Inledning

Anvisning som anger IT-centrums krav och hantering av lösenord för att uppnå en god säkerhet. Rekommendationer inhämtad från MSB, se mer info på www.msb.se.

Syfte
Syftet är att skapa en mer skyddad IT-miljö för kommunernas medarbetare. De höjda kraven är en direkt effekt av det rådande säkerhetsläget.

Ansvar användarkonto
Som innehavare av ett användarkonto ansvarar du själv för:

• att dina lösenord uppfyller kraven på kvalitet och hantering som anges i detta dokument
• att dina lösenord hålls hemliga
• att du som användare aldrig uppger dina lösenord till någon som efterfrågar dem via e-post, i telefon eller på annat sätt vill ta del av ditt lösenord
• att du inte använder samma lösenord för olika inloggningar, tex använd ej samma lösenord på Facebook eller din privata e-post som du har på din kommuninloggning

Lösenordskvalitet
Lösenord är strängt personliga och ska hanteras därefter. För lösenord gäller att de innehåller minst 12 tecken samt minst tre av följande:

• En versal (A-Z)
• En gemen (a-z)
• En siffra (0-9)
• Specialtecken (! @ # $ % & ( ) * + – [ \ ] ^ _ ` { | } ~ ’ ” , . )

Lösenordsfras
En lösenordsfras är ett bra sätt att skapa ett starkt lösenord. Det är sammansatt av minst fem slumpmässiga ord som bildar en längre mening. Det är viktigt att orden är slumpmässiga och inte en läsbar mening. Lösenordsfraser är relativt enkelt att komma ihåg, och kan vara enklare att skriva på t.ex. mobiltelefon.

Lösenord skall inte innehålla:

• å, ä, ö eller andra lokala tecken
• användarnamnet
• personlig information så som namn, användarnamn, personnummer, husdjur, barn mm
• vanlig teckenkombination (123456789Abc, Password1234, m.fl.)

Hantering av lösenord
Ditt lösenord skall vara hemligt och unikt för kommunens tjänster. Ditt lösenord skall inte återanvändas för tjänster utanför kommunen, så som t.ex. privat mail eller sociala medier.

Om fel lösenord anges mer än 5 gånger låses användarkontot.

Användarkontot ligger låst till dess att IT-support har blivit kontaktat för upplåsning. Alternativt kan användaren låsa upp sitt konto själv genom att använda sig av självbetjäningsportalen för lösenordshantering.

Om ditt lösenord blir känt av andra personer eller tjänster måste du byta lösenord snarast. Vid informationssäkerhetsincidenter eller om IT-centrum får kännedom om att ditt lösenord inte längre är hemligt, kommer IT-centrum initiera en tvingande lösenordsåterställning.

Lösenord är giltiga max ett år, lösenordet kan ändras när som under perioden av användaren själv.

Instruktioner för att ändra eller återställa lösenord finns på itcentrum.se

Undantag

Olika kontotyper har olika undantag från denna anvisning. Exempel på kontotyper där undantag kan ske med både högre och mindre krav, är:

• Elevkonton (8 tecken utan krav)
• Administratörskonton (16 tecken, starka lösenord)
• Systemkonton
• Funktionskonton
• Leverantörskonton, extern åtkomst (16 tecken, starka lösenord och tidsstyrda)

Ansvar

För system med egen inloggningshantering, är det systemförvaltaren/systemansvarig som bär ansvar att anvisning efterlevs, undantag enligt ovan kan förekomma beroende på systemets utformning.

För system som är kopplade till kommunernas gemensamma autentiserings- och inloggningstjänst, MS Active Directory (AD), finns systemstöd för efterlevnad av anvisningen.

Checklista för att säkra dina lösenord

• • Lämna aldrig ut dina lösenord.
  • Använd unika lösenord för olika tjänster, framför allt för dina viktigaste tjänster.
  • Använd långa lösenord, gärna en lösenordsfras som är lätt att minnas.
  • Aktivera flerfaktorinloggning där det går.