Normen stiller ikke faste krav til passord, men passord vil gjerne være en del av autentiseringsmekanismen (jf. Normen pkt. 5.2.2 Autentisering) som benyttes for å få tilgang til helseopplysninger (jf. Normen pkt. 5.2.1.2 Tilgang til helse- og personopplysninger mellom virksomheter). Som sikker autentiseringsløsning regnes en “autentiseringsløsning som gjennom en risikovurdering viser at den har tilstrekkelig sikkerhet”.
I vurderingen av hva som gir tilstrekkelig sikker autentisering, vil det være en rekke relevante faktorer:
- grad av fysisk sikring og kontroll på området der tilgangen gjøres fra
- skadepotensialet og angrepsflaten en eventuell uautorisert tilgang medfører, som f.eks. type data eller hvilke angrepsflater som tilgjengeliggjøres gjennom tilgang
- graden av tilgang/pålogging fra eksterne nett
- graden av intern nettverkssikring i åpne og lukkede soner. Med det menes at tilgang fra sikrede nett som virksomheten har kontroll over kan være et tiltak som kan ligge til grunn for at man vurderer å bruke svakere autentisering.
