Versions Compared

Old Version 23

changes.mady.by.user Pål Axelsson

Saved on

compared with

New Version Current

changes.mady.by.user Pål Axelsson

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents

Purpose and Scope

This wiki page is SWAMIDs template Password Policy including password complexity and password guessing rate limiting. In this page we giva there is an example in Swedish with an additional translation to English how to create an environment that creates establish a resonable security level to fulfill fulfil both SWAMID Identity Assurance Level 1 Profile and the forthcoming SWAMID Identity Assurance Level 2 Profile.

Determining password strength

There are two factors to consider in determining password strength:

  1. the average number of guesses the attacker must test to find the correct password and
  2. the ease and speed of which an attacker can check the validity of each guessed password.

The first factor is determined by how long the password is, how large set of characters or symbols that be used in the password, if a combination of both lower, upper and non alphabetic characters is used and whether the password is created randomly or created by the user himself. There is a trade of regarding demanding a high complexity and the users ability to remember the password.

The second factor is the rate at which an attacker can submit passwords guesses to the system. If some kind of rate limiting and maximum password age is used the need for password complexity is greatly redused in online scenarios. However the identity management system must store information about the user passwords in some form and if that information is stolen, say by breaching system security, the less complex passwords can be at greater risk.

For SWAMID Identity Assurance Level 3 Profile multi-factor login is used to establish a resonable security level and the password can be part one of the factors in a multi-factor login.

The Acceptable use Policy and the Password Policy could be merged into one Accept Use Policy.

Swedish template Password Policy

...

Info

SWAMID template password policy is written in Swedish due to that the implementing organisation are Swedish legal entities.

Some reading help:

  • The policy is made for a decentralised IT-organization organisation but is easily adapted to a centralized centralised organization.
  • All text within [] should be changed to local information.

...

Lösenordsregler

Detta dokument anger [ORGANISATION] policy för kvalitet på samt hantering av lösenord i enlighet med identitetsfederationen SWAMIDs policy.

2 Ansvar

2.1 Efterlevnad

Som användare av [ORGANISATION] informationssystem ansvarar du själv för att

  • att dina lösenord uppfyller den kvalitet och hantering som anges i denna policy .genom att
    • bestå av minst [ANTAL] tecken.
    • bestå av minst en versal, minst en gemen och antingen minst ett specialtecken eller en siffra.
  • att du håller dina lösenord hemliga .genom attatt, som en del av ovanstående punkt,
      • aldrig uppge dina lösenord till någon som efterfrågar dem via e-post, i telefon eller på annat sätt.

     För system som är kopplade till [ORGANISATION] gemensamma inloggnings- och autentiseringsrutiner (Webbinloggning, LDAP och Active Directory) finns systemstöd för efterlevnad av policyn.

    För system med egen lösenordshantering är det systemägare som ansvarar för efterlevnad av denna policy.

    2.2 Uppdateringar av policyn

    [IT-CHEF/SÄKERHETSCHEF] ansvarar för att dennaa policy uppdateras kontinuerligt samt fastställer policyn på detaljerad nivå.

    Större revideringar av denna övergripande policy ska fastställas av [REKTOR/FÖRVALNINGSCHEF].

    3 Definitioner

    ...

      • aldrig använda samma lösenord i andra system.
    • du ändrar ditt lösenord om du fått kännedom om att säkerheten runt ditt lösenord har äventyrats.

    English template Password Policy

    Info

    SWAMID template password policy is written in Swedish due to that the implementing organisation are Swedish legal entities. The English template is a translation from Swedish.

    Some reading help:

    • The policy is made for a decentralised IT-organisation but is easily adapted to a centralised organisation.
    • All text within [] should be changed to local information.

    Password Policy

    This document specifies [ORGANISATION] policy of quality and handling of passwords.

    As a user of the computer systems at [ORGANISATION], you are yourself responsible for the following:

    • your passwords fulfil the quality and usage described in this policy
      • consist of at least [NUMBER] of characters.
      • consist of at least one capital letter, at least one lowercase letter and either at least one special character or a number.
    • you keep your passwords secret through
      • never give your passwords to anyone who requests them by email, phone or otherwise.
      • never use the same password in other systems. 
    • you change your password if you know it has been compromised.

    Extra information on passwords quality

    Info

    This information is not part of the password policy but is presented as informational material to interested parties.

    Password complexity for user selected passwords

    Password entropy as defined in (the old) NIST SP 800-63-2

    ...

    , Appendix A

    Password entropy for user selected passwords is as follows for user-selected passwords drawn from the full US keyboard alphabet:

    • The entropy of the first character is taken to be 4 bits;
    • The entropy of the next 7 characters are 2 bits per character;
    • For the 9th through the 20th character the entropy is taken to be 1.5 bits per
      character;
    • For characters 21 and above the entropy is taken to be 1 bit per character;
    • A “bonus” of 6 bits of entropy is assigned for a composition rule that requires
      both upper case and non-alphabetic characters.
    • A "bonus" of up to 6 bits of entropy is added for an extensive dictionary check.
      • This "bonus" declines slowly as passwords gets longer and is at zero at 20 characters.

    All SWAMID Assurance Identity Profiles requires at least 24 bits of entropy.

    Complex passwords in Active Directory

    If you in Active Directory enable complexity requirements policy for passwords, define a minimum password length, define rate limiting and define a maximum password age you can fulfil the proposed password policy.

    Enabling the password complexity requirement policy setting requires new passwords to meet the following requirements:

    1. Passwords may not contain the user's samAccountName (Account Name) value.
      • The samAccountName is checked in its entirety only to determine whether it is part of the password. If the samAccountName is less than three characters long, this check is skipped.
      • The check is not case sensitive.
    2. Passwords may not contain the user's entire displayName (Full Name value).
      • The displayName is parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. If any of these delimiters are found, the displayName is split and all parsed sections (tokens) are confirmed to not be included in the password. Tokens that are less than three characters are ignored, and substrings of the tokens are not checked. For example, the name "Erin M. Hagens" is split into three tokens: "Erin", "M", and "Hagens". Because the second token is only one character long, it is ignored. Therefore, this user could not have a password that included either "erin" or "hagens" as a substring anywhere in the password.
      • The check is not case sensitive.
    3. The password contains characters from three of the following categories:
      • Uppercase letters of European languages (A through Z, with diacritic marks, Greek and Cyrillic characters).
      • Lowercase letters of European languages (a through z, sharp-s, with diacritic marks, Greek and Cyrillic characters).
      • Base 10 digits (0 through 9).
      • Non-alphanumeric characters (special characters) (for example, !, $, #, %).
      • Any Unicode character that is categorised as an alphabetic character but is not uppercase or lowercase. This includes Unicode characters from Asian languages.

    Determining password strength

    There are two factors to consider in determining password strength:

    1. the average number of guesses the attacker must test to find the correct password and
    2. the ease and speed of which an attacker can check the validity of each guessed password.

    The first factor is determined by how long the password is, how large set of characters or symbols that be used in the password, if a combination of both lower, upper and non-alphabetic characters is used and whether the password is created randomly or created by the user himself. There is a trade of regarding demanding a high complexity and the user's ability to remember the password.

    The second factor is the rate at which an attacker can submit passwords guesses to the system. If some kind of rate limiting and maximum password age is used the need for password complexity is greatly redused in online scenarios. However, the identity management system must store information about the user passwords in some form and if that information is stolen, say by breaching system security, the less complex passwords can be at greater risk.

    • Första tecknet ger fyra bitar.
    • Tecken 2 till 8 ger 2 bitar.
    • Tecken 9 till 20 ger 1,5 bitar.
    • Tecken 21 och uppåt ger 1 bit.
    • Ett tillägg om 6 bitar fås om lösenorden är komplexa, dvs. lösenordet innehåller minst en versal, minst en gemen och antingen minst en siffra och ett specialtecken.
    • Ett tillägg om 6 bitar fås om omfattande ordlistekontroll sker så länge lösenordet inte överstiger 20 tecken.

    Se pkt. 6.1 för vidare information.

    Lösenordsskydd. Säker lösenordshantering innebär, förutom att varje användare ansvarar för att hålla sina lösenord hemliga, att inloggningstjänsten skyddar lösenord från otillbörlig åtkomst och användning. Se pkt. 6.2 för vidare instruktioner.

    Tvåfaktorautentisering. Inloggning (autentisering) med två skilda faktorer; ”något man vet” (t.ex. ett lösenord) och ”något man har” (t.ex. ett kort).

    4 Syfte

    Det övergripande syftet med denna policy är att så långt det är möjligt skydda [ORGANISATION] lösenordsskyddade informationssystem från obehöriga användare.

    5. Strategier

    Alla informationssystem (applikationer) ska vara kopplade till [ORGANISATION] gemensamma inloggningstjänst om inte särskilda skäl föreligger.

    [ORGANISATION] gemensamma inloggningstjänst innehåller teknikstöd för god lösenordskvalitet och säker lösenordshantering, se pkt. 6.1 och 6.2.

    Varje användare har ett [MASTERLÖSENORD] för inloggning till [ORGANISATION] IT-tjänster. För inloggning till vissa [ORGANISATIONSGEMENSAMMA] IT-tjänster som t.ex. det trådlösa nätverket har varje användare dessutom ytterligare ett lösenord. Därutöver kan verksamhets- och/eller systemspecifika lösenord finnas.

    Tvåfaktorautentisering ska användas för åtkomst till IT-tjänster eller system (applikationer) som enligt [ORGANISATION] policy för informationsklassificering innehåller konfidentiell information med HÖGA eller SÄRSKILDA KRAV på att skydda informationen från obehöriga användare.

    6 Omfattning

    Policyn för lösenordshantering gäller för alla IT-tjänster och system (applikationer) vid [ORGANISATION].

    Policyn omfattar två områden, lösenordskvalitet och lösenordsskydd.

    6.1 Lösenordskvalitet

    6.1.1 Lösenordssammansättning

    Ett lösenord ska vara sammansatt på följande sätt:

    • Bestå av minst 8 tecken.
    • Vara sammansatt av följande tecken:
      • A – Z
      • a – z
      • 0 – 9
      • mellanslag
      • följande specialtecken: ~,!, @, #, $, %, ^, &, (, ), _, +, -, *, /, =, {, }, [, ], |, \, :, ;, ’ (enkelt citationstecken), ” (dubbelt citationstecken), <, >, , (kommatecken), . (punkt), och ?.
    • Innehålla minst en versal, minst en gemen och antingen minst ett specialtecken eller en siffra.

    Ovanstående sammansättning av ett lösenord medför en lösenordsentropi på 24 bitar vilket är [ORGANISATION] minimikrav på god lösenordskvalitet.

    6.1.2 Lösenordskontroll

    I [ORGANISATION] gemensamma inloggningstjänst finns teknikstöd för att säkerställa god lösenordskvalitet. Vid lösenordsbyte kontrolleras att dessa lösenord med avseende på att de

    • är sammansatta enligt pkt. 6.1.1 ovan
    • inte återfinns i en katalog med lösenord av dålig kvalitet (123456, egennamn, årstider, bilmärken etc.)
    • inte är detsamma som det närmast föregående
    • inte är för lika användarens andra lösenord i den gemensamma inloggningstjänsten.

    När användaren skriver in sitt nya lösenord visas kvaliteten på valt lösenord enligt följande skala:

    • Rött = uppfyller inte minimikrav på lösenordskvalitet.
    • Gult = uppfyller minimikraven.
    • Grönt = överträffar minimikraven med en entropi på ytterligare 6 bitar.

    Lösenordet går inte att spara förrän det uppfyller minimikraven.

    6.1.3 Undantag

    Om det i enskilda system som inte är kopplade till den gemensamma inloggningstjänsten föreligger särskilda tekniska skäl för att inte följa ovanstående policy för god lösenordskvalitet ska undantag godkännas av systemägare och dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Vidare måste särskild hänsyn tas vid åtkomst av data hämtade från andra system.

    6.2 Lösenordsskydd

    6.2.1 Datalagring och transport av lösenord

    För att reducera risken för obehörig åtkomst till lösenord gäller följande policy för lagring och transport av lösenord:

    • Lösenord ska alltid lagras och transporteras i krypterad form. Detta gäller även back up- media.
    • Lösenord ska aldrig presenteras i läsbar form.
    • Lösenord ska aldrig kommuniceras via epost, telefon eller motsv.
    • IT-personal med teknisk åtkomst till de datorer och datamedia där lösenord lagras ska underteckna särskilda ansvarsförbindelser. En uppdaterad lista över medarbetare med dessa priviligierade behörigheter ska finnas vid den organisation som sköter driften av systemet, t.ex. [IT-ORGANISATION].

    6.2.2 Skydd mot nätbaserade gissningsattacker (Rate limiting)

    För att reducera risken för automatiserade gissningsattacker mot lösenord ska inloggningen vara skyddad genom s.k. rate limiting som förhindrar en inkräktare att göra många upprepade lösenordsgissningar på kort tid.

    I [ORGANISATION] gemensamma inloggningstjänst är detta utformat enligt följande:

    • Max. antal felaktiga gissningar under en tidsperiod på 60 minuter = 10.
    • Därefter automatisk kontolåsning = 5 minuter.

    6.2.3 Lösenordsbyte

    För att ytterligare reducera risken att en inkräktare avslöjar ett lösenord till [ORGANISATION] IT- och informationssystem ska varje användare kontinuerligt byta lösenord inom ett fastställt tidsintervall.

    I [ORGANISATION] gemensamma inloggningstjänst gäller följande regler för lösenordsbyte:

    • Tvingande lösenordsbyte senast inom 24 månader för anställda, övriga verksamma samt för s.k. funktionskonton.
    • Tvingande lösenordsbyte senast inom 5 år för studenter.

    6.2.4 Undantag

    Om det i enskilda system föreligger särskilda tekniska skäl för att inte följa ovanstående policy för lösenordsskydd ska undantag godkännas av systemägare och dokumenteras i systemets förvaltningsspecifikation eller motsvarande dokument. Vidare måste särskild hänsyn tas vid åtkomst av data hämtade från andra system.