You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 21 Next »

Purpose and Scope

This wiki page is SWAMIDs template password policy including password complexity and password guessing rate limiting. In this page we giva an example in Swedish how to create an environment that creates a resonable security level to fulfill both SWAMID Identity Assurance Level 1 Profile and the forthcoming SWAMID Identity Assurance Level 2 Profile.

Determining password strength

There are two factors to consider in determining password strength:

  1. the average number of guesses the attacker must test to find the correct password and
  2. the ease and speed of which an attacker can check the validity of each guessed password.

The first factor is determined by how long the password is, how large set of characters or symbols that be used in the password, if a combination of both lower, upper and non alphabetic characters is used and whether the password is created randomly or created by the user himself. There is a trade of regarding demanding a high complexity and the users ability to remember the password.

The second factor is the rate at which an attacker can submit passwords guesses to the system. If some kind of rate limiting and maximum password age is used the need for password complexity is greatly redused in online scenarios. However the identity management system must store information about the user passwords in some form and if that information is stolen, say by breaching system security, the less complex passwords can be at greater risk.

Template password policy

SWAMID template password policy is written in Swedish due to that the implementing organisation are Swedish legal entities.

Some reading help:

  • The policy is made for a decentralised IT-organization but is easily adapted to a centralized organization.
  • All text within [] should be changed to local information.

1 Inledning

Detta dokument anger [ORGANISATION] policy för kvalitet på samt hantering av lösenord i enlighet med identitetsfederationen SWAMIDs policy.

2 Ansvar

2.1 Efterlevnad

Som användare av [ORGANISATION] informationssystem ansvarar du själv för

  • att dina lösenord uppfyller den kvalitet och hantering som anges i denna policy.
  • att du håller dina lösenord hemliga.
  • att, som en del av ovanstående punkt, aldrig uppge dina lösenord till någon som efterfrågar dem via e-post, i telefon eller på annat sätt.

 För system som är kopplade till [ORGANISATION] gemensamma inloggnings- och autentiseringsrutiner (Webbinloggning, LDAP och Active Directory) finns systemstöd för efterlevnad av policyn.

För system med egen lösenordshantering är det systemägare som ansvarar för efterlevnad av denna policy.

2.2 Uppdateringar av policyn

[IT-CHEF/SÄKERHETSCHEF] ansvarar för att dennaa policy uppdateras kontinuerligt samt fastställer policyn på detaljerad nivå.

Större revideringar av denna övergripande policy ska fastställas av [REKTOR/FÖRVALNINGSCHEF].

3 Definitioner

Lösenordskvalitet. God lösenordskvalitet innebär att ett lösenord är tillräckligt långt och komplext sammansatt för att reducera risken för att en inkräktare kan gissa sig till rätt lösenord. Två saker avgör svårigheten i att gissa ett lösenord: längden och komplexiteten på lösenordet. Med hjälp av dessa kan man räkna ut lösenordets entropi . Ju högre entropi ett lösenord har desto svårare är det att gissa det. Lösenordsentropi räknas i bitar och enligt följande formel från NIST SP 800-63-2 bil. A:

  • Första tecknet ger fyra bitar.
  • Tecken 2 till 8 ger 2 bitar.
  • Tecken 9 till 20 ger 1,5 bitar.
  • Tecken 21 och uppåt ger 1 bit.
  • Ett tillägg om 6 bitar fås om lösenorden är komplexa, dvs. lösenordet innehåller minst en versal, minst en gemen och antingen minst en siffra och ett specialtecken.
  • Ett tillägg om 6 bitar fås om omfattande ordlistekontroll sker så länge lösenordet inte överstiger 20 tecken.

Se pkt. 6.1 för vidare information.

Lösenordsskydd. Säker lösenordshantering innebär, förutom att varje användare ansvarar för att hålla sina lösenord hemliga, att inloggningstjänsten skyddar lösenord från otillbörlig åtkomst och användning. Se pkt. 6.2 för vidare instruktioner.

Tvåfaktorautentisering. Inloggning (autentisering) med två skilda faktorer; ”något man vet” (t.ex. ett lösenord) och ”något man har” (t.ex. ett kort).

4 Syfte

Det övergripande syftet med denna policy är att så långt det är möjligt skydda [ORGANISATION] lösenordsskyddade informationssystem från obehöriga användare.

5. Strategier

Alla informationssystem (applikationer) ska vara kopplade till [ORGANISATION] gemensamma inloggningstjänst om inte särskilda skäl föreligger.

[ORGANISATION] gemensamma inloggningstjänst innehåller teknikstöd för god lösenordskvalitet och säker lösenordshantering, se pkt. 6.1 och 6.2.

Varje användare har ett [MASTERLÖSENORD] för inloggning till [ORGANISATION] IT-tjänster. För inloggning till vissa [ORGANISATIONSGEMENSAMMA] IT-tjänster som t.ex. det trådlösa nätverket har varje användare dessutom ytterligare ett lösenord. Därutöver kan verksamhets- och/eller systemspecifika lösenord finnas.

Tvåfaktorautentisering ska användas för åtkomst till IT-tjänster eller system (applikationer) som enligt [ORGANISATION] policy för informationsklassificering innehåller konfidentiell information med HÖGA eller SÄRSKILDA KRAV på att skydda informationen från obehöriga användare.

6 Omfattning

Policyn för lösenordshantering gäller för alla IT-tjänster och system (applikationer) vid [ORGANISATION].

Policyn omfattar två områden, lösenordskvalitet och lösenordsskydd.

6.1 Lösenordskvalitet

6.1.1 Lösenordssammansättning

Ett lösenord ska vara sammansatt på följande sätt:

  • Bestå av minst 8 tecken.
  • Vara sammansatt av följande tecken:
    • A – Z
    • a – z
    • 0 – 9
    • mellanslag
    • följande specialtecken: ~,!, @, #, $, %, ^, &, (, ), _, +, -, *, /, =, {, }, [, ], |, \, :, ;, ’ (enkelt citationstecken), ” (dubbelt citationstecken), <, >, , (kommatecken), . (punkt), och ?.
  • Innehålla minst en versal, minst en gemen och antingen minst ett specialtecken eller en siffra.

Ovanstående sammansättning av ett lösenord medför en lösenordsentropi på 24 bitar vilket är [ORGANISATION] minimikrav på god lösenordskvalitet.

6.1.2 Lösenordskontroll

I [ORGANISATION] gemensamma inloggningstjänst finns teknikstöd för att säkerställa god lösenordskvalitet. Vid lösenordsbyte kontrolleras att dessa lösenord med avseende på att de

  • är sammansatta enligt pkt. 6.1.1 ovan
  • inte återfinns i en katalog med lösenord av dålig kvalitet (123456, egennamn, årstider, bilmärken etc.)
  • inte är detsamma som det närmast föregående
  • inte är för lika användarens andra lösenord i den gemensamma inloggningstjänsten.

När användaren skriver in sitt nya lösenord visas kvaliteten på valt lösenord enligt följande skala:

  • Rött = uppfyller inte minimikrav på lösenordskvalitet.
  • Gult = uppfyller minimikraven.
  • Grönt = överträffar minimikraven med en entropi på ytterligare 6 bitar.

Lösenordet går inte att spara förrän det uppfyller minimikraven.

6.1.3 Undantag

Om det i enskilda system som inte är kopplade till den gemensamma inloggningstjänsten föreligger särskilda tekniska skäl för att inte följa ovanstående policy för god lösenordskvalitet ska undantag godkännas av systemägare och dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Vidare måste särskild hänsyn tas vid åtkomst av data hämtade från andra system.

6.2 Lösenordsskydd

6.2.1 Datalagring och transport av lösenord

För att reducera risken för obehörig åtkomst till lösenord gäller följande policy för lagring och transport av lösenord:

  • Lösenord ska alltid lagras och transporteras i krypterad form. Detta gäller även back up- media.
  • Lösenord ska aldrig presenteras i läsbar form.
  • Lösenord ska aldrig kommuniceras via epost, telefon eller motsv.
  • IT-personal med teknisk åtkomst till de datorer och datamedia där lösenord lagras ska underteckna särskilda ansvarsförbindelser. En uppdaterad lista över medarbetare med dessa priviligierade behörigheter ska finnas vid den organisation som sköter driften av systemet, t.ex. [IT-ORGANISATION].

6.2.2 Skydd mot nätbaserade gissningsattacker (Rate limiting)

För att reducera risken för automatiserade gissningsattacker mot lösenord ska inloggningen vara skyddad genom s.k. rate limiting som förhindrar en inkräktare att göra många upprepade lösenordsgissningar på kort tid.

I [ORGANISATION] gemensamma inloggningstjänst är detta utformat enligt följande:

  • Max. antal felaktiga gissningar under en tidsperiod på 60 minuter = 10.
  • Därefter automatisk kontolåsning = 5 minuter.

6.2.3 Lösenordsbyte

För att ytterligare reducera risken att en inkräktare avslöjar ett lösenord till [ORGANISATION] IT- och informationssystem ska varje användare kontinuerligt byta lösenord inom ett fastställt tidsintervall.

I [ORGANISATION] gemensamma inloggningstjänst gäller följande regler för lösenordsbyte:

  • Tvingande lösenordsbyte senast inom 24 månader för anställda, övriga verksamma samt för s.k. funktionskonton.
  • Tvingande lösenordsbyte senast inom 5 år för studenter.

6.2.4 Undantag

Om det i enskilda system föreligger särskilda tekniska skäl för att inte följa ovanstående policy för lösenordsskydd ska undantag godkännas av systemägare och dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Vidare måste särskild hänsyn tas vid åtkomst av data hämtade från andra system.

 

  • No labels