunud sisselogimiskatsetest. Vajadusel tuleks seda teadet korrata ka veel mitme järgneva sisselogimise juures.
  • Kasutajale näidatakse sisselogimisel eelmise väljalogimise aega. Seejuures eristatakse väljalogimisi, mis olid interaktiivsed ja selliseid, mis ei olnud interaktiivsed (taustprotsessidest väljalogimised).
  • Sisselogimiseks võrkude kaudu, kus paroolid edastatakse ilma neid krüpteerimata, tasub kasutada ühekordseid paroole (vt ka M 5.34 Ühekordsed paroolid).

z/OS
Spetsiaalsed juhised sisselogimise turvamiseks z/OS all leiate meetmest M 4.213 Logimisprotsessi kaitse z/OS all all.

Täiendavad kontrollküsimused:
  • Kas kasutajate tähelepanu on juhitud sellele, et nad peaksid kontrollima oma viimase eduka sisselogimise aega ja tegema kindlaks, kas see on loogiline?
  • Kui sageli teavitatakse kasutajaid nende ebaõnnestunud sisselogimiskatsetest?