La cuenta del administrador es la única que puede acceder a todo el sistema.
Las cuentas de usuario deben estar limitadas en función al trabajo a desarrollar por cada usuario. Por ejemplo, ningún usuario podrá acceder a la zona de seguridad del sistema.

Las contraseñas deben de ser personales, sólo serán conocidas por el propio usuario, nadie más debe conocer la contraseña, ni el propio administrador.

Las contraseñas deben tener un mínimo de caracteres.

Las contraseñas tienen que admitir números, letras y caracteres.

Las contraseñas deben de tener una vigencia máxima en tiempo, por ejemplo 6 meses, una vez transcurrido este tiempo se cambiará la contraseña.

Las contraseñas deberan guardarse de forma cifrada por el propio sistema.