處理帳戶及密碼指引

你處理帳戶及密碼等個人數據的方式，是資訊保安的前線工作。

要做的事

• 應使用至少由八個大小寫不一的字母、數字及特殊字符混合組成的密碼。
• 應使用不容易猜到但方便用戶本人記憶的密碼，以避免將密碼寫下。
• 應使用無須眼看鍵盤即能快速輸入的密碼，以避免行經的人看到所輸入的內容。
• 應定期更改密碼，例如每 90 天更改密碼一次。
• 在首次登入時應更改預設或初始密碼。
• 應使用嚴謹的認證方式，例如雙重認證，保護用於處理敏感資料的帳戶。
• 不同的帳戶應使用不同的登入密碼，特別是用於處理私人和敏感資料的帳戶。
• 在懷疑密碼遭到洩露時應立即更換密碼。更換密碼後，應通知系統／保安管理員，以便採取跟進行動。
• 應緊記在學校、圖書館或網吧等公眾地方離開或用完互聯網時登出系統。

不要做的事

• 不應使用姓名作為登入名稱（未經修改、倒寫字母排列、大寫字母、重複字母等）。
• 不應使用配偶或子女的姓名。
• 不應使用他人容易取得的其他個人資料，包括身份證號碼、車牌號碼、電話號碼、出生日期、居所街道名稱等。
• 不應使用由相同字母或數字組成的密碼。
• 不應使用連貫的字母或數字，例如 "abcdefgh" 或 "23456789"。
• 不應使用在鍵盤上相鄰鍵碼組成的密碼，例如 "qwertyui"。
• 不應使用能夠在英語或其它外語字典中查到的單字。
• 不應使用能夠在英語或其它外語字典中查到的倒寫字母排列之單字。
• 不應使用廣為人知的縮寫，例如 HKSAR、 HKMA、 MTR等。
• 不應使用舊密碼。
• 不應在所有系統都使用同一個密碼，在不重要和較重要的系統上應使用不同的密碼。
• 不應寫下密碼，甚至把密碼放在電腦附近或存放於寫有 "密碼 "兩字的文件夾中。
• 不應向別人透露你的密碼，儘管有充分的原因。
• 不應把密碼顯示於屏幕上。
• 不應以電郵寄出未加密的密碼。
• 不應在瀏覽器內儲存密碼，應取消瀏覽器軟件的有關功能。
• 不應將密碼儲存在任何媒體，除非這些媒體可阻止未獲授權人士接達（例如利用已獲批准的加密法來加密）。