Noen av avviksmeldingene som blir sendt til Datatilsynet er fra virksomheter som har vært utsatt for lekkasjer av passord, eller at ansatte har vært utsatt for blant annet phishing eller løsepengevirus. Vi har også opplevd at virksomheter har oppdaget at brukernes eller kundenes passord har ligget tilgjengelig i søkbare databaser med lekkede passord.
Sterk autentisering (tofaktorautentisering/ totrinnsbekreftelse/ flerfaktorautentisering) gir bedre beskyttelse enn passord alene. Dette anbefaler vi at virksomheter legger til rette for og at enkeltpersoner benytter seg av. I vår saksbehandling gir vi noen ganger også pålegg om det.
Nasjonal sikkerhetsmyndighet (NSM) og Nettvett.no har utarbeidet anbefalinger om passord. Vi støtter disse anbefalingene og oppsummerer de kort nedenfor.
Anbefalingen for virksomheter:
- Innfør tofaktorautentisering
- Unngå at passord lagres i klartekst (OWASP Password Storage Cheat Sheet gir veiledning om sikrere lagring av passord)
- Innfør rutiner for å kontrollere nye passord mot mye brukte og kompromitterte passord
- Innfør rutiner for å bytte standardpassord på nytt utstyr
- Gi brukere som trenger administratorrettigheter to kontoer
Det finnes også tjenester som https://haveibeenpwned.com/ der domeneeiere og IT-administratorer kan få varsler dersom en e-postadresse i domenet dukker opp i en lekkasje.
Anbefalingen for enkeltpersoner:
- Bruk tofaktorautentisering der det tilbys
- Bruk unike passord (ikke gjenbruk passord på tvers av tjenester)
- Bruk passordhåndteringsprogrammer (password managers)
- Privat kan du også lage en passordliste med penn og papir, men beskytt dokumentet som et verdipapir
- Bytt alltid standardpassord på produkter du kjøper eller tjenester du benytter deg av
Se også Nettvett.no sin veileder: Slik lager du sterke passord.