Policyrekommendationer för lösenordPassword policy recommendations

Som administratör för en organisation är du ansvarig för att bestämma policyn för användarnas lösenord. Det kan vara komplicerat och förvirrande att ange en lösenordspolicy och den här artikeln innehåller rekommendationer för att skydda organisationen mot lösenordsattacker.As the admin of an organization, you're responsible for setting password policy for users in your organization. Setting password policy can be complicated and confusing, and this article provides recommendations to make your organization more secure against password attacks.

Information om hur du anger hur ofta Microsoft 365-lösenord ska upphöra att gälla i organisationen finns i Ange förfalloprincip för lösenord för Microsoft 365.To determine how often Microsoft 365 passwords expire in your organization, see Set password expiration policy for Microsoft 365.

Mer information om Microsoft 365-lösenord finns i följande relaterade artiklar.For more information about Microsoft 365 passwords, see these related articles.

Förstå rekommendationer om lösenordUnderstanding password recommendations

Bra metoder för lösenord delas in i några breda kategorier:Good password practices fall into a few broad categories:

  • Motarbeta vanliga attacker Här ingår valet av var användarna kan ange lösenord (kända och betrodda enheter med bra identifiering av skadlig kod, verifierade webbplatser) och valet av vilka lösenord de kan välja (längd och unikhet).Resisting common attacks This involves the choice of where users enter passwords (known and trusted devices with good malware detection, validated sites), and the choice of what password to choose (length and uniqueness).

  • Begränsa lyckade attacker Att begränsa lyckade hackarattacker handlar om att begränsa exponering till en viss tjänst, eller förhindra skadan helt och hållet, om en användares lösenord stjäls. Till exempel att se till att ett avslöjande av din inloggningsinformation för sociala nätverk inte gör ditt bankkonto sårbart, eller att se till att ett konto med svagt skydd inte tar emot återställningslänkar för ett viktigt konto.Containing successful attacks Containing successful hacker attacks is about limiting exposure to a specific service, or preventing that damage altogether, if a user's password gets stolen. For example, ensuring that a breach of your social networking credentials doesn't make your bank account vulnerable, or not letting a poorly guarded account accept reset links for an important account.

  • Förstå människans natur Många giltiga lösenordsmetoder misslyckas på grund av naturliga mänskliga beteenden. Det är avgörande att förstå människans natur eftersom forskning visar att nästan alla regler som du tillämpar för användarna leder till svagare lösenord. Krav gällande längd, specialtecken och lösenordsändring leder till normalisering av lösenord, vilket gör det enklare för attackerare att gissa eller knäcka lösenord.Understanding human nature Many valid password practices fail in the face of natural human behaviors. Understanding human nature is critical because research shows that almost every rule you impose on your users will result in a weakening of password quality. Length requirements, special character requirements, and password change requirements all result in normalization of passwords, which makes it easier for attackers to guess or crack passwords.

Riktlinjer om lösenord för administratörerPassword guidelines for administrators

Det primära målet med ett säkrare lösenordssystem är lösenordsvariation. Lösenordsprincipen bör innehålla många olika och svårgissade lösenord. Här är några rekommendationer för att skydda organisationen.The primary goal of a more secure password system is password diversity. You want your password policy to contain lots of different and hard to guess passwords. Here are a few recommendations for keeping your organization as secure as possible.

  • Ha ett krav om minimilängd på 8 tecken (längre är inte nödvändigtvis bättre)Maintain an 8-character minimum length requirement (longer isn't necessarily better)

  • Ha inte krav på teckensammansättning. Exempel: *&(^%$Don't require character composition requirements. For example, *&(^%$

  • Kräv inte regelbundna lösenordsåterställningar för användarkontonDon't require mandatory periodic password resets for user accounts

  • Förbjud vanliga lösenord, för att undvika de mest sårbara lösenorden i systemetBan common passwords, to keep the most vulnerable passwords out of your system

  • Utbilda användarna så att de inte återanvänder sina organisationslösenord utanför arbetetEducate your users to not re-use their organization passwords for non-work related purposes

  • Tillämpa registrering för multifaktorautentiseringEnforce registration for multi-factor authentication

  • Aktivera riskbaserade multifaktorautentiseringskontrollerEnable risk-based multi-factor authentication challenges

Hjälp om lösenord för användarePassword guidance for your users

Här är lite hjälp om lösenord för användarna i organisationen. Se till att informera användarna om de här rekommendationerna och tillämpa rekommenderade lösenordsprinciper på organisationsnivå.Here's some password guidance for users in your organization. Make sure to let your users know about these recommendations and enforce the recommended password policies at the organizational level.

  • Använd inte ett lösenord som är samma som eller liknar ett du använder på andra webbplatserDon't use a password that is the same or similar to one you use on any other websites

  • Använd inte ett enskilt ord, till exempel lösenord, eller en vanlig fras, till exempel jagälskardigDon't use a single word, for example, password, or a commonly-used phrase like Iloveyou

  • Gör lösenord svåra att gissa sig till, även för personer som vet mycket om dig, till exempel namn och födelsedagar för dina vänner och din familj, din favoritartist och fraser som du använder oftaMake passwords hard to guess, even by those who know a lot about you, such as the names and birthdays of your friends and family, your favorite bands, and phrases you like to use

Några vanliga metoder och deras negativa följderSome common approaches and their negative impacts

Det här är några av de vanligaste metoderna för lösenordshantering, men forskning varnar oss för deras negativa följder.These are some of the most commonly used password management practices, but research warns us about the negative impacts of them.

Krav på giltighetstid för lösenord för användarePassword expiration requirements for users

Lösenordets utgångskrav gör mer skada än nytta, eftersom dessa krav får användarna att välja förutsägbara lösenord, sammansatta av ord och nummer som är nära relaterade till varandra. I dessa fall kan nästa lösenord förutsägas baserat på föregående lösenord. Lösenordens utgångskrav erbjuder inga fördelar för inneslutning eftersom cyberbrottslingar nästan alltid använder referenser så fort de äventyrar dem. Kolla in tid att ompröva obligatoriska lösenordsändringar för mer information.Password expiration requirements do more harm than good, because these requirements make users select predictable passwords, composed of sequential words and numbers which are closely related to each other. In these cases, the next password can be predicted based on the previous password. Password expiration requirements offer no containment benefits because cyber criminals almost always use credentials as soon as they compromise them. Check out Time to rethink mandatory password changes for more info.

Krav på långa lösenordRequiring long passwords

Krav på lösenordslängd (fler än cirka 10 tecken) kan leda till förutsägbara och oönskade användarbeteenden. Användare som måste ha ett lösenord med minst 16 tecken kan till exempel välja upprepade mönster som fyrafyrafyrafyra eller lösenordlösenord som uppfyller kravet på teckenlängd men inte är svåra att gissa sig till. Längdkrav ökar dessutom risken för att användare använder sig av andra osäkra metoder, till exempel att skriva ned sina lösenord, använda dem igen eller lagra dem okrypterade i sina dokument. För att uppmuntra användare att komma på ett unikt lösenord rekommenderar vi att ha ett rimligt krav om minimilängd på 8 tecken.Password length requirements (greater than about 10 characters) can result in user behavior that is predictable and undesirable. For example, users who are required to have a 16-character password may choose repeating patterns like fourfourfourfour or passwordpassword that meet the character length requirement but aren't hard to guess. Additionally, length requirements increase the chances that users will adopt other insecure practices, such as writing their passwords down, re-using them, or storing them unencrypted in their documents. To encourage users to think about a unique password, we recommend keeping a reasonable 8-character minimum length requirement.

Krav på användning av flera teckenuppsättningarRequiring the use of multiple character sets

Krav på lösenordskomplexitet minskar nyckelutrymmet och leder till förutsägbart användarbeteende, vilket gör mer skada än nytta. I de flesta system tillämpas någon nivå av krav på lösenordskomplexitet. Till exempel måste lösenord innehålla tecken från samtliga av följande tre kategorier:Password complexity requirements reduce key space and cause users to act in predictable ways, doing more harm than good. Most systems enforce some level of password complexity requirements. For example, passwords need characters from all three of the following categories:

  • versaleruppercase characters

  • gemenerlowercase characters

  • icke-alfanumeriska teckennon-alphanumeric characters

De flesta använder liknande mönster, till exempel en versal i den första positionen, en symbol i den sista och en siffra i de sista två. Cyberbrottslingar vet om det, så de kör sina ordlisteattacker med de vanligaste ersättningarna, ”$” för ”s”, ”@” för ”a”, ”1” för ”l”. Att tvinga användare att välja en kombination av versaler, gemener, siffror och specialtecken har en negativ effekt. Vissa komplexitetskrav hindrar till och med användare från att använda säkra lösenord som de kommer ihåg, och tvingar dem att komma på mindre säkra lösenord som är svårare att komma ihåg.Most people use similar patterns, for example, a capital letter in the first position, a symbol in the last, and a number in the last 2. Cyber criminals know this, so they run their dictionary attacks using the most common substitutions, "$" for "s", "@" for "a," "1" for "l". Forcing your users to choose a combination of upper, lower, digits, special characters has a negative effect. Some complexity requirements even prevent users from using secure and memorable passwords, and force them into coming up with less secure and less memorable passwords.

Lyckade mönsterSuccessful Patterns

Här finns däremot några rekommendationer om hur du uppmuntrar lösenordsvariation.In contrast, here are some recommendations in encouraging password diversity.

Förbjud vanliga lösenordBan common passwords

Det viktigaste lösenordskravet du bör tillämpa när användarna skapar lösenord är att förbjuda användning av vanliga lösenord för att minska organisationens känslighet för råstyrkeattacker. Vanliga användarlösenord är bland annat abdcefg, lösenord och sommar.The most important password requirement you should put on your users when creating passwords is to ban the use of common passwords to reduce your organization's susceptibility to brute force password attacks. Common user passwords include, abdcefg, password, monkey.

Utbilda användare så att de inte återanvänder organisationslösenord någon annanstansEducate users to not re-use organization passwords anywhere else

Ett av de viktigaste budskapen att få fram till organisationens användare är att de inte ska återanvända sitt organisationslösenord någon annanstans. Användning av organisationslösenord på externa webbplatser ökar kraftigt risken för att cyberbrottslingar får tag på lösenorden.One of the most important messages to get across to users in your organization is to not re-use their organization password anywhere else. The use of organization passwords in external websites greatly increases the likelihood that cyber criminals will compromise these passwords.

Tillämpa registrering för multifaktorautentiseringEnforce Multi-Factor Authentication registration

Se till att användarna uppdaterar kontakt- och säkerhetsinformation, till exempel en alternativ e-postadress, telefonnummer eller en enhet som är registrerad för push-meddelanden, så att de kan svara på säkerhetskontroller och meddelas om säkerhetshändelser. Uppdaterad kontakt- och säkerhetsinformation hjälper användarna att bekräfta sin identitet om de någonsin glömmer sitt lösenord eller om någon annan försöker ta över deras konto. Det ger också en alternativ meddelandekanal vid säkerhetshändelser, till exempel inloggningsförsök eller ändrade lösenord.Make sure your users update contact and security information, like an alternate email address, phone number, or a device registered for push notifications, so they can respond to security challenges and be notified of security events. Updated contact and security information helps users verify their identity if they ever forget their password, or if someone else tries to take over their account. It also provides an out of band notification channel in the case of security events such as login attempts or changed passwords.

Mer information finns i Konfigurera multifaktorautentisering.To learn more, see Set up multi-factor authentication.

Aktivera riskbaserad multifaktorautentiseringEnable risk-based multi-factor authentication

Med riskbaserad multifaktorautentisering går det att kontrollera att användaren är den riktiga kontoägaren när misstänkt aktivitet identifieras av systemet.Risk-based multi-factor authentication ensures that when our system detects suspicious activity, it can challenge the user to ensure that they are the legitimate account owner.

Återställa lösenordReset passwords

Ange att en enskild användares lösenord aldrig ska förfallaSet an individual user's password to never expire

Låt användare återställa sina egna lösenordLet users reset their own passwords

Skicka om en användares lösenord – hjälp för administratörerResend a user's password - Admin Help