a) Krav til autentiseringsstyrke, ref. det som omtales i "Hva sier Normen om krav til passord".
b) Passord skal bare være kjent for eier av bruker-ID.
c) Prosedyrene for utsteding av passord må inkludere:
- rutine for sikker tildeling og nullstilling av passord
- at passord skal ikke oppgis uten at det er trygghet for at det er den rette personen som får oppgitt passordet
- at passord ikke skal deles på e-post, SMS, via telefon eller lenker (unntak for engangspassord ved første gangs tildeling av passord)
