Passordanbefalinger

Misbruk av brukernavn og passord er ofte den raskeste og enkleste veien inn til virksomhetens nettverk og informasjonssystem, eller for å få tilgang til våre personopplysninger. For å unngå dette er det viktig med god håndtering av passord. 

Noen av avviksmeldingene som blir sendt til Datatilsynet er fra virksomheter som har vært utsatt for lekkasjer av passord, eller at ansatte har vært utsatt for blant annet phishing eller løsepengevirus. Vi har også opplevd at virksomheter har oppdaget at brukernes eller kundenes passord har ligget tilgjengelig i søkbare databaser med lekkede passord.

Sterk autentisering (tofaktor-autentisering/totrinnsbekreftelse/flerfaktorautentisering) gir bedre beskyttelse enn passord alene. Dette anbefaler vi at virksomheter legger til rette for og at enkeltpersoner benytter seg av. I vår saksbehandling gir vi noen ganger også pålegg om det.

Nasjonal sikkerhetsmyndighet (NSM) og Nettvett.no har utarbeidet anbefalinger om passord. Vi støtter disse anbefalingene og oppsummerer de kort nedenfor.

Anbefalingen for virksomheter:

  • Innfør tofaktor-autentisering
  • Unngå at passord lagres i klartekst (OWASP Password Storage Cheat Sheet gir veiledning om sikrere lagring av passord)
  • Innfør rutiner for å kontrollere nye passord mot mye brukte og kompromitterte passord
  • Innfør rutiner for å bytte standardpassord på nytt utstyr
  • Gi brukere som trenger administratorrettigheter to kontoer

Det finnes også tjenester som https://haveibeenpwned.com/ der domeneeiere og IT-administratorer kan få varsler dersom en e-postadresse i domenet dukker opp i en lekkasje.

Anbefalingen for enkeltpersoner:

  • Bruk tofaktor-autentisering der det tilbys
  • Bruk unike passord (ikke gjenbruk passord på tvers av tjenester)
  • Bruk passordhåndteringsprogrammer (password managers)
  • Privat kan du også lage en passordliste med penn og papir, men beskytt dokumentet som et verdipapir
  • Bytt alltid standardpassord på produkter du kjøper eller tjenester du benytter deg av

Se også Nettvett.no sin veileder: Slik lager du sterke passord.

20