Home

lösenordspolicy

En lösenordspolicy är ett dokument eller en uppsättning regler som styr hur användare skapar, hanterar och skyddar sina lösenord inom en organisation. Den definierar krav för alla användarkonton, beskriver vilka system som omfattas och vilken konsekvenspolicy som gäller vid överträdelser. Syftet är att minska risken för obehörig åtkomst, dataläckage och andra säkerhetsincidenter genom konsekvent och dokumenterad lösenordshantering.

Vanliga komponenter inkluderar krav på lösenordslängd och komplexitet, regler kring återanvändning av tidigare lösenord, kontolåsning efter

Behandling av lösenord ska ske på ett säkert sätt. Lösenord får aldrig lagras i klartext. I stället

Implementering och uppföljning kräver tydliga roller och ansvar, utbildning av användare samt regelbunden revision och övervakning

---

upprepade
misslyckade
inloggningsförsök
samt
implementering
av
multifaktorautentisering
där
så
krävs.
Många
organisationer
övergår
till
längre
lösenord,
överväger
mindre
frekventa
byten
och
förlitar
sig
i
högre
grad
på
MFA
än
på
frekventa
lösenordsbyten.
Policyer
bör
anpassas
till
relevanta
standarder
och
lagstiftning,
till
exempel
ISO/IEC
27001
eller
NIST
SP
800-63B.
ska
de
hanteras
med
säkra
hashfunktioner
och
salt
samt,
när
så
är
möjligt,
en
pepper.
Lagrings-
och
överföringskanaler
ska
vara
skyddade.
Rekommenderad
praxis
är
att
använda
lösenordshanterare
och
att
uppmuntra
användningen
av
MFA
samt
säkra
återställningsprocesser.
av
överensstämmelse.
Policyn
bör
vara
tillgänglig
och
uppdateras
vid
ändrade
förutsättningar
eller
nya
hotbilden.