关于开展弱口令专项治理工作的通知

全体师生：

为了进一步加强网络安全管理，规避网络安全隐患，落实学校有关加强网络信息安全的工作部署,根据区网信办近日的文件要求，将在全校范围内开展网络安全“弱口令”问题自查及整改工作。

请各位教职员工高度重视此项工作，全面进行排查，主要工作内容包括：

一、排查弱口令

1.信息系统（网站）的弱密码专项治理：主要排查关键信息基础设施、门户网站等是否存在有弱口令的情况。杜绝使用admin、password root、123456等或键盘相邻按键组成的弱密码。

2.个人账号弱密码专项治理：教职员工个人用户须妥善保管本人的上网认证、电子邮箱等各类账号，加强密码复杂度设置。自行检查修改个人密码，杜绝“弱口令”。

二、加强口令安全管理策略

1.加强对密码复杂度的要求，在登录界面须具有对弱密码账号要求强制更改密码的安全设置，增加用户连续登录失败后的锁定机制,从系统层面减少乃至杜绝弱密码的使用，增强系统的安全性。

2.建议教职员工每三个月或六个月定期更改密码，密码应设置为同时包含大小写字母，数据和特殊符号，密码长度不低于八位的强密码。

3.应加强口令管理制度的制定和落实，各单位需定期对所负责的业务系统进行弱口令排查。要持续开展对教职员工的安全教育，加强对弱密码危害的宣传，重视弱密码等安全隐患，切实提高网络安全防范能力，针对性地采取相应措施，常抓不懈。

三、工作要求

1.要充分认识弱密码专项治理工作的重要性，提前部署，集中资源，进一步压实工作责任。认真落实网络安全总要求，紧盯关键信息基础设施、数据安全和个人信息保护等关键环节，严格制度执行，落实工作部署，构建全方位、立体化网络安全保障体系。

2.检查到位，不留死角。对本单位弱密码问题自检到位，加强所有信息系统（网站）弱密码的管理，做到不遗漏，确保基本无弱密码问题。

四、其他事项

如有问题可反馈至校教育技术室。

附件：关于避免使用弱密码的安全提示

教育技术室

2023年2月15日

附件：

关于避免使用弱密码的安全提示

一、什么是弱密码

弱密码(Weak passwords)即容易破译的密码，多为简单的数字组合、账号相同的数字组合、键盘上的临近键或常见姓名、终端设备出厂配置的通用密码等都属于弱密码范畴。弱密码很容易被他人猜到或破解，所以如果你使用弱密码，就像把家门钥匙放在家门口的垫子下面，这种行为是非常危险的。

二、常见弱密码

三、弱密码的危害

弱密码的危害性比想象中要大得多，对于实体银行卡被盗，弱口令被猜出,户主损失大量的钱财；对于个人电脑或工业主机，弱密码意味着容易成为黑客的肉鸡，成为他们进行不法行为的跳板或僵尸网络的一部分，甚至电脑资料泄露，感染病毒，造成严重损失；信息系统、网站和虚拟机的管理员采用弱密码、默认密码和通用密码，或者长期不进行修改，容易被黑客使用暴力破解软件直接破解本地密码，导致服务器被黑客控制，成为他们进行不法行为的跳板或僵尸网络的一部分，或服务器内部资料泄露，造成群体性危害事件等。

四、常用密码设置原则

1.不使用空密码或系统默认的密码，因为这些密码众所周知，为典型的弱密码。

2.密码长度不小于8位。

3.密码不应该为连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（例如：tzf.tzf.）。

4.密码应该为以下四类字符的组合，大写字母（A-Z）、小写字母（a-z）、数字（0-9）和特殊字符。每类字符至少包含一个。

5.密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息，以及字典中的单词。

6.不要长期使用固定密码，应定期或者不定期修改密码。

7.不要在多个场合使用同一个密码，应为不同应用场合设置不同密码，特别是有关财务的网银及网购账户，避免一个账户密码被盗，其他账户密码也被轻易破解。

8.不把密码保存在电脑、U盘、笔记本、书籍等上面。

五、密码设置建议

推荐使用自己喜欢的单词-喜欢的数字排列-网站名称的前三个大写字母或者后三个大写字母，也可以找到一个生僻但又容易记住的短语、句子、歌词、书名或者电影台词都可以摘录，并创建它的缩写形式，其中可包括大写字母、数字和标点符号等。