Global dag for å endre passord: En oppfordring til handling

Global Change Your Password Day: En oppfordring til handling

By Christie Rae • 30. januar 2026 • 8 minutters lesetid

1. februar markerer den globale dagen for å endre passord. Den ble opprettet i 2012 for å oppmuntre til bevissthet om god praksis for passordhåndtering, og fungerer som en årlig påminnelse om å forbedre nettsikkerheten og beskytte mot cybertrusler. For bedrifter er det beste – og viktig – å sørge for god passordhygiene blant ansatte.

Cybertrusler er i utvikling, med sofistikerte AI-drevne trusler som deepfakes og AI-phishing i økning. Angrep i forsyningskjeden fortsetter å utløse høyprofilerte hendelser. Men ansattes feil er fortsatt den viktigste årsaken til datainnbrudd: en studie fra 2025 av Mimecast fant at 95 % av datainnbruddene skyldes menneskelige feil.

I dette anstrengte cyberlandskapet kan det å håndtere grunnleggende cybersikkerhetskrav, som god passordhygiene, redusere et visst risikonivå. Det kan også tjene som et sterkt grunnlag for å bygge en kultur med bevissthet om informasjonssikkerhet.

Viktigheten av god passordbehandling

Passord er nøklene til vår digitale inngangsdør. Å håndheve god passordhåndtering er en kritisk del av enhver strategi for risikostyring i bedriften. Svake, lett gjettede passord øker risikoen for vellykkede datainnbrudd, slik at hackere får tilgang til private e-poster, nettverk og sensitive bedrifts- og kundedata.

Datainnbrudd er den vanligste typen cybersikkerhetshendelse. Status for informasjonssikkerhetsrapport 2025 fant at nesten én av tre (31 %) organisasjoner opplevde et datainnbrudd i løpet av de siste 12 månedene, etterfulgt av phishing og vishing (30 %) og skadevareinfeksjoner (29 %). Disse bruddene skaper også omdømme- og økonomisk risiko. IBM Kostnaden for et databrudd 2025 Rapporten fant at den globale gjennomsnittlige kostnaden for et datainnbrudd for en bedrift var 4.4 millioner dollar, noe som representerer en nedgang på 9 % siden 2024.

Omdømmeskade kan også ha en betydelig innvirkning. Vercara-forskning fant at flertallet (66 %) av amerikanske kunder ikke ville stole på et selskap som blir offer for et datainnbrudd med dataene sine, og 44 % ville tilskrive cyberhendelser til et selskaps manglende sikkerhetstiltak.

I tillegg kan god passordsikkerhet bidra til å forbedre samsvar med personvernforskrifter som EUs personvernforordning. (GDPR), standarder for databeskyttelse som ISO 27701 og informasjonssikkerhetsstandarder som ISO 27001.

Utfordringer for passordhåndtering

I en ideell verden ville hver ansatt bruke et unikt passord for hver pålogging. I praksis er det ikke praktisk å huske flere forskjellige passord, og det kan føre til passordtretthet. Det kan også være vanskelig å håndheve samsvar med passordpolicyen. Et godt sted å starte er å sette opp systemregler for passordlengde og kreve at passord oppdateres etter en viss tid.

Beste praksis for passordadministrasjon for bedrifter

Organisasjoner kan sørge for at ansatte følger beste praksis for passordsikkerhet med ulike beste praksiser:

Passordlengde og kompleksitet

Vurder å stille krav om at passord skal være mellom 12-20 tegn, med en rekke små og store bokstaver, spesialtegn og tall for økt styrke. En studie av Carnegie Mellon Universitys CyLab Security and Privacy Institute fant ut at å kreve en minimumsstyrke og en minimumslengde på 12 tegn skapte en god balanse mellom sikkerhet og brukervennlighet.

Oppdater retningslinjer

Mens Global Change Your Password Day er en betimelig påminnelse om å oppdatere passord, bør det ikke være den eneste gangen passord endres. Sikkerhetsprogramvarefirmaet McAfee anbefaler at passord bør endres hver tredje måned.

Gjenbruk av passord

Det kan være fristende for ansatte å bruke samme passord for flere kontoer innenfor sitt arbeidsmiljø. Dette øker imidlertid risikoen for kontoovertakelse. Hvis en trusselaktør har tilgang til én konto med det passordet, vil de effektivt ha tilgang til dem alle. Opplæring og opplæring av ansatte kan bidra til å redusere denne risikoen ved å fraråde gjenbruk av passord.

Verktøy for passordbehandling

Enten de er frittstående eller inkludert i nettlesere, er disse verktøyene utviklet for å bygge bro mellom sikkerhet og brukervennlighet ved å lagre og sikkert hente frem sterke, unike passord for hvert nettsted og hver applikasjon. Det er imidlertid viktig å merke seg at hvis en hacker får tilgang til passordbehandlingsverktøyet, vil de kunne kompromittere alle passordene som er lagret i det.

Implementering av multifaktorautentisering

Flerfaktorautentisering (MFA) krever at brukeren oppgir to (eller flere) former for bekreftelse for å få tilgang til en konto. For eksempel kan MFA kreve at brukeren logger på med brukernavn og passord, og deretter oppgir et engangspassord (OTP) som sendes til telefonen. Brukeren må oppgi både passordet og engangspassordet for å få tilgang til kontoen, noe som legger til et ekstra lag med sikkerhet.

Det finnes flere typer MFA:

OTP-er og tidsbaserte OTP-er

OTP-er er en sterk form for MFA og kan sendes via autentiseringsapper, passordbehandlere eller tekstmeldinger (SMS). Når passordet er brukt, er det ikke lenger gyldig for bruk igjen. Tidsbaserte engangspassord (TOTP) legger til et ekstra lag med sikkerhet fordi de bare er gyldige i en begrenset tidsperiode.

Å bruke OTP-er og TOTP-er med en autentiseringsapp eller passordbehandling er sikrere enn å motta dem via SMS. Tekstmeldinger er utsatt for SIM-hacking, avskjæringsangrep og sosial manipulering.

Send e-post til MFA

E-post MFA innebærer at brukerens andre form for autentisering blir levert til deres e-postadresse. Denne formen for MFA, selv om den er enkel og tilgjengelig for brukere, utgjør lignende risikoer for SMS OTP-er dersom en hacker har tilgang til e-postkontoen som koden blir levert til.

Biometrisk MFA

Biometrisk MFA bruker ansiktsgjenkjenning, fingeravtrykksskanning eller irisskanning for å bekrefte brukerens identitet, og kan være en sterk form for autentisering. Det brukes ofte på mobiltelefoner, ettersom brukeren kan konfigurere biometri i stedet for å bruke et personlig identifikasjonsnummer (PIN) for å låse opp telefonen, og til og med bruke dem til å få tilgang til sikre apper som autentiserings- og personlige bankapper.

Selv om biometrisk MFA er en av de mer robuste formene for autentisering, kan brukere fortsatt være utsatt hvis deres biometriske data blir stjålet. I motsetning til passord kan disse dataene ikke tilbakestilles eller endres.

Ansattopplæring og håndheving av retningslinjer

En av hovedbarrierene for økt passordsikkerhet er risikoen for menneskelige feil. Utdannelse av ansatte er avgjørende for å sikre at alle i organisasjonen kjenner til risikoene forbundet med dårlig passordadministrasjon og deres ansvar for cybersikkerhet. Det er imidlertid også viktig å tilby løsninger som lar personalet fokusere på arbeidet sitt og unngå passordtretthet.

Opplæring i nettsikkerhet

Å investere i ansattes cyberbevissthetstrening kan bidra til å holde virksomheten sikker og sikre at ansatte er i stand til å oppdage og rapportere andre risikoer, som forsøk på phishing-angrep. Mange dedikerte opplæringsplattformer gjør det mulig for organisasjoner å gjennomføre kurs på tvers av virksomheten, overvåke hvem som har fullført den nødvendige opplæringen og automatisk sende e-postpåminnelser til etternølere.

Passordpolicy

Utvikle en passordpolicy tilpasset beste praksis, og kommuniser denne policyen på tvers av virksomheten. Dette kan gjøres sammen med opplæring i nettsikkerhet for å hjelpe alle i selskapet til å forstå beslutningsprosessen bak policyen og forbedre ansattes etterlevelse.

Retningslinjer kan spesifisere minimum passordlengde, kompleksitet, tillatte tegntyper og andre elementer. Som nevnt kan IT-teamet også sette opp ansattes enheter for å kreve oppdateringer etter en viss tidsperiode, for eksempel 90 dager.

Hvordan ISO 27001 og andre rammer kan hjelpe

Informasjonssikkerhetsrammer som ISO 27001 og forskrifter som GDPR krever at virksomheter iverksetter tiltak for passordsikkerhet.

For eksempel krever GDPR at virksomheter behandler personopplysninger på en sikker måte ved å bruke "passende tekniske og organisatoriske tiltak", mens ISO 27001: 2022 Vedlegg A Kontroll 5.17 krever at autentiseringsinformasjon holdes sikkert. Kontrollveiledningen sier også at brukere bør velge vanskelige å gjette, sterke passord i samsvar med industristandarder:

Passord bør ikke være basert på personlig informasjon som lett kan skaffes, for eksempel navn eller fødselsdato.
Passord bør ikke være basert på informasjon som lett kan gjettes.
Passord må ikke inneholde ord eller ordsekvenser som er vanlige.
Bruk alfanumeriske tegn og spesialtegn i passordet ditt.
Passord bør ha et minimumskrav til lengde.

Fem trinn for å forbedre passordpolitikken

1) Overvåk gjeldende passordpolicy

Se gjennom organisasjonens eksisterende passordpolicy. Må den oppdateres eller forbedres? Hvis det ikke er en gjeldende passordpolicy på plass, utvikle en i tråd med industristandarder.

2) Kommuniser på tvers av virksomheten

Sørg for at alle ansatte er klar over nye eller oppdaterte passordpolicyer. Definer policyen og hvorfor den er viktig, og vurder å lære opp ansatte samtidig. Organisasjoner bør også vurdere opplæringsansvarlige slik at de kan anbefale policyen til andre.

3) Implementer passordadministrasjonsverktøy

Velg godkjente passordadministrasjonsverktøy. Å bruke et administrasjonsverktøy letter belastningen med å huske flere forskjellige påloggingsopplysninger for forskjellige kontoer, noe som øker sannsynligheten for at ansatte blir tatt opp.

4) Bruk MFA

Implementer MFA som en ekstra måte å autentisere brukere på og redusere risikoen for nettfisking.

5) Invester i medarbeiderutdanning

Lær opp ansatte til å følge en ny eller oppdatert passordpolicy og lær dem om bruk av passordadministrasjon og MFA-verktøy. Dette kan forbedre buy-in og hjelpe ansatte å forstå viktigheten av god passordadministrasjon.

Det er på tide å ta grep

Stillet overfor stadig mer sofistikerte cybertrusler er det viktigere enn noensinne at bedrifter tar en oversikt over sin cybersikkerhetssituasjon. Den globale dagen for å endre passord fungerer som en oppfordring til handling for bedriftsledere. Ved proaktivt å identifisere sårbarheter, implementere beste praksis for cybersikkerhet og lære opp ansatte om sitt ansvar for informasjonssikkerhet, kan ledere håndtere og redusere risikoen som cybertrusler utgjør.

Klar til å iverksette tiltak for å forbedre praksis for passordhåndtering og styrke organisasjonens robusthet? Lær hvordan IOs sentraliserte løsning for informasjonssikkerhetsstyring (ISMS) kan hjelpe organisasjonen din med å forbedre sikkerhetstilstanden og samkjøre passordpolicyen med kraftige rammeverk for informasjonssikkerhet.