Retningslinjene som settes til passord må håndheves, og dette kan gjøres på teknisk nivå (systemene selv) eller på organisatorisk nivå (virksomhetens prosedyrer og rutiner).
- Steng eller midlertidig steng konto ved gjentatte feilede forsøk på innlogging, f.eks. etter fem forsøk. Tiltaket bør sees i sammenheng med risikoen av å stenge en konto. Sikre løsninger for tilbakestilling av passord og konto er eksempler på tiltak som kan ta ned denne risikoen.
- Tilrettelegg for bruken av passordhåndteringsverktøy, f.eks. ved å la verktøyene lime inn passord.
- Tillat bruker å kunne vise inntastet passord, men skjul inntastingen som standard.
- Passord skal ikke måtte byttes med mindre det er bekreftet eller mistanke om at passordet er på avveie eller beslutninger på virksomhetsnivå tilsier at det skal byttes.
- Det bør ikke stilles krav om spesialtegn og store/små bokstaver i passordet.
- Der det er mulig bør det etableres automatisk sjekk av passord for å kunne avdekke svake passord. Det er hensiktsmessig at slike tiltak etableres i sentraliserte autentiseringsløsninger, som f.eks. Active Directory (AD).
- Bytt alltid standard-passord på utstyr.
- Det bør etableres systemer som kan avdekke og varsle ved misbruk av passord.
- Der det er mulig bør det legges til rette for Single Sign On (SSO), som forenkler innloggingen for brukere som benytter mange ulike systemer.
- Det bør etableres tvunget passordbytte hvis passord gjøres kjent for andre, f.eks. gjennom tildeling av førstegangspassord.
- Dersom systemet ikke støtter lange passord, bør krav til passordkompleksitet settes ut fra vurdert risiko.
