Office
Log på

Anbefalinger til adgangskodepolitik i Office 365

Bidragydere: Kweku Ako Adjei
Senest opdateret 1. december 2017

Som administrator i en Office 365-organisation er du ansvarlig for at udarbejde en adgangskodepolitik for brugere i din organisation. Det kan være en kompliceret og forvirrende opgave at skulle udarbejde en adgangskodepolitik. Denne artikel giver anbefalinger til, hvordan du kan sikre din organisation mod adgangskodeangreb.

Hvis du vil udarbejde en politik for adgangskodekompleksitet i din organisation, skal du se Azure AD B2C: Konfigurer krav til adgangskodekompleksitet.

For at styre, hvor ofte Office 365-adgangskoder skal udløbe i din organisation, skal du se Definer udløbspolitikken for adgangskoder i Office 365.

Anbefalinger for adgangskoder

Gode adgangskodevaner kan opdeles i nogle få, brede kategorier:

  • Modstå almindelige angreb Dette indebærer beslutningen om, hvor brugerne indtaster adgangskode (kendte og pålidelige enheder med god beskyttelse mod malware, validerede websteder), og hvordan de laver en adgangskode (længde og entydighed).

  • Begræns angreb, der er sket Når man vil begrænse hackerangreb, der allerede er sket, gælder det om at begrænse en bestemt tjenestes eksponering eller om i det hele taget at forhindre skade, hvis en brugers adgangskode bliver stjålet. Det gælder f.eks. om at sikre, at misbrug af dine oplysninger på sociale medier ikke gør din bankkonto sårbar, eller at en dårligt beskyttet konto ikke accepterer nulstilling af links til en vigtig konto.

  • Forstå den menneskelige natur Mange gode adgangskodevaner ligger under for naturlig menneskelig opførsel. Det er vigtigt at forstå den menneskelige natur, fordi forskning viser, at stort set hver eneste regel, du pålægger dine brugere, vil betyde, at adgangskoden svækkes. Længdekrav, krav til særlige tegn og krav om at ændre adgangskode fører alle til normalisering af adgangskoder, hvilket gør det lettere for hackere at gætte eller knække en adgangskode.

Retningslinjer for adgangskoder for administratorer

Det primære mål med et sikkert adgangskodesystem er mangfoldighed. Målet er at få din adgangskodepolitik til at resultere i mange forskellige adgangskoder, der er svære at gætte. Her er nogle anbefalinger til, hvordan du sørger for, at din organisation er så sikker som mulig.

  • Fasthold en minimumslængde på otte tegn (længere er ikke nødvendigvis bedre)

  • Stil ikke krav til tegnsammensætning. For eksempel *&(^%$

  • Stil ikke krav om obligatorisk, periodisk nulstilling af adgangskoder for brugerkonti

  • Forbyd almindelige adgangskoder for at holde de mest sårbare adgangskoder ude af dit system

  • Lær dine brugere, at de ikke skal genbruge deres organisationsadgangskoder til ikke-arbejdsrelaterede formål

  • Gennemtving registrering for multifaktorgodkendelse

  • Aktivér risikobaseret multifaktor-godkendelsesudfordringer

Retningslinjer for adgangskoder til dine brugere

Her er nogle retningslinjer for adgangskoder til brugerne i din organisation. Sørg for, at dine brugere kender til disse anbefalinger, og gennemtving de anbefalede adgangskodepolitikker på organisationsniveau.

  • Brug ikke en adgangskode, der er den samme som eller ligner én, du bruger på andre websteder.

  • Brug ikke et enkelt ord, for eksempel password eller en hyppigt anvendt sætning som jegelskerdig

  • Gør det svært at gætte adgangskoder, selv for dem, der kender dig godt, såsom navne og fødselsdatoer på familie og venner, dit yndlingsband og sætninger, du godt kan lide at bruge

Almindelige tilgange og deres negative sider

Dette er nogle af de mest gængse måder at lave adgangskoder på, men forskning viser, at de har en del negative sider.

Krav til udløb af brugeradgangskoder

Krav til udløb af adgangskoder gør mere skade end gavn, fordi disse krav får brugerne til at vælge forudsigelige adgangskoder, der består af sekvenser af ord og tal, som ligner hinanden meget. I sådanne tilfælde kan den næste adgangskode forudsiges ved hjælp af den foregående adgangskode. Krav om udløb af adgangskoder giver ikke nogen muligheder for at dæmme op for angreb, da cyberkriminelle næsten altid bruger legitimationsoplysninger, så snart de har fået fat i dem.

Krav om lange adgangskoder

Krav om lange adgangskoder (på mere end 10 tegn) kan resultere i forudsigelig og uønsket brugeradfærd. Du risikerer f.eks., at brugere, der skal have en adgangskode på 16 tegn, vælger at gentage mønstre som firefirefirefire eller passwordpassword, som godt nok opfylder kravet til antal tegn, men som ikke er svære at gætte. Ydermere kan krav til længden af adgangskoder øge risikoen for, at brugerne anlægger sig andre usikre vaner såsom at skrive deres adgangskoder ned, genbruge dem eller opbevare dem ikke-krypteret i deres dokumenter. Hvis du vil opfordre dine brugere til at bruge unikke adgangskoder, anbefaler vi, at du holder dig til en fornuftig minimumslængde på 8 tegn.

Krav om anvendelse af flere tegnsæt

Krav til kompleksiteten af adgangskoder reducerer antallet af kombinationsmuligheder og får brugerne til at udvise forudsigelig adfærd, som gør mere skade end gavn. De fleste systemer har ét eller flere krav til kompleksiteten af adgangskoder. For eksempel, at adgangskoder skal indeholde tegn fra alle de følgende tre kategorier:

  • store bogstaver

  • små bogstaver

  • ikke-alfanumeriske tegn

De fleste brugere anvender de samme mønstre, for eksempel et stort bogstav i første position, et symbol i den sidste og et tal i den næstsidste. Det ved cyberkriminelle godt, så de kører deres ordbogsangreb med de mest almindelige erstatninger, "$" for "s", "@" for "a", "1" for "I". Når du tvinger dine brugere til at vælge en kombination af store og små bogstaver og specialtegn, så har det en negativ effekt. Nogle krav til kompleksitet kan endda forhindre brugerne i at bruge sikre adgangskoder, der er nemme at huske, og tvinger dem til at finde på mindre sikre adgangskoder, der er svære at huske.

Gode mønstre

Her er til gengæld nogle anbefalinger til, hvordan man fremmer mangfoldighed.

Forbyd almindelige adgangskoder

Det vigtigste krav til adgangskoder, som du skal stille til dine brugere, når de skal oprette en adgangskode er at forbyde almindelige adgangskoder. Det mindsker din organisations sårbarhed over for brute-force-angreb på adgangskoder. Almindelige adgangskoder omfatter abcdefg, password, abe.

Uddan brugerne i ikke at genbruge organisationsadgangskoder andre steder.

Et af de vigtigste budskaber at give brugerne i din organisation er ikke at genbruge deres organisationsadgangskoder andre steder. Brugen af organisationsadgangskoder på eksterne websider øger risikoen for, at cyberkriminelle får adgang til dem.

Gennemtving registrering for multifaktorgodkendelse

Sørg for, at dine brugere opdaterer deres kontakt- og sikkerhedsoplysninger, såsom en alternativ mailadresse, telefonnummer eller en enhed, hvor pushmeddelelser er slået til, så de kan reagere på sikkerhedsproblemer og få besked om sikkerhedshændelser. Når kontakt- og sikkerhedsoplysningerne er opdateret, har brugerne mulighed for at bekræfte deres identitet, hvis de glemmer deres adgangskode, eller hvis andre prøver at overtage deres konto. Det giver også mulighed for en out of band-meddelelseskanal i tilfælde af sikkerhedshændelser såsom forsøg på at logge på eller ændrede adgangskoder.

Se mere her Konfigurer multifaktorgodkendelse.

Aktivér risikobaseret multifaktorgodkendelse

Risikobaseret multifaktorgodkendelse sikrer, at når dit system registrerer mistænkelig aktivitet, så kan det stille spørgsmål til brugeren for at sikre, at vedkommende er den rigtige kontoejer.

Udvid dine Office-færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Bliv Office Insider

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×