Lösenordspolicy vid Linköpings universitet

Detta dokument anger Linköpings universitets policy för kvalitet och hantering av lösenord. Policyn uppfyller kraven från identitetsfederationen SWAMID. 

Som användare av IT-resurser vid Linköpings universitet ansvarar du själv för att dina lösenord håller den kvalitet som anges i denna policy, att du håller dina lösenord hemliga, och som konsekvens av detta aldrig uppger dina lösenord för någon, även om de efterfrågar dem. Ingen har rätt att begära dina lösenord, och du har inte rätt att uppge dem. 

Lösenordskvalitet 

Dina lösenord ska vara starka. Starka lösenord kan skapas antingen genom att kombinera enskilda tecken till ett relativt kort men komplext lösenord, eller skapa lösenordsfraser genom att kombinera flera ord. Lösenordsfraser är rekommenderade. 

Komplexa lösenord 

Ett komplext lösenord består av minst tio slumpmässigt valda tecken och inkluderar versaler, gemener, siffror och specialtecken. Tecknen ska inte väljas med någon systematik. Att exempelvis ta första bokstaven ur flera ord, eller ändra vissa bokstäver till siffror i ett ord är inte lämpligt, eftersom detta leder till förutsägbara mönster. 

Komplexa lösenord ger god säkerhet, går snabbt att skriva på vanligt tangentbord, men är i allmänhet svåra att komma ihåg och svåra att skriva på t.ex. mobiltelefon. 

Lösenordsfraser 

En lösenordsfras är en fras som består av minst sex slumpmässigt valda ord. Det finns sidor på Internet, t.ex. https://en.wikipedia.org/wiki/Diceware, som visar hur man med hjälp av tärning och en ordlista kan konstruera en lösenordsfras; dessa kan med fördel användas. Det är inte nödvändigt att använda versaler, siffror eller specialtecken i en lösenordsfras. 

Lösenordsfraser ger högre säkerhet än komplexa lösenord, är enklare att komma ihåg, och är typiskt enklare att skriva på t.ex. mobiltelefon. 

Hantering av lösenord 

Det är inte tillåtet att uppge sitt lösenord för någon annan. Ingen har rätt att fråga dig efter ditt lösenord, och du ska inte under några omständigheter uppge det – inte heller till medarbetade vid Linköpings universitet. 

Använd olika lösenord till olika system. Använd aldrig ditt LiU-lösenord till tjänster utanför LiU. Genom att göra det har du i praktiken uppgett ditt lösenord för någon annan. 

Använd gärna lösenordshanterare. Lösenordshanterare låter dig skydda flera lösenord med hjälp av ett enda huvudlösenord. De kan ofta kopplas ihop med t.ex. webbläsare för att förenkla inloggning och användning av olika lösenord på varje webbplats. De kan även hjälpa till att skapa säkra lösenord. 

Det är tillåtet att skriva upp lösenord. Uppskrivna lösenord ska förvaras på ett säkert ställe, utan information om vad de används till. 

Om ditt lösenord blir känt av andra måste du byta det. IT-avdelningen kan komma att begära att du byter ditt lösenord, och skickar i så fall en instruktion för hur man går till väga. Lösenord byts alltid på account.liu.se, aldrig på annan plats. Om du är osäker på om en begäran om att byta lösenord är legitim, kontakta IT-av-delningens kundcenter och uppge det ärendenummer du fått. 

Systemkrav 

Detta avsnitt innehåller krav på system vid LiU som använder eller hanterar lösenord. Enskilda studenter eller medarbetare behöver normalt inte ta hänsyn till dessa. 

Användning av lösenord 

Autentisering bör ske genom användning av LiU:s IdP-tjänster, så att lösenord inte behöver hanteras i systemet. 

Tilldelning och byte av lösenord 

Vid byte eller tilldelning av lösenord ska lösenordets kvalitet kontrolleras i den mån det är möjligt. I tekniska system som inte klarar att kontrollera komplexitet är det tillräckligt att kontrollera längd. Det är olämpligt att med tekniska medel kräva en blandning av teckentyper eftersom detta omöjliggör användande av lösenordsfraser. 

Lagring av lösenord 

Lösenord som lagras permanent ska företrädesvis lagras som saltad hash. 

Det förekommer att lösenord i klartext är nödvändiga; i dessa fall ska lösenorden lagras krypterade, företrädesvis med krypteringsnyckel som inte finns permanent på systemet. Utformningen av dessa system måste granskas och godkännas av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare. 

System som lagrar lösenord tillfälligt som del i överföringen av t.ex. nya lösenord mellan system får lagra dessa i klartext under förutsättning att lagringen sker under en mycket begränsad tid. Utformningen av dessa system måste granskas och godkännas av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare. 

Överföring av lösenord 

Lösenord ska alltid överföras krypterat. Överföringen bör använda TLS 1.2 eller senare med verifiering av åtminstone mottagarens identitet. Krypteringen ska använda aktuell best practice för TLS. Om andra kryptosystem används måste dessa granskas och godkännas av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare. 

Lösenord bör aldrig kommuniceras över telefon eller epost. Undantag kan göras i processer där t.ex. ett engångslösenord ska kommuniceras till en enskild användare. Detta kan göras till på förhand känd epostadress, telefonnummer, eller postadress. Utformningen av sådana processer ska granskas och godkännas av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare. 

Undantag 

Undantag från denna policy kan medges av LiU:s IT-säkerhetsgrupp eller informationssäkerhetssamordnare. Undantag medges endast i undantagsfall och typiskt enbart för system som har en begränsad användargrupp och inte hanterar känslig information. 

Relaterad informationVisa/dölj innehåll