En lösenordspolicy ska göra det svårare att kompromettera konton utan att försvåra säkert beteende i onödan. De bästa policys är tydliga, praktiska och anpassade för hur människor faktiskt arbetar. De uppmuntrar långa, unika lösenord, stödjer lösenordshanterare, kräver multifaktorautentisering där det är lämpligt och tar bort föråldrade regler som gör att användare skapar förutsägbara lösenord.
Den här artikeln förklarar vad en modern lösenordspolicy bör innehålla, vad som bör undvikas, bästa praxis att följa samt innehåller en mall för lösenordspolicy som du kan anpassa för din organisation.
Vad är en lösenordspolicy?
En lösenordspolicy är en uppsättning regler som definierar hur lösenord skapas, lagras, används, delas, ändras och skyddas. Policyn gäller för anställda, konsulter, administratörer, servicekonton och ibland även kunder, beroende på vilka system den omfattar.
En bra lösenordspolicy bör svara på praktiska frågor som:
- Hur långt ska lösenord vara?
- Är lösenordsfraser tillåtna?
- Kan användare klistra in lösenord från en lösenordshanterare?
- När måste ett lösenord bytas?
- Krävs multifaktorautentisering?
- Hur hanteras delade autentiseringsuppgifter?
- Vad händer om ett lösenord misstänks vara komprometterat?
Målet är inte att skapa det mest komplicerade regelverket – utan att minska verklig risk.
Saker att göra i en modern lösenordspolicy
Ställ krav på tillräcklig längd
Längden är ett av de bästa skydden mot gissnings- och brute-force-attacker. Ett enhetligt minimikrav på hela organisationen är ofta lättare att förstå för användare och enklare för IT att upprätthålla än separata regler för vanliga användare, administratörer och specialfall. Ett praktiskt standardkrav är minst 16 tecken för alla användarkonton. Längre är bättre när användare använder lösenordshanterare eller slumpmässigt genererade lösenordsfraser.
Tillåt långa lösenord och lösenordsfraser
Användare ska kunna skapa lösenord som är betydligt längre än minimikravet. Undvik låga maxgränser som 16 eller 20 tecken. En maximal längd på minst 64 tecken är en rimlig utgångspunkt, och många system klarar ännu längre lösenord.
Lösenordsfraser bör tillåtas om de är långa och inte baseras på vanliga citat, låttexter, företagsnamn eller förutsägbara fraser. Exempelvis är en fras bestående av flera slumpmässiga ord oftast bättre än ett kort lösenord med påtvingade teckenkombinationer.
Kräv unika lösenord
Alla konton ska ha unika lösenord. Återanvända lösenord är en av de främsta orsakerna till att ett intrång i en tjänst leder till kapning av konton i andra tjänster. En lösenordshanterare gör det praktiskt möjligt för användare att ha unika lösenord, eftersom varje inloggning inte behöver memoreras.
Stöd lösenordshanterare
Policyn bör tydligt tillåta och uppmuntra användning av godkända lösenordshanterare. Användare ska kunna klistra in lösenord i inloggningsformulär, använda autofyll och skapa slumpmässiga lösenord. Att blockera inklistring kan kännas säkert, men motverkar ofta starkare användning av lösenordshanterare.
Kontrollera lösenord mot kända läckor
Lösenord ska avvisas om de förekommer i kända dataläckor, vanliga lösenordslistor eller organisationsspecifika spärrlistor. Detta är långt mer effektivt än att tvinga användare att inkludera versaler, siffror och specialtecken.
Kräv MFA där det är tekniskt möjligt
Multifaktorautentisering ska vara aktiverad där det är tekniskt möjligt, särskilt för administratörer, fjärråtkomst, molntjänster, e-post, lösenordshanterare, ekonomisystem och andra affärskritiska system. MFA ersätter inte starka lösenord men minskar skadan vid stulna legitimationer.
Använd fiskskyddad MFA som passkeys, hårdvarunycklar eller plattformsautentiserare där det går. App-baserade autentiserare är oftast bättre än SMS. MFA via SMS får inte användas om något annat MFA-alternativ är tekniskt möjligt, eftersom telefonnummer kan kapas, SIM-kort kan bytas, eller missbrukas genom återställningsrutiner.
Detta är inte teoretiskt: 2018 uppgav Reddit att angripare avlyssnade SMS-baserad tvåfaktorsautentisering och fick tillgång till interna system: https://www.reddit.com/r/announcements/comments/93qnm5/wehadasecurityincidenthereswhatyouneed_to/. 2021 rapporterade Coinbase att angripare stal kryptovaluta från minst 6 000 kunder efter att ha missbrukat legitimationer och en svaghet i Coinbases återställning via SMS: https://www.reuters.com/technology/coinbase-says-hackers-stole-cryptocurrency-least-6000-customers-2021-10-01/.
Byt lösenord vid misstanke om kompromettering
Lösenord ska bytas när det finns bevis eller rimlig misstanke om kompromettering. Exempel är nätfiske, skadlig kod på datorn, läckta uppgifter i ett intrång, misstänkt inloggningsaktivitet eller oavsiktlig exponering.
Skydda delade lösenord på rätt sätt
Undvik delade lösenord där individuella konton är möjliga. Om delade autentiseringsuppgifter är oundvikliga, förvara dem i en godkänd lösenordshanterare, begränsa åtkomst till behöriga, och logga delningar där det är möjligt.
Säkra lösenordsåterställning
Återställning av lösenord är ofta den svagaste länken. Återställningsflöden ska verifiera identitet, låta återställningslänkar löpa ut snabbt, använda engångskoder och meddela när lösenord bytts.
Saker att undvika i en modern lösenordspolicy
Tvinga inte till frekventa lösenordsbyten utan anledning
Obligatoriska lösenordsbyten var 30, 60 eller 90 dag leder ofta till svagare lösenord. Användare ändrar bara små detaljer, som att lägga till en siffra eller byta ut säsong. NIST:s Digital Identity Guidelines har tagit bort periodiska byten och kräver i stället ändring vid misstanke om kompromettering. Se sektion 3.1.1.2: https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver. Kräv byten efter misstänkt kompromettering, förändringar i roll, återställning eller om lösenord inte längre uppfyller policyn.
Förlita dig inte enbart på komplexitetsregler
Regler som "måste innehålla stor bokstav, liten bokstav, siffra och specialtecken" garanterar inte styrka. Password1! följer många komplexitetsregler men är ändå svagt. Prioritera längd, unikhet, slumpmässighet och screening mot läckta lösenord.
Blockera inte klistra in och kopiera
Att blockera inklistring försvårar användning av lösenordshanterare. Det kan leda till kortare och lättare lösenord. Tillåt inklistring och autofyll om det inte finns särskilt dokumenterat säkerhetsskäl att förbjuda det.
Tillåt inte lösenordsledtrådar
Lösenordsledtrådar avslöjar ofta för mycket. Om användaren kan minnas svaret med hjälp av ledtråden, kan en angripare ofta gissa det också. Använd istället säkra återställningsprocesser.
Lagra aldrig lösenord i klartext
System får aldrig lagra lösenord i klartext eller med återställningsbar kryptering. Lösenord ska lagras med en modern, långsam och saltad hash-algoritm som Argon2id, bcrypt, scrypt eller PBKDF2, beroende på systemets och regleringens krav.
Snabba allmänna hash-algoritmer som MD5, SHA-1, SHA-256 eller SHA-512 är inte lämpliga för lösenordshashning på egen hand, eftersom de är konstruerade för att vara snabba och därmed underlättar brute-force-attacker efter en databasläcka. För mer bakgrund, se vår artikel om lösenords-hashingens utveckling.
Dela inte lösenord via chatt eller e-post
Lösenord ska inte skickas via e-post, chatt, ärendehanterare, dokument, skärmdumpar eller liknande. Använd lösenordshanterare med säker delning och åtkomstkontroller.
Använd inte personuppgifter eller förutsägbara mönster
Lösenord får inte innehålla namn, födelsedagar, företagsnamn, tangentbordsmönster, upprepade tecken eller vanliga växlingar, såsom @ för a och 0 för o. Angripare testar sådana mönster först.
Bästa praxis för organisationer
Sätt tydliga minimikrav
Använd krav som är enkla att förstå:
- Ett minimikrav på längd, till exempel 16 tecken för alla användarkonton
- Tillåt minst 64 tecken
- Tillåt mellanslag och vanliga symboler
- Tillåt lösenordsfraser och lösenordshanterare
- Avvisa läckta och vanligt förekommande lösnord
Behandla privilegierade konton striktare
Administratörskonton, servicekonton och produktionsmiljöer kräver strängare kontroller. Ställ högre lösenordskrav, MFA, begränsad åtkomst, övervakning och omedelbar rotation vid ändrad åtkomst.
Använd rollbaserad åtkomst och lägsta priviliegium
Starka lösenord kompenserar inte för överdrivna rättigheter. Användare ska endast ha tillgång till de system och hemligheter som behövs i rollen.
Övervaka misstänkt aktivitet
Upptäck ovanliga inloggningsmönster, orimliga resor, upprepade misslyckade försök, inloggningar från nya länder samt aktivitet utanför normala arbetstider. Lösenordspolicyn bör kompletteras med övervakning och incidenthantering.
Utbilda användare om verkliga hot
Utbildningen bör fokusera på lösenordsåteranvändning, nätfiske, falska inloggningssidor, MFA-trötthet, säker delning och hur misstänkt kompromettering rapporteras. Undvik att skuldbelägga användare. Gör det lätt att agera säkert.
Håll policyn tillräckligt kort
En lösenordspolicy ska vara begriplig. Om policyn är för lång, vag eller strikt kommer människor kringgå den. Den bästa policyn är en som faktiskt implementeras.
Mall för lösenordspolicy (copy-paste)
Använd följande mall som utgångspunkt. Justera de hakparentesmarkerade delarna efter din organisations system, risknivå och legala krav.
Lösenordspolicy
Version: [1.0]
Ägare: [Säkerhet / IT-avdelning]
Giltig från: [ÅÅÅÅ-MM-DD]
Granskningsintervall: [Var 12:e månad]
1. Syfte
Denna policy fastställer krav för skapande, användning, lagring, delning och byte av lösenord inom [Organisationsnamn]. Syftet är att minska risken för obehörig åtkomst, identitetsstöld, kontokapning och dataförlust.
2. Omfattning
Denna policy gäller samtliga anställda, konsulter, tillfällig personal, tjänsteleverantörer och andra som har tillgång till [Organisationsnamn]s system, applikationer, nätverk, molntjänster eller data.
Policyn gäller vanliga användarkonton, privilegierade konton, servicekonton, delade konton och alla system där lösenord används för autentisering.
3. Krav för lösenordsskapande
Alla lösenord ska uppfylla följande krav:
- Användarkonton ska ha lösenord om minst 16 tecken.
- Lösenord måste vara unika och får inte återanvändas över arbets- eller privatkonto.
- Lösenord får inte innehålla namn, användarnamn, företagsnamn, födelsedatum, tangentbordsmönster, upprepade tecken eller annan lättgissad information.
- Lösenord får inte baseras på vanliga fraser, citat, låttexter eller förutsägbara teckenväxlingar.
- Lösenord får inte finnas med i kända läckta lösenordslistor eller vanliga lösenordslistor.
- Lösenord får innehålla mellanslag, symboler, siffror, versaler och gemener.
- Lösenordsfraser är tillåtna om de är långa, unika och inte baserade på förutsägbara eller publika fraser.
4. Lösenordshanterare
[Organisationsnamn] kräver eller rekommenderar starkt att en godkänd lösenordshanterare används för att skapa, lagra och dela lösenord.
Användare får använda lösenordsgenerator, autofyll och kopiera/klistra in-funktion från godkänd lösenordshanterare. Lösenord får inte lagras i webbläsare, kalkylblad, dokument, anteckningsappar, e-post, chatt, skärmdumpar eller ej godkända verktyg.
5. Multifaktorautentisering
Multifaktorautentisering ska vara aktiverad där det är tekniskt möjligt, inklusive men inte begränsat till:
- E-postkonton
- Fjärråtkomstsystem
- Konton för lösenordshanterare
- Molntjänster
- Administratörskonton
- Ekonomi-, HR- och andra högrisk-system
- System klassificerade som [konfidentiella / kritiska]
Där det är möjligt ska användare använda fiskskyddad MFA, såsom passkeys, hårdvarunyckel eller plattformsautentiserare. Autentisering via app är att föredra framför SMS. MFA via SMS är förbjudet om något annat MFA-alternativ är tekniskt möjligt, och får endast användas där inga starkare alternativ finns.
6. Lösenordsändringar
Lösenord ska omedelbart bytas när:
- Ett lösenord är känt eller misstänks vara komprometterat
- En användare matat in ett lösenord på en misstänkt nätfiskesida
- Ett lösenord delats med obehörig
- Skadlig kod eller obehörig åtkomst upptäcks på användarens enhet
- Ett lösenord återfinns i en känd dataläcka
- En privilegierad användare byter roll eller slutar
- IT/Säkerhet instruerar användaren att byta lösenord
Rutinerade schema-baserade lösenordsbyten krävs inte såvida det inte följer av lag, regelverk, avtal eller teknisk begränsning. Byt inte lösenord genom små, förutsägbara ändringar.
7. Delning av lösenord
Lösenord får inte delas via e-post, chatt, ärendesystem, dokument, skärmdumpar, telefonsamtal eller muntlig kommunikation.
Delade autentiseringsuppgifter är endast tillåtna där individuella konton inte är tekniskt möjliga eller efter explicit godkännande av [Säkerhet / IT]. Tillåtna delade lösenord ska förvaras och delas via godkänd lösenordshanterare med åtkomst enbart för behöriga personer.
8. Privilegierade konton
Privilegierade konton måste ha unika lösenord som aldrig används för vanliga användarkonton. Privilegierade konton ska använda MFA om det är tekniskt möjligt och granskas regelbundet.
Privilegierade lösenord ska roteras när administratör slutar, byter roll, inte längre behöver åtkomst eller vid misstänkt kompromettering.
9. Servicekonton och applikationshemligheter
Lösenord, API-nycklar, tokens och applikationshemligheter för servicekonton ska lagras i ett godkänt hemlighetshanteringssystem eller lösenordshanterare.
Servicekontons autentiseringsuppgifter får inte hårdkodas i källkod, konfigurationsfiler, bilder, dokumentation eller skript om de inte skyddas via godkänd process.
10. Lösenordsåterställning och kontorecovery
Processer för lösenordsåterställning ska verifiera användarens identitet före åtkomst ges. Återställningslänkar och tillfälliga lösenord ska vara engångsanvändning, löpa ut snabbt och skickas via godkända kanaler.
Användare ska meddelas när lösenord byts eller återställs. Tillfälliga lösenord ska bytas vid första inloggning.
11. Tekniska krav
System som lagrar eller behandlar lösenord ska:
- Aldrig lagra lösenord i klartext.
- Hasha lösenord med modern, saltad algoritm: PBKDF2, scrypt, bcrypt eller Argon2.
- Inte använda MD5, SHA-1, SHA-256, SHA-512 eller andra snabba hash-algoritmer för lösenord.
- Skydda autentiseringsgränssnitt med rate limiting eller likvärdiga skydd.
- Avvisa svaga, vanligt förekommande och kända läckta lösenord.
- Tillåta inklistring av lösenord från lösenordshanterare.
- Stödja rimlig lösenordslängd, minst 64 tecken där tekniskt möjligt.
- Logga säkerhetsrelevanta autentiseringshändelser.
12. Rapportering av misstänkt kompromettering
Användare ska omedelbart rapportera misstänkt kompromettering av lösenord, nätfiske, ovanliga inloggningsdialoger, MFA-prompter som användaren inte själv initierat eller oavsiktligt utlämnade lösenord till [Säkerhet / IT-kontakt].
13. Undantag
Undantag från denna policy ska dokumenteras, riskvärderas, tidsbegränsas och godkännas av [Säkerhets-/IT-ledning]. Kompenserande åtgärder ska tillämpas där det är möjligt.
14. Efterlevnad
Underlåtenhet att följa denna policy kan leda till åtkomststopp, obligatorisk säkerhetsutbildning, disciplinära åtgärder eller andra insatser enligt [Organisationsnamn]s rutiner och tillämplig lag.
15. Granskning
Policyn ska ses över minst årligen eller efter betydande förändringar i system, hot, regelkrav eller verksamheten.
Avslutande tankar
En stark lösenordspolicy handlar inte om att göra livet surt med lösenord. Det handlar om att ta bort svaga rutiner, stödja lösenordshanterare, införa MFA och reagera snabbt vid exponeringar. Håll policyn praktisk, möjlig att upprätthålla och fokuserad på verkliga hot som nätfiske, credential stuffing, återanvända eller komprometterade konton.
