Table of Contents

Purpose and Scope

This wiki page is SWAMIDs template Password Policy including password complexity and password guessing rate limiting. In this page there is an example in Swedish with an additional translation to English how to create an environment that establish a resonable security level to fulfil both SWAMID Identity Assurance Level 1 Profile and SWAMID Identity Assurance Level 2 Profile.

...

• Bestå av minst 8 tecken.
• Vara sammansatt av följande tecken:
  • A – Z
  • a – z
  • 0 – 9
  • mellanslag
  • följande specialtecken: ~,!, @, #, $, %, ^, &, (, ), _, +, -, *, /, =, {, }, [, ], |, \, :, ;, ’ (enkelt citationstecken), ” (dubbelt citationstecken), <, >, , (kommatecken), . (punkt), och ?.
• Innehålla minst en versal, minst en gemen och antingen minst ett specialtecken eller en siffra.

...

• .

6.1.2

...

Lösenordssäkerhet

Alla användare avråds aktivt från att dela med sig av sina lösenord med andra användare, både interna och externa, antingen genom att använda tekniska kontroller eller genom att kräva att användare bekräftar användarregler som förbjuder delning av lösenord eller agerar på ett sätt som gör det enkelt att stjäla lösenordet.

Alla användare är uttryckligen avrådda från att använda sina lösenord i andra interna och externa system.

6.1.3 Lösenordskontroll

I [ORGANISATION] gemensamma inloggningstjänst finns teknikstöd för att säkerställa god lösenordskvalitet. Vid lösenordsbyte kontrolleras att dessa lösenord med avseende på att de

• är sammansatta enligt pkt. 6.1.1

I [ORGANISATION] gemensamma inloggningstjänst finns teknikstöd för att säkerställa god lösenordskvalitet. Vid lösenordsbyte kontrolleras att dessa lösenord med avseende på att de

• är sammansatta enligt pkt. 6.1.1 ovan,
• inte återfinns i en katalog med lösenord av dålig kvalitet (123456, egennamn, årstider, bilmärken etc.)¹,
• inte är detsamma som det närmast föregående och
• inte är samma som användarens övriga lösenord i den gemensamma inloggningstjänsten, t.ex. lösenordet för inloggning i trådlösa nät¹.

...

¹I Active Directory och andra nyckelfärdiga system är det inte alltid möjligt att genomföra kontroller enligt punkt två och fyra. Om detta gäller er är det rekommenderat att kravet på minsta lösenordslängd ökas med två tecken till tio tecken.

6.1.

...

4 Undantag

Om det i enskilda system som inte är kopplade till den gemensamma inloggningstjänsten föreligger särskilda tekniska skäl för att inte följa ovanstående policy för god lösenordskvalitet ska undantag godkännas av systemägare och dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Vidare måste särskild hänsyn tas vid åtkomst av data hämtade från andra system.

...

• 10 felaktiga gissningar innan automatisk kontolåsning.
• 5 minuters automatisk kontolåsning efter maximalt antal felaktiga gissningar.
• Räknaren över antalet felaktiga gissningar nollställs efter korrekt inloggning eller efter 60 minuter efter senaste felaktiga inloggningsförsök.

6.2.3

...

Undantag

Om det i enskilda system föreligger särskilda tekniska skäl för att inte följa ovanstående policy för lösenordsskydd ska undantag godkännas av systemägare och dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Vidare måste särskild hänsyn tas vid åtkomst av data hämtade från andra system.

Bilaga 1: Beräkning av lösenordsentropi

Lösenordsentropi lösenord räknas i bitar och enligt följande formel från NIST SP 800-63-2 bil. A.

Entropi för av användaren själv satt lösenord beräknas enligt formeln:

• Första tecknet ger fyra bitar.
• Tecken 2 till 8 ger 2 bitar.
• Tecken 9 till 20 ger 1,5 bitar.
• Tecken 21 och uppåt ger 1 bit.
• Ett tillägg om 6 bitar fås om lösenorden är komplexa, dvs. lösenordet innehåller minst en versal, minst en gemen och antingen minst en siffra och ett specialtecken.
• Ett tillägg om 6 bitar fås om omfattande ordlistekontroll sker så länge lösenordet inte överstiger 20 tecken.

Sammansättning av lösenord enligt avsnitt 6.1.1 i medför en lösenordsentropi på 24 bitar vilket är minimikravet på god lösenordskvalitet för [ORGANISATION].

English template Password Policy

1. Introduction

This document describes [ORGANISATION] policy for the quality and usage of password in accordance with SWAMID's policy.

2. Responsibilities

2.1 Compliance

As a user of the computer systems at [ORGANISATION], you are yourself responsible for the following:

• that your passwords fulfil the quality and usage described in this policy
• that

För att ytterligare reducera risken att en inkräktare avslöjar ett lösenord till [ORGANISATION] IT- och informationssystem ska varje användare kontinuerligt byta lösenord inom ett fastställt tidsintervall.

I [ORGANISATION] gemensamma inloggningstjänst gäller följande regler för lösenordsbyte:

• Tvingande lösenordsbyte senast inom 24 månader för anställda, övriga verksamma samt för s.k. funktionskonton.
• Tvingande lösenordsbyte senast inom 5 år för studenter.

6.2.4 Undantag

Om det i enskilda system föreligger särskilda tekniska skäl för att inte följa ovanstående policy för lösenordsskydd ska undantag godkännas av systemägare och dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Vidare måste särskild hänsyn tas vid åtkomst av data hämtade från andra system.

Bilaga 1: Beräkning av lösenordsentropi

Lösenordsentropi lösenord räknas i bitar och enligt följande formel från NIST SP 800-63-2 bil. A.

Entropi för av användaren själv satt lösenord beräknas enligt formeln:

• Första tecknet ger fyra bitar.
• Tecken 2 till 8 ger 2 bitar.
• Tecken 9 till 20 ger 1,5 bitar.
• Tecken 21 och uppåt ger 1 bit.
• Ett tillägg om 6 bitar fås om lösenorden är komplexa, dvs. lösenordet innehåller minst en versal, minst en gemen och antingen minst en siffra och ett specialtecken.
• Ett tillägg om 6 bitar fås om omfattande ordlistekontroll sker så länge lösenordet inte överstiger 20 tecken.

Sammansättning av lösenord enligt avsnitt 6.1.1 i medför en lösenordsentropi på 24 bitar vilket är minimikravet på god lösenordskvalitet för [ORGANISATION].

English template Password Policy

1. Introduction

This document describes [ORGANISATION] policy for the quality and usage of password in accordance with SWAMID's policy.

2. Responsibilities

2.1 Compliance

As a user of the computer systems at [ORGANISATION], you are yourself responsible for the following:

• that your passwords fulfil the quality and usage described in this policy
• that you keep your passwords secret
• that, in accordance with the point above, you never divulge your passwords to anyone who asks for them via email, telephone or in any other way.

...

Password protection. Secure password usage means, apart from the fact that every user is responsible for keeping his/her passwords secret, that the login service protects passwords from unauthorized unauthorised access and use. See point 6.2 for further instructions.

...

The overall purpose of this policy is, as much as possible, to protect [ORGANISATION]'s password protected information systems from unauthorized unauthorised users.

5. Strategies

All information systems (applications) must be connected to [ORGANISATION]'s central login service unless specific reasons apply.

...

• Contains at least 8 characters.
• Be comprised with the following characters:
  • A-Z
  • a-z
  • 0-9
  • space
  • following special characters ~,!, @, #, $, %, ^, &, (, ), _, +, -, *, /, =, {, }, [, ], |, \, :, ;, ' (single quote), " (double quote), ,(comma), .(full stop) and ?.
• contain at least one upper case, at least one lower case and either at least one special character or a number.

The user should warned not to use the same password in other internal or external IT services.

...

6.1.2 Password

...

security

All users are actively discouraged from sharing credentials with other users, both internal and external, either by using technical controls or by requiring users to confirm policy forbidding sharing of credentials or acting in a way that makes stealing credentials easy.

All users  are explicitly discouraged to reuse their passwords in other internal and external systems.

6.1.3 Password control

In [ORGANISATION] central login service there is technical support that maintains good password quality. During a password change, the password is validated such that:

• it is comprised according to point 6.1.1 above
• it does

In [ORGANISATION] central login service there is technical support that maintains good password quality. During a password change, the password is validated such that:

• it is comprised according to point 6.1.1 above
• it does not exist in a word list comprising of bad passwords (12345, own name, seasons, car makes etc.)¹
• it is not the same as the previous password
• it is not similar to the user's other passwords in the central login service.¹

...

¹In Active Directory or other commercial systems is it not possible to adhere to item two or four. If that's true it's recommended that the least acceptable is password length is extended two characters to ten characters.

6.1.

...

4 Exceptions

If there exist specific systems, not connected to the central login service, where there are exceptional technical reasons for not complying with the above policy, such exceptions must be approved by the system owner and documented in the system's management plan or similar document. Furthermore, special consideration must be taken when accessing the data retrieved from other systems.

...

• Passwords must always be stored and transported in encrypted form. This applies also to backup media.
• Passwords must never be visible in a readable format.
• Passwords must never be divulged over email, telephone or any other communicable manner.
• IT staff with technical access to those computer systems or media where passwords are stored must sign special responsibility agreements. An updated with over employees with such privileges must exist within the organisation that manages the systems, e.g. [IT-ORGANISATION].

6.2.2 Protection against network-based brute force attacks (Rate limiting)

To reduce the risk of brute force attacks against passwords, logins must be protected via so-called rate limiting that prevents an attacker from making repeated password guesses during a short time frame.

In [ORGANISATION] central login service this should be designed as follows:

• Maximum of 10 wrong guesses during a time frame of 60 minutes.
• Thereafter automatic disabling of account for 5 minutes

6.2.3 Password change

• systems, e.g. [IT-ORGANISATION].

6.2.2 Protection against network-based brute force attacks (Rate limiting)

To reduce the risk of brute force attacks against passwords, logins must be protected via so-called rate limiting that prevents an attacker from making repeated password guesses during a short time frameTo further reduce the risk that an intruder discovers a password that belongs to [ORGANISATION]'s IT and information systems, every user must continuously change their password according to a defined time period.

In [ORGANISATION] 's central login service the following rules shall apply for password change:this should be designed as follows:

• Maximum of 10 wrong guesses during a time frame of 60 minutes.
• Thereafter automatic disabling of account for 5 minutes
• Forced password change every 24 months for employees, affiliates and for system accounts.
• Forced password change every 5 years for students.

6.2.

...

3 Exceptions

If there exist systems with specific technical reasons for not following the above policy, they must be approved by the system owner and documented in the system's management plan or similar document. Furthermore, special consideration must be taken when accessing the data retrieved from other systems.

...

1. Passwords may not contain the user's samAccountName (Account Name) value.
   • The samAccountName is checked in its entirety only to determine whether it is part of the password. If the samAccountName is less than three characters long, this check is skipped.
   • The check is not case sensitive.
2. Passwords may not contain the user's entire displayName (Full Name value).
   • The displayName is parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. If any of these delimiters are found, the displayName is split and all parsed sections (tokens) are confirmed to not be included in the password. Tokens that are less than three characters are ignored, and substrings of the tokens are not checked. For example, the name "Erin M. Hagens" is split into three tokens: "Erin", "M", and "Hagens". Because the second token is only one character long, it is ignored. Therefore, this user could not have a password that included either "erin" or "hagens" as a substring anywhere in the password.
   • The check is not case sensitive.
3. The password contains characters from three of the following categories:
   • Uppercase letters of European languages (A through Z, with diacritic marks, Greek and Cyrillic characters).
   • Lowercase letters of European languages (a through z, sharp-s, with diacritic marks, Greek and Cyrillic characters).
   • Base 10 digits (0 through 9).
   • Non-alphanumeric characters (special characters) (for example, !, $, #, %).
   • Any Unicode character that is categorized categorised as an alphabetic character but is not uppercase or lowercase. This includes Unicode characters from Asian languages.