Системы UNIX, например, интерпретируют символы «!», «I» и «;» как сигнал, указывающий на исполнение команды. Следовательно, недопустимо, чтобы пользователь мог ввести такие символы в строку URL или поля HTML-формы. Предположим, в качестве своего пароля пользователь собирается ввести что-нибудь наподобие mypassl/bin/cat/etc/passwd. Если ваша Web-страница направит этот «пароль» UNIX-приложению, то в окне браузера клиента появится содержимое парольного файла. Этого, однако, легко избежать, если контролировать вводимую пользователем текстовую информацию. Итак, политика безопасности должна определять процедуры проверки ввода, указывая набор разрешенных символов, а не перечисляя запрещенные. Это позволит избежать досадных недоразумений. Старение пароля — еще одна тема, которая должна быть затронута в политике безопасности. Клиенты Должны менять свои пароли, Должны знать, как и когда это делать. Пароль должен иметь «время жизни», по истечении которого прекращает свое действие. Постоянная смена пароля, с другой стороны, представляет дополнительное неудобство для пользователя. Ослабить эту проблему могут только специальные предупреждения, которые заблаговременно рассылаются пользователям. Управление паролями на внешних системах, находящихся в DMZ, отличается от управления паролями в intranet или во внутренних системах. Администраторам и разработчикам необходимо пользоваться разными паролями в разных сегментах сети. Это простое правило исключает возможность «автоматической» компрометации всех зон безопасности (в том случае, если хакер смог узнать или подобрать администраторский пароль доступа к одной из систем).
Эта концепция применима к паролям учетной записи, паролям системы по умолчанию, паролям приложений и другим паролям, которые требуют изменения своего значения «по умолчанию». В случае с SNMP-паролями многие следуют правилу: публичный доступ для чтения (стандартный пароль «public») — секретный пароль доступа на запись. Однако злоумышленник, прочитав системную информацию посредством SNMP-службы, непременно использует ее в атаке. Впрочем, многие системные администраторы вообще не пользуются SNMP, не воспринимают этот протокол серьезно и не знают о пароле «public». Как бы там ни было, политика безопасности Должна содержать инструкцию, требующую от администратора замены всех стандартных паролей доступа к любым устройствам или приложениям.
