- Bruk unike, tilfeldige, pasord for alle tredjepartstjenester. Lagre passord i passordmanager. Passord bør være minst 8 tilfeldige tegn, eller tre tilfeldige ord.
- Sett AD-passord-lengde til minst 14 tegn
- Sett passord for høyt priviligerte brukere (administratorer m.m.) til minst 20 tegn
- Fjern passord-kompleksitetskrav
- Ikke bruk utløpsdato. Bytt ved mistanke om kompromittering
- Gjennomfør intern passordknekking kvartalsvis ELLER tildel tilfeldige passordsetninger
- Bruk "passord på avveie" fra HelseCERT
Begrunnelse for anbefalinger:
Bruk unike, tilfeldige, pasord for alle tredjepartstjenester. Lagre passord i passordmanager
Mange vil ha en rekke kontoer i tredjepartstjenester man bruker i den daglige jobben. Mange av disse vil det ikke være praktisk mulig å bruke Singel-Sign-On (SSO) for. For å håndtere disse på en mest mulig sikker måte må det brukes unike passord på alle slike. For å håndtere dette på en god, effektiv måte bør passord tilfeldig genereres og lagres i en passordmanager. Dette resulterer økt sikkerhet, og enklere administrering for bruker.
Krev at alle AD-passord er minst 14 tegn
Alle brukerkontoer i Active Directory (AD) bør ha minimum 14 tegn. Dette for å unngå de enkleste mest forutsigbare passordene. Erfaringer fra inntrengningstester er at når lengdekravet økes fra 8 til 14 reduserer dette antall passord vi gjetter dramatisk.
Dette sikrer mot passord-spray-angrep og mot at angripere med fotfeste på innsiden knekker passordhasher for å utvide egen tilgang.
Administratorpassord skal være på minst 20 tegn
Som over er målet her å ta bort muligheten angriper har til å gjette passordet. Siden administratorkontoer er en mye mer kritisk ressurs enn passordet til vanlige brukere er kravet strengere.
Som over skal lengden her beskytte mot knekking av passord.
Ikke krev kompleksistetskrav for passord
Kompleksitetskrav er en vanlig måte å tenke at man gjør det vanskeligere for angriper å gjette rett passord. Et vanlig slikt krav er å kreve en blanding av store og små bokstaver og tegn. Resultatet av dette er at flertallet av brukerne oppretter passord av typen "Passord1". Altså start med stor bokstav, resten av ordet, og et (eller to) tall på slutten. Angripere vet også dette og legger opp angrep deretter. Kompleksitetskrav gjør det vanskeligere for brukere å lage og huske passord mens angriperen i liten grad er påvirket.
NCSC UK har en god artikkel om hvorfor dette i liten grad gir ønsket effekt. Se under "Do not use complexity requirements".
Ikke ha utløpsdato på passord. Bytt ved mistanke om kompromittering
Tvungne passordbytter resulterer i at brukere lager passord basert på mønster som er enkle å huske. I tillegg brukes kompromitterte passord som regel umiddelbart etter at de kommer på avveie.
NCSC UK har en god artikkel om hvorfor dette i liten grad gir ønsket effekt. Se under "Don't enforce regular password expiry".
Sjekk kvartalsvis etter dårlige passord ELLER benytt tilfeldig passordtildeling
Dårlige passord, f.eks. Sommer21, Sommerferie2021 og lignende tilfredsstiller stort sett alle kompleksitetskrav, men er likevel enkle å gjette for en angriper. Våre erfaringer fra inntrengningstester viser at med tilgang på nok brukerkontoer finner vi alltid noen med et slikt passord.
Erfaringsmessig er det vanskelig å opprette utfyllende lister over passord som ikke er godkjent. I tillegg gir det en dårlig brukeropplevelse å forsøke å lage et passord som er innenfor passordpolicy, for deretter å få beskjed om at valgt passord er svartelistet.
Dette tiltaket er todelt og tanken er at man gjør en av delene.
Å sjekke etter dårlige passord er relativt enkelt, men krever kontinuerlig arbeid.
Å tildele passord semi-tilfeldig krever mer i implementering men gir mindre gjentagende arbeid.
Målet uansett metode er å redusere angripers mulighet til å gjette seg fram til forutsigbare passord.
Sjekk etter dårlige passord:
Denne oppskriften er basert på rutinen Sykehuspartner bruker i dag.
Brukere kan opprette passord på minimum 14 tegn som ikke utløper på tid. De må kun byttes om passordet kommer på avveie. Samtidig gjennomføres det, minimum kvartalsvis, sjekker for å finne svake passord. Om et svakt passord oppdages regnes dette som på avveie og må byttes.
Rent praktisk trenger man en som administrerer Windows (administrator), og en som forsøker å knekke passord (knekkeren).
Administratoren henter ut listen over (NTLM) passordhasher i bruk i domenet og gir denne til knekkeren. Her gis hashlisten, ikke tilhørende brukernavn. Knekkeren forsøker å knekke hashene. Lykkes hen meldes aktuell hash tilbake som et svakt passord, men administratoren får kun vite hvilken hash det er snakk om, ikke hvilket passord det er. Dermed har verken administratoren eller knekkeren tilgang til et brukernavn med tilhørende passord.
Det er viktig at denne tilnærmingen er kombinert med informasjon til bruker.
Vi har et ~16 minutters webinar som beskriver metoden
Tilfeldig passordtildeling:
Denne metoden går ut på at brukere tildeles passord som er generert tilfeldig. Passordene bør være bygd opp av 3-4 tilfeldige sammensatte ord. Ord med særnorske bokstaver bør unngås. Denne metoden for å huske passord er beskrevet av NCSC UK for de som ønsker en faglig begrunnelse. Tegneserien XKCD har også en visuell beskrivelse.
To viktige poeng her er at passordene genereres automatisk for å unngå brukermønster, og at det er enkelt for brukere å generere nye slik at de har anledning til å få en kombinasjon de kan lage seg en huskeregel på.
Bruk "passord på avveie" fra HelseCERT
Vi tilbyr en tjeneste hvor vi leter etter passord på avveie og varsler om vi oppdager dette for din virksomhet.
Vi anbefaler at man lager en rutine for hvordan man skal reagere på varsler man får.
Du kan lese mer om tjenesten Passord på avveie under nasjonalt beskyttelsesprogram.
Tjenesten er tilgjengelig og gratis for alle medlemmer i NBP.