Mange virksomhetene har for alvor oppdaget at en påloggingstjeneste på Internett ofte kan erstatte telefonbasert kundeservice. I mange tilfeller er det mer praktisk både for virksomheten og kundene å benytte en påloggingsløsning der brukeren selv får tilgang til informasjon om eget kundeforhold og eventuelt kan gjøre ønskede endringer. De fleste vil oppfatte et slikt tilbud som mer tilgjengelig enn telefonbasert kundeservice. Utfordringen for folk flest er antallet slike løsninger en får tilgang til og med dette også det store antallet passord en må huske.
Bruk unike passord
Mange brukere klarer ikke å huske et stort antall ulike passord og bruker derfor det samme passordet på flere nettjenester. Dette gjør dem sårbare dersom uvedkommende får tak i passordet. Dersom en benytter samme passordet på en rekke tjenester og forum vil den uvedkommende kjenner passordet kunne skaffe seg tilgang til alle tjenestene. Det vil kunne være vanskelig å ”ta tilbake kontrollen” over sine egne profiler og brukertjenester. Den som har tilgang til passordet vil da også kunne skaffe seg tilgang til brukerens personopplysninger og kunne endre disse eller på ulike måter handle på brukerens vegne.
Et sikkert passord
- Er hemmelig for alle andre enn brukeren selv.
- Skal være unikt for hver tjeneste eller brukerforum du er medlem av.
- Skal være lett å huske for deg og vanskelig å gjette for andre.
- Skal bestå av minimum syv tegn, helst både tall og bokstaver og gjerne også spesialtegn (for eksempel !”#¤).
Generelle passordsregler
- Bruk gjerne huskeregler eller tastesystemer for å huske passordene.
- Dersom du tror noen andre kjenner til det eller uvedkommende har fått tilgang til ett av passordene dine må du bytte dette umiddelbart.
- Ikke velg ”automatisk huske passord” i programmet eller nettleseren.
Virksomheter må sikre oppbevaring av passord
Virksomheter som tilbyr innloggingstjenester må ta hensyn til brukernes håndtering av passord. Det betyr at virksomheten må forholde seg til at enkelte kunder benytter samme passord på flere nettjenester. Den største utfordringen knyttet til dette vil være lagringen av brukerens passord i virksomhetens systemer. Hos noen virksomheter ligger passord og brukernavn åpent i kundesystemene. Datatilsynet er kritisk til en slik praksis. Alle ansatte får da får tilgang til alle passord og virksomhetens kunder eksponeres derfor for helt unødig risiko. Datatilsynet mener virksomheten må sørge for å gjøre kundenes passord utilgjengelig for de ansatte. Dette kan for eksempel gjøres ved at passordene krypteres.
Dokumenterte rutiner for lagring og håndtering av passord
Håndtering av passord er den del av virksomhetens informasjonssikkerhet. Det bør derfor foreligge skriftlige rutiner for sikring og eventuell håndtering av disse i virksomhetens systemer som en del av internkontrollen. Generell informasjon om sikring av passord og utsendelse av nye eller mulighet for å forandre dem må gjøres lett tilgjengelig for alle brukere av nettjenesten.