Passordanbefalinger og bruk av tofaktor-autentisering


Misbruk av brukernavn og passord er ofte den raskeste og enkleste veien inn til virksomhetens nettverk og informasjonssystem, eller for å få tilgang til våre personopplysninger. For å unngå dette er det viktig med god håndtering av passord.


Du har vel hørt det før, men vi mener det er viktig å minne om gode passord-rutiner og bruk av tofaktor-autentisering. De fleste av våre kunder benytter seg av pålogginger som visma.net, tripletex, office365, google, facebook, dropbox mv.


For å gjøre disse innloggingene tryggere, kan du aktivere 2FA/tofaktor-autentisering på brukeren din.

Tofaktor-autentisering er et vanskelig ord for et enkelt sikkerhetstiltak!

Det betyr bare at du må bekrefte innlogging på en

nettside ved hjelp av en kode du får et annet sted, typisk mobiltelefonen din.


Ta kontakt med oss dersom du er usikker på hvordan du aktiverer 2FA, så hjelper vi deg!


Nedenfor gjengir vi passordanbefalinger fra datatilsynet:


Noen av avviksmeldingene som blir sendt til Datatilsynet er fra virksomheter som har vært utsatt for lekkasjer av passord, eller at ansatte har vært utsatt for blant annet phishing eller løsepengevirus. Vi har også opplevd at virksomheter har oppdaget at brukernes eller kundenes passord har ligget tilgjengelig i søkbare databaser med lekkede passord.


Sterk autentisering (tofaktorautentisering/ totrinnsbekreftelse/ flerfaktorautentisering) gir bedre beskyttelse enn passord alene. Dette anbefaler vi at virksomheter legger til rette for og at enkeltpersoner benytter seg av. I vår saksbehandling gir vi noen ganger også pålegg om det.

Nasjonal sikkerhetsmyndighet (NSM) og Nettvett.no har utarbeidet anbefalinger om passord. Vi støtter disse anbefalingene og oppsummerer de kort nedenfor.


Anbefalingen for virksomheter:

  • Innfør tofaktorautentisering

  • Unngå at passord lagres i klartekst (OWASP Password Storage Cheat Sheet gir veiledning om sikrere lagring av passord)

  • Innfør rutiner for å kontrollere nye passord mot mye brukte og kompromitterte passord

  • Innfør rutiner for å bytte standardpassord på nytt utstyr

  • Gi brukere som trenger administratorrettigheter to kontoer

Det finnes også tjenester som https://haveibeenpwned.com/ der domeneeiere og IT-administratorer kan få varsler dersom en e-postadresse i domenet dukker opp i en lekkasje.


Anbefalingen for enkeltpersoner:

  • Bruk tofaktorautentisering der det tilbys

  • Bruk unike passord (ikke gjenbruk passord på tvers av tjenester)

  • Bruk passordhåndteringsprogrammer (password managers)

  • Privat kan du også lage en passordliste med penn og papir, men beskytt dokumentet som et verdipapir

  • Bytt alltid standardpassord på produkter du kjøper eller tjenester du benytter deg av

Se også Nettvett.no sin veileder: Slik lager du sterke passord.