Rutiner för lösenordshantering

Diarienummer:
UFV 2013/1490
Beslutsfattare:
Avdelningschef
Handläggande organisation:
Säkerhetsavdelningen
Kontaktperson:
security@uu.se
Dokumenttyp:
Rutiner
Kategori:
Infrastruktur, Säkerhet
Beslutsdatum:
21 maj 2024
Granskat:
21 maj 2024
Originaldokument och bilagor

1 Inledning

Detta dokument anger Uppsala universitets rutiner för kvalitet på, och hantering av, lösenord i enlighet med den svenska akademiska identitetsfederationen SWAMIDs tillitsprofil och lösenordspolicy1.

Syftet med dokumentet är att stödja hanteringen av lösenord på universitetet, både personliga och systemhanterade, för att så långt som möjlig skydda universitetets information i olika system från obehöriga användare.

Dokumentet gäller för alla informationssystem vid universitetet och omfattar både lösenordskvalitet och lösenordsskydd. De baseras på universitetets rutiner för informationssäkerhet (UFV 2017/93) och rutiner för riskhantering (UFV 2018/211).

2 Definitioner

Informationssystem
Omfattar applikationer, tjänster, lagringslösningar, molntjänster eller andra komponenter som hanterar information. I begreppet ingår också nätverk och infrastruktur.

Gemensam webbinloggning2
Är en lösning för webbaserad inloggning som bland annat möjliggör en enda inloggning till många olika webbtjänster. Det förenklar för användarna och höjer samtidigt säkerheten. Webbtjänster anslutna till gemensam webbinloggning har inte tillgång till lösenord utan enbart till definierade personuppgifter.

Flerfaktorsautenticering/Multifaktorautenticiering (MFA)
Identitet med två eller flera olika faktorer i flera steg, som ger en högre säkerhet än enbart ett lösenord. Faktorerna består av något man har (kort, dosa, mobiltelefon, mobilt BankID), något man vet (lösenord, PINkod) och något man är (biometri, t.ex. fingeravtryck).
Tvåfaktorsautenticering (2FA) kan användas i de fall där enbart två faktorer används.

3 Omfattning

3.1 Allmänt om informationssystem

  • Alla system ska vara kopplade till universitetets gemensamma webbinloggning om inte särskilda skäl föreligger. Skälen ska finnas dokumenterade.I den gemensamma webbinloggningen finns systemstöd för efterlevnad av rutinerna.
  • För system som har egen lösenordshantering ansvarar systemägaren för efterlevnad.
  • Om ett system inte använder universitetets gemensamma webbinloggning ska lösenord lagras i en säker envägskrypterad (“hashad”) form inom systemet, för att försvåra om lagrade informationen skulle kommas åt av obehöriga.
  • För outsourcing eller molntjänster ska krav på lösenordshantering finnas med i anskaffningsförfarandet och regleras i avtal.

Lösenordskvalitet

Ett lösenord med bra kvalitet är tillräckligt långt och komplext sammansatt för att minska risken för att en inkräktare kan gissa sig till det.

Ett lösenord ska, för att ha bra kvalitet, bestå av minst 10 tecken – varav minst en versal, minst en gemen, och antingen minst ett specialtecken eller en siffra.

Längd och komplexitet på lösenordet formar tillsammans den s.k. entropin för lösenordet. Ju högre entropi ett lösenord har, desto svårare är det att gissa eller testa sig fram till. För mer information, se NIST SP 800-633

Lösenordskontroll

I universitetets gemensamma webbinloggning finns teknikstöd för att säkerställa god lösenordskvalitet. Vid lösenordsbyte kontrolleras lösenord så att de:

  • Är sammansatta enligt kraven ovan
  • Inte återfinns i kataloger över lösenord av dålig kvalitet (som sifferkombinationer, egennamn, årstider, bilmärken etc)
  • Inte är detsamma som, eller för lika, det närmast föregående lösenordet

När användaren skriver in sitt förslag till nytt lösenord visas kvaliteten på lösenordet enligt en färgskala;

  • Rött – uppfyller inte universitetets minimikrav
  • Gult – uppfyller minimikraven
  • Grönt – överträffar minimikraven

Lösenord går inte att spara innan minimikraven uppfylls.

Lösenordsskydd

Säker lösenordshantering innebär att inloggningstjänsten skyddar lösenord från otillbörlig åtkomst och användning. Utöver detta ansvarar varje användare för att hålla sina lösenord hemliga och säkert förvarade.

Datalagring och transport av lösenord

För att reducera risken för obehörig åtkomst till lösenord gäller följande för lagring och transport av lösenord:

  • Lösenord ska aldrig kommuniceras via e-post.
  • Elektronisk lagring och transport:
    • Lösenord ska alltid lagras och transporteras i krypterad form, även på backup-media.
    • Lösenord ska aldrig presenteras i läsbar
  • Personal med teknisk åtkomst till datorer och datamedia där lösenord lagras (s.k. priviligierade behörigheter) ska underteckna särskilda ansvarsförbindelser.
  • En aktuell, uppdaterad lista över medarbetare med priviligierade behörigheter ska finnas vid den organisatoriska enhet som sköter driften av systemet, normalt avdelningen för universitetsgemensam IT.

Skydd mot nätbaserade gissningsattacker

För att minska risken för automatiserade gissningsattacker ska inloggningen vara skyddad genom begränsningar som förhindrar någon att göra många upprepade inloggningsförsök (lösenordsgissningar) på kort tid.

Universitetets gemensamma webbinloggning har skyddet utformat så att enbart ett visst antal försök får göras inom en timme, sedan låses kontot automatiskt under ett specificerat antal minuter.

3.2 Undantag

Om det i enskilda system finns särskilda skäl att inte följa ovanstående rutiner för lösenordskvalitet och/eller lösenordsskydd kan undantag godkännas av e- områdesansvarig/systemägare.

Undantag ska dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Dessutom måste särskild hänsyn tas vid åtkomst av data hämtad från andra system.

__________________________________

1 https://wiki.sunet.se/display/SWAMID/SWAMID+Policy, 2021-02-26

2 https://weblogin.uu.se, 2021-02-26

3 NIST SP 800–63 Digital Identity Guidelines Se särskilt på SP 800-63-4 och SP 800-63B 2024-05- 15

 

FÖLJ UPPSALA UNIVERSITET PÅ

Uppsala universitet på facebook
Uppsala universitet på Instagram
Uppsala universitet på Youtube
Uppsala universitet på Linkedin