En passordpolicy skal gjøre kontoer vanskeligere å kompromittere uten å gjøre sikker oppførsel unødvendig vanskelig. De beste policyene er tydelige, praktiske og tilpasset hvordan folk egentlig jobber. De oppmuntrer til lange, unike passord, støtter passordadministratorer, krever flerfaktorautentisering der det er hensiktsmessig, og fjerner utdaterte regler som får brukere til å velge forutsigbare løsninger.
Denne artikkelen forklarer hva du bør og ikke bør gjøre i en moderne passordpolicy, hva som bør unngås, beste praksis å følge, og gir deg en ferdig mal du kan tilpasse til din virksomhet.
Hva er en passordpolicy?
En passordpolicy er et sett med regler som definerer hvordan passord skal lages, lagres, brukes, deles, endres og beskyttes. Den gjelder for ansatte, konsulenter, administratorer, tjenestekontoer og noen ganger kunder – avhengig av hvilke systemer som inngår.
En god passordpolicy bør svare på praktiske spørsmål:
- Hvor lange skal passordene være?
- Er passfraser tillatt?
- Kan brukere lime inn passord fra en passordadministrator?
- Når må et passord endres?
- Er flerfaktorautentisering påkrevd?
- Hvordan håndteres delte innlogginger?
- Hva skjer hvis et passord mistenkes kompromittert?
Målet er ikke å lage det mest kompliserte regelsettet. Målet er å redusere reell risiko.
Gjør dette i en moderne passordpolicy
Krev tilstrekkelig lengde
Lengde er et av de sterkeste forsvarene mot gjetting og brute-force angrep. Ett felles minimumskrav for hele organisasjonen er ofte enklere både å forstå for brukerne og å håndheve for IT enn å ha ulike regler for brukere, administratorer og spesielle tilfeller. Et praktisk utgangspunkt er å kreve minst 16 tegn for alle menneskelige brukerkontoer. Jo lengre, jo bedre—spesielt hvis brukerne benytter passordadministrator eller tilfeldige passfraser.
Tillat lange passord og passfraser
Brukere bør kunne lage passord som er langt lengre enn minimumet. Unngå lave makslengder som 16 eller 20 tegn. Et maksimalt antall på minst 64 tegn er et fornuftig utgangspunkt, og mange systemer kan støtte enda mer.
Passfraser bør være tillatt hvis de er lange og ikke bygger på kjente ordtak, sangtekster, firmanavn eller forutsigbare fraser. For eksempel vil en passfrase bestående av flere tilfeldige ord som regel gi bedre sikkerhet enn et kort passord med påtvungede spesialtegn.
Krev unike passord
Alle kontoer skal ha unike passord. Gjenbruk av passord er en hovedårsak til at angrep på én tjeneste fører til kontoovertakelse andre steder. En passordadministrator gjør det praktisk å bruke unike passord—brukerne slipper å huske alle.
Støtt passordadministratorer
Din policy bør eksplisitt tillate og oppmuntre til bruk av godkjente passordadministratorer. Brukere skal kunne lime inn passord i innloggingsfelt, bruke autofyll og generere tilfeldige passord. Å blokkere innliming kan oppleves som beskyttende, men fører ofte til at sterke passord fra administrator ikke benyttes.
Sjekk mot kjente kompromitterte passord
Passord skal avvises hvis de finnes på kjente oversikter over lekkede eller vanlige passord, eller egne forbuds-/“deny”-lister for virksomheten. Dette er mer effektivt enn å tvinge brukerne til å inkludere én stor bokstav, ett tall og ett symbol.
Krev MFA hvor det er teknisk mulig
Flerfaktorautentisering (MFA) bør være slått på der det teknisk lar seg gjøre, spesielt for administratorer, fjerninnlogging, skytjenester, e-post, passordadministratorer, økonomisystemer og andre verdifulle IT-systemer. MFA erstatter ikke sterke passord, men reduserer risikoen hvis passordet blir stjålet.
Foretrekk phishing-resistent MFA slik som passnøkler, maskinvarebaserte sikkerhetsnøkler, eller plattformsautentikatorer. App-baserte autentikatorer er i de fleste tilfeller bedre enn SMS. SMS-baserte løsninger skal ikke brukes dersom noen annen MFA-metode er teknisk mulig, da telefonnumre kan avlyttes, SIM-bytte kan forekomme, nummeret kan overtas eller misbrukes via prosesser for kontogjenoppretting.
Dette er ikke teori: I 2018 varslet Reddit at angripere avlyttet SMS-basert tofaktorautentisering og fikk tilgang til interne systemer: https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/. I 2021 rapporterte Coinbase at angripere stjal kryptovaluta fra minst 6 000 kunder etter å ha misbrukt påloggingsinformasjon og en svakhet i Coinbases SMS-gjenopprettingsprosess: https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/.
Bytt passord etter kompromittering
Passord skal byttes når det foreligger bevis eller rimelig mistanke om kompromittering. Eksempler er phishing, skadevare på brukerens enhet, eksponering i datalekkasje, mistenkelig innlogging eller utilsiktet avsløring.
Beskytt delte innlogginger
Delte passord bør unngås når individuelle kontoer er mulig. Hvis delte innlogginger er uunngåelig, må de lagres i en godkjent passordadministrator, tilgangen skal begrenses til autoriserte brukere, og delingen skal logges om mulig.
Sikre prosess for tilbakestilling av passord
Rutiner for tilbakestilling av passord er ofte det svakeste leddet i kontosikkerheten. Identitet skal verifiseres ved tilbakestilling, lenker må utløpe raskt, kun brukes én gang, og brukeren skal varsles når passordet er endret.
Ikke gjør dette i en moderne passordpolicy
Ikke tving hyppige passordbytter uten grunn
Obligatorisk bytte av passord hver 30., 60. eller 90. dag fører ofte til svakere passord. Brukere tyr gjerne til små, forutsigbare variasjoner, som å legge til et tall eller bytte årstid. NISTs retningslinjer for digital identitet (Digital Identity Guidelines) har droppet krav om jevnlige bytter og stiller nå kun krav ved mistanke om kompromittering. Se seksjon 3.1.1.2: https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver. Krev bytte etter mistanke om kompromitt, rolleendringer, kontogjenoppretting, eller når passordet ikke lenger oppfyller policyen.
Ikke stol utelukkende på kompleksitetsregler
Regler som “må inneholde stor bokstav, liten bokstav, tall og symbol” gir ikke garantert sikkerhet. Password1! tilfredsstiller mange slike regler, men er fortsatt svakt. Prioriter lengde, unikhet, tilfeldighet og screening mot kompromitterte passord.
Ikke blokker kopier/lim inn
Å blokkere innliming gjør det vanskeligere å bruke passordadministrator. Dette kan føre til at brukeren velger enklere passord som er lettere å skrive inn. Tillat kopier/lim inn og autofyll, med mindre det finnes en spesifikk, dokumentert sikkerhetsrisiko.
Ikke tillat passordhint
Hint til passord avslører ofte for mye. Hvis en bruker kan huske svaret ut fra hintet, kan en angriper nok også gjette det. Bruk heller sikre tilbakestillingsrutiner.
Ikke lagre passord i klartekst
Systemer skal aldri lagre passord i klartekst eller reversibel kryptering. Passord skal hashes med en moderne, treg og saltet algoritme som Argon2id, bcrypt, scrypt eller PBKDF2—avhengig av krav og systemstøtte.
Raske hashalgoritmer som MD5, SHA-1, SHA-256 eller SHA-512 egner seg ikke til passord i seg selv, da de er laget for å være raske, noe som gir lettere brute-force etter datalekkasje. Les mer i vår artikkel om utviklingen av passordhashing.
Ikke del passord over chat eller e-post
Passord skal ikke sendes via e-post, chat, supportsaker, dokumenter eller skjermbilder. Bruk en passordadministrator med sikker deling og tilgangskontroller.
Ikke bruk personlig informasjon eller forutsigbare mønstre
Passord må ikke inneholde navn, bursdager, firmanavn, tastaturmønstre, repeterte tegn eller vanlige erstatninger som @ for a og 0 for o. Angripere tester slike mønstre tidlig.
Beste praksis for organisasjoner
Sett klare minimumskrav
Bruk krav som er lette å forstå:
- Ett minstekrav for lengde, for eksempel 16 tegn for alle menneskelige brukerkontoer
- Tillat minimum 64 tegn
- Tillat mellomrom og vanlige symboler
- Tillat passfraser og passordadministratorer
- Avvis kompromitterte og vanlige passord
Behandle privilegerte kontoer strengere
Administratorkontoer, tjenestekontoer og produksjonstilgang skal ha ekstra strenge krav: sterkere passord, MFA, begrenset tilgang, overvåking og umiddelbar utskifting ved tilgangsendringer.
Bruk rollebasert tilgang og minsteprivilegium
Sterke passord kan ikke kompensere for overdrevne tilganger. Brukere skal bare få tilgang til systemene og hemmelighetene de trenger for sin rolle.
Overvåk for mistenkelig aktivitet
Oppdag uvanlige innloggingsmønstre, umulig reise, gjentatte feilforsøk, innlogging fra nye land og tilgang utenom normalt arbeidstid. Passordpolicyen bør støttes av overvåkning og hendelseshåndtering.
Tren brukere på reelle trusler
Opplæringen bør vektlegge passordgjenbruk, phishing, falske innloggingssider, MFA-tretthet, sikker deling, og hvordan rapportere mistanke om kompromittering. Ikke gi brukerne skyldfølelse. Gjør det lett å velge sikkerhet.
Hold policyen kort nok til å følges
Passordpolicyen skal kunne forstås. Er policyen for lang, uklar eller for streng, vil folk omgå den. Den beste policyen er den som faktisk kan håndheves og følges.
Ferdig mal for passordpolicy (kopi–lim inn)
Bruk denne malen som utgangspunkt. Tilpass tekst i klammer til din virksomhet, systemer, risikonivå og rettslige krav.
Passordpolicy
Versjon: [1.0]
Eier: [Sikkerhets-/IT-avdeling]
Ikrafttredelsesdato: [ÅÅÅÅ-MM-DD]
Revisjonssyklus: [Hvert 12. måned]
1. Formål
Denne policyen definerer kravene til opprettelse, bruk, lagring, deling og endring av passord i [Organisasjonsnavn]. Formålet er å redusere risikoen for uautorisert tilgang, stjålne legitimasjoner, kontoovertakelse og tap av data.
2. Omfang
Denne policyen gjelder for alle ansatte, konsulenter, midlertidige ansatte, tjenesteleverandører og alle andre som får tilgang til [Organisasjonsnavn] sine systemer, applikasjoner, nettverk, skytjenester eller data.
Denne policyen gjelder vanlige brukerkontoer, privilegerte kontoer, tjenestekontoer, delte kontoer og alle systemer hvor passord brukes til autentisering.
3. Krav til opprettelse av passord
Alle passord må oppfylle følgende krav:
- Kontoer for menneskelige brukere må ha passord på minst 16 tegn.
- Passord må være unike og må ikke gjenbrukes mellom jobb- og personlige kontoer.
- Passord må ikke inneholde navn, brukernavn, firmanavn, bursdager, tastaturmønstre, repeterte tegn eller annen lett gjetbar informasjon.
- Passord må ikke være basert på vanlige fraser, sitater, sangtekster eller forutsigbare erstatninger.
- Passord må ikke finnes i kjente lister over lekkede eller vanlige passord.
- Passord kan inneholde mellomrom, symboler, tall, store og små bokstaver.
- Passfraser er tillatt hvis de er lange, unike og ikke bygger på forutsigbare eller offentlige fraser.
4. Passordadministratorer
[Organisasjonsnavn] krever eller sterkt anbefaler bruk av godkjent passordadministrator for opprettelse, lagring og deling av passord.
Brukere kan benytte passordgenerator, autofyll og kopi–lim inn fra godkjent passordadministrator. Passord må ikke lagres i nettlesere, regneark, dokumenter, notatapper, e-post, chatmeldinger, skjermbilder eller ikke-godkjente verktøy.
5. Flerfaktorautentisering
Flerfaktorautentisering (MFA) skal være aktivert hvor det er teknisk mulig, inkludert men ikke begrenset til:
- E-postkontoer
- Fjerninnloggingssystem
- Passordadministratorkontoer
- Skytjenester
- Administratorkontoer
- Finans-, HR- og andre høyrisikosystemer
- Alle systemer klassifisert som [konfidensiell / kritisk]
Der det er mulig skal brukere benytte phishing-resistente MFA-metoder som passnøkler, maskinvarebaserte sikkerhetsnøkler eller plattformsautentikatorer. Apper for tofaktorautentisering er å foretrekke fremfor SMS. SMS-basert MFA er forbudt dersom noen annen MFA-metode teknisk er mulig, og kan bare brukes hvis ingen sterkere MFA er tilgjengelig.
6. Endring av passord
Passord må byttes umiddelbart når:
- Et passord er kjent eller mistenkt kompromittert.
- En bruker har skrevet passordet inn på en mistenkt phishing-side.
- Passord er delt med uvedkommende.
- Det er påvist skadevare eller uautorisert tilgang på en brukers enhet.
- Passordet finnes i kjente datalekkede passordlister.
- En privilegert brukers rolle eller ansettelsesforhold endres.
- IT eller Sikkerhet gir beskjed om bytte.
Rutinemessig utløp av passord er ikke påkrevd med mindre lov/forskrift/kontrakt/systemkrav tilsier det. Passord skal ikke byttes ved små, forutsigbare endringer av det gamle.
7. Deling av passord
Passord skal ikke deles via e-post, chat, supportsaker, dokumenter, skjermbilder, telefonsamtaler eller muntlig kommunikasjon.
Delte innlogginger er kun tillatt når individuelle kontoer ikke er teknisk mulig eller når dette godkjennes eksplisitt av [Sikkerhet / IT]. Godkjente delte innlogginger skal lagres/ deles via godkjent passordadministrator, med tilgang begrenset til autoriserte brukere.
8. Privilegerte kontoer
Privilegerte kontoer må bruke unike passord som ikke benyttes på vanlige brukerkontoer. MFA skal brukes for disse kontoene der teknisk mulig og gjennomgås regelmessig.
Privilegerte passord må skiftes når en administrator slutter, bytter rolle, ikke lenger trenger tilgang eller ved mistanke om kompromitt.
9. Tjenestekontoer og applikasjonshemmeligheter
Passord til tjenestekontoer, API-nøkler, tokens og applikasjonshemmeligheter skal lagres i godkjent løsning for hemmelighets-håndtering eller godkjent passordadministrator.
Disse må ikke lagres i kildekode, konfigurasjonsfiler, bilder, dokumentasjon eller skript uten beskyttelse gjennom godkjent løsning for hemmelighetshåndtering.
10. Tilbakestilling og gjenoppretting av konto
Rutiner for tilbakestilling av passord må verifisere brukerens identitet før tilgang gjenopprettes. Tilbakestillingslenker og midlertidige passord må være engangs, utløpe raskt, og sendes via godkjent kanal.
Bruker skal varsles når passordet byttes/gjenopprettes. Midlertidig passord må endres ved første innlogging.
11. Tekniske kontroller
Systemer som lagrer eller behandler passord må:
- Aldri lagre passord i klartekst.
- Hashe passord med moderne, saltet algoritme: PBKDF2, scrypt, bcrypt eller Argon2.
- Ikke bruke MD5, SHA-1, SHA-256, SHA-512 eller andre raske hashalgoritmer alene til passord.
- Beskytte innloggingsendepunkter med ratevern eller tilsvarende tiltak.
- Avvise vanlige, svake og kjente kompromitterte passord.
- Tillate innliming av passord fra passordadministrator.
- Tillate rimelig lengde, minimum 64 tegn der teknisk mulig.
- Logge sikkerhetsrelevante autentiseringshendelser.
12. Rapportering av mistanke om kompromitt
Brukere må umiddelbart rapportere mistanke om kompromittert passord, phishing, uvanlige innloggingsforespørsler, MFA-forespørsler de ikke selv initierte eller utilsiktet eksponering av passord til [Sikkerhet / IT-kontakt].
13. Unntak
Unntak fra denne policyen må dokumenteres, risikovurderes, tidsbegrenses og godkjennes av [Leder for Sikkerhet / IT]. Kompenserende tiltak må benyttes om mulig.
14. Håndheving
Brudd på policyen kan føre til fjerning av tilgang, krav om obligatorisk sikkerhetsopplæring, disiplinære tiltak eller andre tiltak i tråd med [Organisasjonsnavn]s retningslinjer og gjeldende lov.
15. Revisjon
Policyen skal revideres minst årlig eller etter vesentlige endringer i systemer, trusselbilde, lovkrav eller virksomhet.
Avsluttende tanker
En god passordpolicy handler ikke om å gjøre passord til et ork – den handler om å fjerne svake rutiner, støtte passordadministrator, bruke MFA og rask respons når legitimasjoner lekker. Hold policyen praktisk, håndhevbar og rettet inn mot reelle trusler som phishing, stjålne brukernavn/passord, gjenbruk av passord og kompromitterte kontoer.
