Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

Välj rätt lösenordspolicy för företaget

Publicerad: 2024-10-03

Senast ändrad: 2024-10-30

Alla företag ska ha en lösenordspolicy som en del av sin it-säkerhetspolicy. Lösenordspolicyn styr vilka lösenord som medarbetarna får välja och hur medarbetarna ska hantera lösenorden. I den här artikeln går vi igenom hur du som it-ansvarig väljer en säker och välfungerande lösenordspolicy. Vi går också igenom vad företaget bör göra för att medarbetarna ska ha förutsättningarna som krävs för att kunna efterleva lösenordspolicyn.

Kartlägg förutsättningarna

Inför skapandet av en lösenordspolicy måste it-miljöns förutsättningar kartläggas.

Börja med att skapa en förteckning över alla appar och webbplatser som låter medarbetarna välja egna lösenord. Kontrollera om apparna och webbplatserna har särskilda lösenordskrav som er lösenordspolicy måste ta hänsyn till.

  • Här följer exempel på krav som är värda att undersöka:
  • krav på kortast tillåtna lösenord
  • krav på längsta tillåtna lösenord
  • krav på blandning av teckentyper
  • krav på periodiska lösenordsbyten
  • krav på lösenordstips som visas vid bortglömt lösenord
  • stöd för att blockera vanligt förekommande lösenord.

Det bästa är om apparna och webbplatserna är så flexibla att deras lösenordskrav kan anpassas utifrån er lösenordspolicy i stället för tvärtom.

Undersök också om de berörda apparna och webbplatserna har stöd för tvåfaktorsautentisering och huruvida tvåfaktorsautentisering i så fall är obligatoriskt eller frivilligt för användaren.

Sätt en säker och modern lösenordspolicy

En lösenordspolicy måste ta hänsyn till två saker. För det första måste lösenordskraven leda till att medarbetarna väljer starka lösenord. För det andra måste lösenordskraven leda till att medarbetarna kan komma ihåg lösenorden.

För att uppnå detta bör lösenordspolicyn kräva att:

  • alla lösenord är långa
  • alla lösenord är unika (lösenord får aldrig återanvändas)
  • inga lösenord är enskilda ord ur en ordlista eller ord med personlig koppling till användaren.

Längd omdiskuterad

Den lämpligaste minimilängden på lösenord är omdiskuterad. SSF Stöldskyddsföreningen och MSB rekommenderar minst tolv tecken långa lösenord (se SSF 1101-normen och MSB:s publikation Informationssäkerhet för små företag ). Den senaste versionen av CIS-kontrollerna rekommenderar minst åtta tecken långa lösenord i kombination med tvåfaktorsautentisering eller minst 14 tecken långa lösenord om tvåfaktorsautentisering saknas (se CIS v8.1 kontroll 5.2 ).

De amerikanska NIST-riktlinjerna kräver bara minst åtta tecken långa lösenord. NIST-riktlinjerna har i gengäld andra krav när det kommer till kontroll av att lösenorden varken är lättknäckta eller läckta (se NIST SP 800-63B 5.1 ).

SSF, MSB, CIS och NIST rekommenderar att lösenordspolicyn låter användarna välja så kallade lösenfraser (eng. passphrases), det vill säga kombinationer av ord som skapar långa och lättihågkomliga lösenord. ISO 27002-standarden är motstridig på denna punkt då den rekommenderar lösenfraser samtidigt som den avråder från att kombinera ord som finns i ordlistor (se ISO 27002:2022 5.17 ).

Lösenorden ska aldrig ha någon påhittad maxlängd utan tillåtas vara så långa som systemen har stöd för. SSF och NIST rekommenderar att åtminstone 64 tecken långa lösenord ska vara tillåtna i alla system som stödjer det.

Undvik förlegade rekommendationer

Genom åren har det florerat många rekommendationer kring val av lösenord. De flesta rekommendationer har varit bra, men ett fåtal har visat sig vara dåliga eller i värsta fall kontraproduktiva.

Förr i tiden krävde många lösenordspolicyer att användarnas lösenord skulle bestå av blandade teckentyper, till exempel versaler, gemener, siffror och specialtecken. Detta krav tog inte hänsyn till att användarna skulle kunna komma ihåg lösenorden. I den senaste versionen av de amerikanska NIST-riktlinjerna står det nu tvärtom: det bör inte finnas krav på blandning av teckentyper.

En annan förlegad lösenordsrekommendation är kravet om periodiska lösenordsbyten. Förr i tiden krävde många lösenordspolicyer att användarna bytte lösenord i ett godtyckligt intervall. Även denna rekommendation är nu bortplockad ur NIST-riktlinjerna och ersatt med motsatsen: det bör inte finnas krav på periodiska lösenordsbyten. Användarna ska däremot byta lösenord om det finns risk för att lösenordet har läckt. Läs mer om hur it-avdelningen kan upptäcka läckta lösenord i Bevaka företagets mejladresser .

Microsoft delar NIST-riktlinjernas syn på krav om blandning av teckentyper och periodiska lösenordsåterställningar. Microsoft skriver i Microsofts lösenordsriktlinjer att dessa förlegade lösenordskrav ska undvikas.

Observera att avrådan kring periodiska lösenordsbyten gäller lösenord som medarbetare väljer själva för sina egna konton och aldrig delar med någon annan. Det finns andra situationer då periodiska lösenordsbyten är lämpliga. Ett sådant exempel är lösenordet till företagets trådlösa gästnätverk (läs mer i Skydda företagets nätverk ). Lösenordet till gästnätverket lämnas ut till gäster bör därför bytas periodiskt.

Aktivera krav på tvåfaktorsautentisering

Ett lösenord är en säkerhetsmässigt svag inloggningsmetod. För att stärka inloggningssäkerheten bör företagets lösenordspolicy föreskriva att användarna aktiverar tvåfaktorsautentisering på alla webbplatser där möjligheten finns.

Det finns flera olika metoder för tvåfaktorsautentisering. Vilka metoder som erbjuds varierar mellan webbplatser. Ur ett säkerhetsperspektiv är sms-metoden sämst eftersom den kopplar inloggningen till sim-kortet. Om en angripare lyckas lura operatören att lämna ut ett nytt sim-kort med användarens telefonnummer kan angriparen ta emot användarens tvåfaktorsautentiseringsengångskoder. Sms-metoden kan också ställa till problem när användare byter telefonnummer.

Sms-metoden är dock bättre än ingen tvåfaktorsautentisering alls.

Säkerhetsnycklar är säkrast

Authenticator-metoden är säkrare än sms-metoden. Med Authenticator-metoden genereras tvåfaktorsautentiseringsengångskoder av en app på användarens mobil. Mobiloperatören involveras aldrig och kan därför inte heller luras att släppa in angripare.

Den allra säkraste metoden för tvåfaktorsautentisering är fysiska säkerhetsnycklar, till exempel Yubikey eller Google Titan Key. Med säkerhetsnyckelmetoden måste användaren koppla in en fysisk säkerhetsnyckel i sin dator eller mobil för att få logga in.

Säkerhetsnyckelmetoden är dessutom nätfiskeresistent. Övriga tvåfaktorsautentiseringsmetoder skyddar inte mot sofistikerade nätfiskeattacker eftersom angripare kan sätta upp falska webbplatser som lurar av användaren såväl lösenordet som den för stunden giltiga tvåfaktorsautentiseringsengångskoden. Sådana attacker förhindras om kontot i fråga skyddas med en säkerhetsnyckel eftersom den underliggande tekniken säkerställer att säkerhetsnyckeln används på rätt domän (rätt webbadress).

På grund av borttappningsrisken bör säkerhetsnyckelmetoden enbart användas på webbplatser där företagets it-ansvariga administrerar användarnas åtkomst. Om it-ansvariga inte kan återställa användarnas åtkomst kan användarna blir utelåsta från sina konton om de tappar bort sina säkerhetsnycklar. Det är därför en god idé att instruera medarbetarna kring vilka konton som de ska skydda med sina säkerhetsnycklar.

Lösenordshanterare löser problematiken

En lösenordspolicy måste ta hänsyn till att användarna är människor och att ingen människa kan komma ihåg mängder av långa lösenord. Utan tekniska hjälpmedel kommer användarna, oavsett vad lösenordspolicyn säger, att välja svaga lösenord eller återvända lösenord.

SSF, MSB och CIS rekommenderar därför att företaget förser användarna med en så kallad lösenordshanterare. ISO 27002 nämner också lösenordshanterare som en lämplig lösning på lösenordsproblematiken.

Med en lösenordshanterare behöver användarna bara komma ihåg ett enda lösenord: lösenordet till sin lösenordshanterare. Lösenordhanteraren sparar alla andra lösenord och fyller dessutom i dem automatiskt när användarna ska logga in på webbplatser.

De företagsanpassade lösenordshanterarna skiljer sig funktionsmässigt från de konsumentanpassade motsvarigheterna. En företagsanpassad lösenordshanterare ger it-avdelningen möjlighet att administrera användare, koppla inloggningen till företagets SSO-tjänst och återställa bortglömda huvudlösenord (de exakta funktionerna varierar mellan olika lösenordshanterare).

Företagsanpassade lösenordshanterare ger framför allt medarbetarna möjlighet att dela gemensamma lösenord på ett säkert vis. Det allra bästa vore självfallet om inga lösenord behövde delas, men när verkligheten förutsätter lösenordsdelning är det bäst att det sköts via en säker lösenordshanterare. Annars kommer medarbetarna välja mindre säkra metoder, till exempel delade kalkylblad eller lösenord som mejlas fram och tillbaka.

Sist men inte minst är lösenordshanterare en förutsättning för att medarbetarna ska kunna byta osäkra lösenord mot säkra lösennycklar (eng. passkeys). Läs mer om fördelarna med att använda lösennycklar i stället för lösenord i Byt lösenord mot säkra lösennycklar .

Sammanfattning

  • Skapa en lösenordspolicy som uppmuntrar till att välja långa och unika lösenord.
  • Undvik att kräva lösenord som konstrueras enligt förlegade rekommendationer såsom krav på blandning av teckentyper eller periodiska lösenordsbyten.
  • Aktivera krav på tvåfaktorsautentisering på alla webbplatser där möjligheten finns.
  • Förse medarbetarna med en företagsanpassad lösenordshanterare så att de har förutsättningarna som krävs för att kunna efterleva lösenordspolicyn.