Som användare av IT-resurser vid Linköpings universitet ansvarar du själv för att dina lösenord håller den kvalitet som anges i denna policy, att du håller dina lösenord hemliga, och som konsekvens av detta aldrig uppger dina lösenord för någon, även om de efterfrågar dem. Ingen har rätt att begära dina lösenord, och du har inte rätt att uppge dem.
Lösenordskvalitet
Dina lösenord ska vara starka. Starka lösenord kan skapas antingen genom att kombinera enskilda tecken till ett relativt kort men komplext lösenord, eller skapa lösenordsfraser genom att kombinera flera ord. Lösenordsfraser är rekommenderade.
Komplexa lösenord
Ett komplext lösenord består av minst tio slumpmässigt valda tecken och inkluderar versaler, gemener, siffror och specialtecken. Tecknen ska inte väljas med någon systematik. Att exempelvis ta första bokstaven ur flera ord, eller ändra vissa bokstäver till siffror i ett ord är inte lämpligt, eftersom detta leder till förutsägbara mönster.
Komplexa lösenord ger god säkerhet, går snabbt att skriva på vanligt tangentbord, men är i allmänhet svåra att komma ihåg och svåra att skriva på t.ex. mobiltelefon.
Lösenordsfraser
En lösenordsfras är en fras som består av minst sex slumpmässigt valda ord. Det finns sidor på Internet, t.ex. https://en.wikipedia.org/wiki/Diceware, som visar hur man med hjälp av tärning och en ordlista kan konstruera en lösenordsfras; dessa kan med fördel användas. Det är inte nödvändigt att använda versaler, siffror eller specialtecken i en lösenordsfras.
Lösenordsfraser ger högre säkerhet än komplexa lösenord, är enklare att komma ihåg, och är typiskt enklare att skriva på t.ex. mobiltelefon.
Hantering av lösenord
Det är inte tillåtet att uppge sitt lösenord för någon annan. Ingen har rätt att fråga dig efter ditt lösenord, och du ska inte under några omständigheter uppge det – inte heller till medarbetade vid Linköpings universitet.
Använd olika lösenord till olika system. Använd aldrig ditt LiU-lösenord till tjänster utanför LiU. Genom att göra det har du i praktiken uppgett ditt lösenord för någon annan.
Använd gärna lösenordshanterare. Lösenordshanterare låter dig skydda flera lösenord med hjälp av ett enda huvudlösenord. De kan ofta kopplas ihop med t.ex. webbläsare för att förenkla inloggning och användning av olika lösenord på varje webbplats. De kan även hjälpa till att skapa säkra lösenord.
Det är tillåtet att skriva upp lösenord. Uppskrivna lösenord ska förvaras på ett säkert ställe, utan information om vad de används till.
Om ditt lösenord blir känt av andra måste du byta det. Digitaliseringsavdelningen kan komma att begära att du byter ditt lösenord, och skickar i så fall en instruktion för hur man går till väga. Lösenord byts alltid på minit.liu.se, aldrig på annan plats. Om du är osäker på om en begäran om att byta lösenord är legitim, kontakta Digitaliseringsavdelningens kundcenter och uppge det ärendenummer du fått.
Systemkrav
Detta avsnitt innehåller krav på system vid LiU som använder eller hanterar lösenord. Enskilda studenter eller medarbetare behöver normalt inte ta hänsyn till dessa.
Användning av lösenord
Autentisering bör ske genom användning av LiU:s IdP-tjänster, så att lösenord inte behöver hanteras i systemet.
Tilldelning och byte av lösenord
Vid byte eller tilldelning av lösenord ska lösenordets kvalitet kontrolleras i den mån det är möjligt. I tekniska system som inte klarar att kontrollera komplexitet är det tillräckligt att kontrollera längd. Det är olämpligt att med tekniska medel kräva en blandning av teckentyper eftersom detta omöjliggör användande av lösenordsfraser.
Lagring av lösenord
Lösenord som lagras permanent ska företrädesvis lagras som saltad hash.
Det förekommer att lösenord i klartext är nödvändiga; i dessa fall ska lösenorden lagras krypterade, företrädesvis med krypteringsnyckel som inte finns permanent på systemet. Utformningen av dessa system måste granskas och godkännas av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare.
System som lagrar lösenord tillfälligt som del i överföringen av t.ex. nya lösenord mellan system får lagra dessa i klartext under förutsättning att lagringen sker under en mycket begränsad tid. Utformningen av dessa system måste granskas och godkännas av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare.
Överföring av lösenord
Lösenord ska alltid överföras krypterat. Överföringen bör använda TLS 1.2 eller senare med verifiering av åtminstone mottagarens identitet. Krypteringen ska använda aktuell best practice för TLS. Om andra kryptosystem används måste dessa granskas och godkännas av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare.
Lösenord bör aldrig kommuniceras över telefon eller e-post. Undantag kan göras i processer där t.ex. ett engångslösenord ska kommuniceras till en enskild användare. Detta kan göras till på förhand känd e-postadress, telefonnummer, eller postadress. Utformningen av sådana processer ska granskas och godkännas av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare.
Undantag
Undantag från denna policy kan medges av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare. Undantag medges endast i undantagsfall och typiskt enbart för system som har en begränsad användargrupp och inte hanterar känslig information.
