Ett lösenord bör vara lätt att komma ihåg och svårt att gissa och bör inte kunna hänföras till användaren. Dessa krav är motsägelsefulla, men om man tänker på en hel mening, t.ex. ”5 Fula elefanter flög till de 7 månarna” och använder de första bokstäverna i varje ord och siffrorna blir lösenordet ”5Feftd7m”. Lösenordet blir då svårt att gissa för en utomstående, men lätt för innehavaren att komma ihåg.
Nedan följer SGSI - Swedish Government Secure Intranet, förslag på lösenordspolicy.
- Lösenord är personliga och får inte överlåtas.
- Ett lösenord ska bestå av minst åtta tecken och bestå av minst tre av de fyra teckenuppsättningarna versaler, gemener, siffror och ickealfanumeriska tecken (specialtecken).
- Lösenordet får inte vara detsamma som användarnamnet eller bestå av delar av användarnamnet.
- Lösenordet får inte vara knutet till personlig information som till exempel namn, personnummer och telefonnummer.
- Ett lösenord får inte vara en vanlig teckenkombination, ett ord eller en vanlig kombination av ord som finns i ordböcker eller används i dagligt språkbruk, oberoende av språk.
- Ett lösenord får inte vara ett ord som är skrivet baklänges.
- En användares lösenord som används inom organisationen får inte vara likadant som andra lösenord som används utanför organisationen.
- Lösenord ska bytas var tredje månad och får inte vara likadant som ett tidigare nyttjat lösenord.
- Lösenord bör inte skrivas ned. En anteckning om lösenordet ska behandlas som en värdehandling.
Med PTS tjänst Testa lösenord kan man prova olika teckenkombinationer för att se om de skulle vara starka eller svaga om de användes som lösenord.