Når 8 av 10 sikkerhetsproblemer er knyttet til passord, blir det stadig viktigere å sikre at de ansatte bruker sterke passord og følger beste praksis.Som du vil finne ut i dette innlegget , kan en godt utformet passordpolicy hjelpe bedriften din med å gjøre nettopp det. Vi tar for oss både fordelene og ulempene ved å implementere retningslinjer for passord, og går gjennom de fem prinsippene bak vår mal for passordpolicy, som du kan laste ned og bruke gratis. Når du har lest denne artikkelen, vil du være i stand til å sette opp dine egne retningslinjer for bedriftens passord, slik at bedriftens kontoer og data er bedre beskyttet.
Trenger du en policy for bedriftspassord?
De fleste av oss vet at sterke passord er avgjørende for å beskytte kontoene våre. Men hva folk anser som et sterkt passord, varierer fra person til person.
En undersøkelse utført av Google viste at 66% bruker de samme passordene til flere kontoer, og 3 av 4 synes det er frustrerende å holde styr på passordene sine. Så selv om folk kjenner til de beste fremgangsmåtene for å opprette sikre passord, er detikke sikkert at de faktisk bruker dem.
Det kan være fristende å tenke at de ansatte ikke trenger å bruke sterke passord fordi de ikke håndterer konfidensiell informasjon. Så hvem skulle vel ønske å få tilgang til kontoene deres? Men det er mange grunner til at kontoer blir hacket, for eksempel kan nettkriminelle prøve å stjele sensitive data, phishe kundene dine eller installere skadelig programvare , for bare å nevne noen få.
For små bedrifter har datainnbrudd langvarige konsekvenser, og i noen tilfeller kan det bety slutten for virksomheten. En undersøkelse utført av Verizon viste at 69 % av forbrukerne ville unngå et selskap som hadde vært utsatt for datainnbrudd. Derfor bør det å opprette sterke passord ikke bare være en oppgave for den enkelte ansatte, men et ansvar som ligger hos hele organisasjonen. Det er her passordpolicyen kommer inn i bildet.
Last ned malen her og kom i gang.
Hva er en passordpolicy?
Så hva er en passordpolicy? En passordpolicy består av retningslinjer for opprettelse, vedlikehold og bruk av sterke passord på jobben. Å implementere og få de ansatte til å følge en passordpolicy er en enkel måte å sikre at alle i organisasjonen følger samme standard.
Du kan utforme passordpolicyen slik at den står for seg selv, eller du kan gjøre den til en del av retningslinjene for akseptabel bruk.
Fordeler med å bruke en passordpolicy
Med retningslinjer for passord på plass er det mer sannsynlig at de ansatte oppretter sterke passord og bruker dem konsekvent på tvers av kontoene sine. En godt utformet passordpolicy bidrar til å beskytte organisasjonens eiendeler, opprettholde samsvar med GDPR og redusere driftskostnadene forbundet med svake passord.
Ulemper ved å bruke en passordpolicy
Selv om det er mange fordeler med en passordpolicy, er det noen ting du må huske på. Å sette opp en ny policy betyr ikke nødvendigvis at det blir enklere for de ansatte, og hvis retningslinjene dine er for kompliserte, er det ingen som gidder å følge dem.
Så ikke gå i fellen og opprett en passordpolicy i den tro at arbeidet ditt er gjort her, men vurder i stedet hvilken ekstra sikkerhetsopplæring de ansatte trenger.
Kombiner passordpolicyen med opplæring i sikkerhetsbevissthet
Passordpolicyen er et dokument med retningslinjer, og den er ikke der for å informere de ansatte om hvorfor de bør opprette sterke passord eller om sikkerhetsrisikoen forbundet med svake passord.
Kombiner retningslinjene med trening i sikkerhetsbevissthet for å lære de ansatte om sikkerhetsrisikoer og hvordan de skal håndtere dem. Bevissthet er din beste venn når det gjelder IT-sikkerhet og overholdelse av GDPR.
Last ned vår gratis mal forpassordpolicy
Det er snart på tide å gå gjennom hvordan en passordpolicy kan se ut, men la meg først gi deg en introduksjon til vår mal for passordpolicy. I stedet for å lage en tilpasset policy fra bunnen av, vil jeg gjerne gi deg muligheten til å spare tid og penger ved å laste ned vår mal for passordpolicy. Malen består av retningslinjer for sikre og brukbare passord.
Last ned gratis mal for passordpolicy
Nå skal jeg ta deg gjennom prinsippene bak malen. Så ikke lukk artikkelen ennå.
De fem prinsippene bak vår mal for passordpolicyer
Passordpolicyer bør oppmuntre til bruk av sterke og brukbare passord. I vår mal for passordpolicy har vi tatt hensyn til begge disse faktorene, samtidig som vi følger Microsofts anbefalinger for passordadministrasjon. Her er de fem prinsippene du bør ta hensyn til når du setter opp en passordpolicy.
1. Gjør passord på 12 tegn til et minimumskrav
Som overskriften antyder, bør ansatte bruke passord på 12 tegn som ikke inneholder vanlige fraser eller ord som kan finnes i en ordbok, eller navn på en person, et tegn, et produkt eller en organisasjon.
Hvorfor dette? Passordlengden spiller en stor rolle for hvor raskt hackere kan knekke et passord, og med andre ord hvor sikre kontoene dine er.
Dette er forklart i detalj i Hive Systems' passordtabell fra 2022, men jeg skal gi deg et kort eksempel her. La oss si at du oppretter et passord på 8 tegn med både store og små bokstaver. Et passord som dette vil det bare ta 13 minutter for hackere å knekke. Mens et passord på 12 tegn som inneholder både store og små bokstaver, vil det ta over 200 år å dekode.
Det er alarmerende at 80% av alle amerikanske passord inneholder mindre enn 12 tegn og er enkle å hacke. For å unngå den store sikkerhetsrisikoen med korte passord bør du lære opp de ansatte og gjøre lange passord med minst 12 tegn (men helst enda lengre) til etobligatorisk krav.
2. Vurder fordeler og ulemper med passordadministratorer
Undersøkelser viser at de fleste skriver ned passordene sine for å huske dem. Dette er kanskje ikke en helt usikker metode, ettersom de fleste nettkriminelle bruker digitale metoder for å hacke passord. Men fordi det er vanskelig å skrive ned lange og unike passord, ender folk opp med å lage svake passord eller gjenbruke det samme passordet flere ganger.
Lagre passordene dine slik at du enkelt kan få tilgang til dem, samtidig som de er beskyttet mot utenforstående. Passordadministratorer gjør det mulig for ansatte å opprette sterke og tilgjengelige passord. Passordadministratore er programmer somlagrer innloggingsdata for flere kontoer i et kryptert hvelv. Det eneste passordet de ansatte trenger å opprette og huske, er hovednøkkelen til passordhvelvet.
En annen stor fordel med passordadministratorer er at de gir IT-sjefen statistikk over hvor sterke passord de ansatte bruker, og om de følger prinsippene i passordpolicyen. En digital passordadministrator må administreres av organisasjonen og ikke av den enkelte ansatte.
Er passordadministratorer trygge?
Selv om passordadministratorer anses som trygge, er det en sikkerhetsrisiko man må ta hensyn til før man tar dem i bruk.
Hvis noen får tilgang til hovednøkkelen og det krypterte hvelvet ditt, vil de ha tilgang til alle passordene dine. I likhet med andre applikasjoner blir også passordbehandlere hacket. Dette skjedde med passordadministratoren LastPass, hvis kunder fikk hvelvene sine stjålet tidlig i 2023.
For å holde passordene og kontoene dine helt trygge, bør du bruke en passordbehandler i kombinasjon med en multifaktorautentisering.
3. Bruk tofaktorautentisering når det er mulig
Å alltid bruke en tofaktorautentisering når det er mulig, er kanskje det viktigste prinsippet på denne listen, og er et MUST for alle bedrifter. Når du bruker en tofaktorautentisering setter du opp en ekstra sikkerhetsmåling for å få tilgang til kontoene dine .
For å logge inn på kontoen din må du taste inn en sikkerhetskode som sendes til en annen enhet enn den som brukes til innlogging. Dette betyr at selv om en nettkriminell skulle få tilgang til passordet ditt,vil vedkommende ikke kunne logge inn på kontoen din uten sikkerhetskoden.
Bruk av en multifaktorautentisering øker kontosikkerheten og blokkerer ifølge Microsoft hele 99,9 % av alle angrep. Så det er definitivt god sikkerhetspraksis å gjøre det obligatorisk for ansatte å installere en tofaktorautentiseringsapp og bruke den når det er mulig.
Et eksempel på en sikker tofaktorautentisering er Microsoft Authenticator.
4. Hold sikkerhetsretningslinjene enkle
Jeg har allerede nevnt dette, men det er viktig å holde retningslinjene for passordsikkerhet så enkle som mulig for å understreke hva som er viktig og sikre at informasjonen er lett å huske.
For å holde det enkelt, jo kortere retningslinjene er, desto bedre.
Prøv å bruke et enkelt språk og fokuser på de viktigste punktene. Unngå å gå inn på detaljer, og gjør det i stedet klart hvem de ansatte skal henvende seg til når de har spørsmål eller trenger råd om passord.
5. Unngå for spesifikke krav til passordkompleksitet
Til slutt kan det være lurt å unngå for spesifikke krav til kompleksitet, det vil si hvilke tegn, tall og bokstavtyper passordene må inneholde. Selv om noen kompleksitetskrav, som at du ikke kan bruke et av de vanligste passordene eller ditt eget navn, kan gjøre passordene sikrere, kan flere spesifikke krav til hvilke tegn som skal brukes, gjøre det hele altfor komplisert.
For å holde det enkelt inkluderer ikke vårt eksempel på passordpolicy krav til tegnkompleksitet, da vi mener at for mange regler kan ende opp med å virke mot deg. I stedet fokuserer vi på to-faktor og lengde, som beskytter deg mot de fleste passordrelaterte angrep. Noen policyer har regler for hvor ofte passordene skal endres og hvor mange spesialtegn de skal inneholde.
Til slutt er det en god idé å informere de ansatte om de vanligste passordene og forby dem å bruke dem. Du kan gjøre dette på mange måter. Hvorfor ikke henge opp plakater på kontoret for å gjøre det på en morsom måte?
Cybersikkerhet trenger ikke å være så alvorlig, men det bør være synlig og til stede!Besøk plakatbiblioteket vårt for å laste ned gratis plakater om sikkerhetsbevissthet , som den nedenfor.
Bedriftens passordpolicy bør være sikker og anvendelig
Hvis du reflekterer over hvorfor bedriften din trenger en passordpolicy, kan du lettere forklare hvorfor resten av kollegene dine bør følge den. Som regel bør du alltid være tydelig på hvem de nye sikkerhetsretningslinjene gjelder for, og i hvilke situasjoner de skal brukes.
Implementering av en passordpolicy bidrar ikke bare til økt bevissthet og etterlevelse av beste praksis, men er også et uttrykk for de verdiene og den sikkerhetskulturen som ledelsen oppfordrer til. Derfor kan passordpolicyer bidra til å skape en sterkere sikkerhetskultur og sette den rette tonen for sikkerhetsarbeidet.
Hvis du har spørsmål om dette blogginnlegget eller noe annet passordrelatert, er du velkommen til å ta kontakt med teamet vårt!
Les flere passordrelaterte artikler: