IT-personell f?r ikke lagre passord og MFA (2FA) i samme elektroniske passordbehandler (password manager). Kravet gjelder b?de for prim?r- og driftskonto.
Det ?pnes ikke for lagring av passord i nettleseres innebyggede passordbehandlere.
F?rst - masterpassord
Felles for alle elektroniske passordbehandlere er at de skal sikres med et passord/passordfrase som er minst like sikker som det mest sensitive passordet som oppbevares i den, og at masterpassordet kun skal benyttes til dette form?let. Biometri (fingeravtrykk eller Face ID) er tillatt for ? l?se opp passordbehandlere.
Elektroniske passordbehandlere med multiplattform-st?tte
Dette er passordbehandlere som er tilgjengelig p? flere plattformer, og som muliggj?r synkronisering av vault (inneholdende hemmelighetene) mellom dine ?nskede enheter (gjerne via en skytjeneste).
Enpass
Enpass er et popul?rt program for oppbevaring av passord, passkeys og tofaktor, samt andre hemmeligheter. Klienter er tilgjengelig for Android, iOS, iPadOS, Linux, macOS og Windows.
Vaultene hvor hemmelighetene lagres, kan du lagre p? et tilgangsstyrt omr?de (et omr?de som ikke er ?pent og under din kontroll), og krypteres med et overfornevnt masterpassord. Dersom du ?nsker at hemmelighetene skal v?re tilgjengelig p? flere enheter, anbefales det at vaultet med hemmeligheter fortrinnsvis lagres p? share.uio.no for IT-ansatte, og ellers i Onedrive.
Merk at Enpass er gratis for mobiltelefoner for opp til 25 passord, mens Desktop-versjonen kan holde rede p? ubegrenset antall passord. Gratis versjonene har begrenset funksjonalitet og anses tilstrekkelig for bruk ved UiO. ?nsker du ? bruke Enpass til form?l ut over dette og det m? tegnes abonnement, dekkes ikke kostnaden av UiO.
GnuPG
Denne finnes i de fleste Linux-distribusjoner, samt for macOS og Windows. Den kan benyttes for ? kryptere filer, og passordbeskytte dem. Merk! Bruken fordrer at en behersker GPG (lagring av n?kler p? sikkert sted, tilfredstillende passordfraser osv.).
Pass er en kommandolinjepakke rundt GPG (GNU Privacy Guard) som kan brukes.
KeePass / KeePassXC
Er en anerkjent l?sning med ?pen kildekode for elektronisk oppbevaring av passord.
Hemmelighetene kan lagres p? et tilgangsstyrt omr?de (et omr?de som ikke er ?pent og under din kontroll), og krypteres med et overfornevnt masterpassord. Dersom du ?nsker at hemmelighetene skal v?re tilgjengelig p? flere enheter, anbefaler vi at vaultet med hemmeligheter fortrinnsvis lagres p? share.uio.no for IT-ansatte, og ellers i Onedrive.
?nsker du ? bruke kommersielle versjoner av KeePass, dekkes ikke kostnaden av UiO.
Merk at KeePassX ikke lenger utvikles, og er derfor ikke er godkjent.
ssh-keygen / ssh-agent
SSH-keygen og SSH-agent er godkjent i form av at de lagrer og h?ndterer n?kler ved bruk av ssh.
Password (Keychain Access) for Apple enheter (og Windows)
Apple-enheter kommer med Passord/Password (et innebygget program i operativsystemet for oppbevaring av passord, passkeys og MFA). Selve oppbevaringen skjer i Keychain Access (lokalt vault) med synkronisering av vaultet via iCloud Keychain. Dette gj?r at passordene, passkeys og MFA-oppsett synkroniseres til alle dine Apple-enheter. L?sningen kan ogs? brukes p? Windows.
P? Apple-enheter bes du bruke biometri (fingeravtrykk eller Face ID) for ? f? tilgang til lagrede hemmeligheter.
Merk! Password (Keychain Access) er ikke godkjent brukt for UiO data p? enheter som ikke er personlige (dvs. enheter som brukes av flere).
Bitwarden
Bitwarden er en multiplattform klient basert p? ?pen kildekode. Klienten finnes i en gratis versjon med begrenset funksjonalitet (Android, iOS, Linux, macOS og Windows). For ? f? tilgang til full funksjonalitet kreves det abonnement.
Merk! Versjonen som er gratis anses som tilstrekkelig for bruk ved UiO. ?nsker du ? bruke Bitwarden til form?l ut over dette og det m? tegnes abonnement, dekkes ikke kostnaden av UiO.
Linux
Seahorse er et grafisk grensesnitt for GNOME Keyring (og er innebygd i noen Linux-distribusjoner). Klienten kan hjelpe deg med ? administrere passordene dine, krypteringsn?klene og Secure Shell (SSH)-n?klene dine.
Skal denne klienten benyttes s? skal det lages en separat n?kkelring for priviligerte passord, slik at disse ikke l?ses opp med ditt vanlige passord.
Hva med andre tjenester?
Vi f?r ofte sp?rsm?l om hvorfor andre enkelttjenester ikke er godkjent for UiO-bruk. Det er tre hoved?rsaker til dette:
- Det er flere tilbydere som ikke har oppgitt nok informasjon til at vi tilstrekkelig kan vurdere sikkerheten i tjenesten. Disse kan ogs? ha en historikk med datalekkasjer som gj?r det risikabelt ? ta dem i bruk ved UiO.
- Det er en fordel at brukere ved UiO bruker s? f? forskjellige tjenester som mulig. Det oppdages med jevne mellomrom s?rbarheter i tjenestene. Jo flere tjenester som er i bruk, jo mer arbeid vil g? med til ? overv?kning, kommunikasjon og opprydning.
Ta kontakt med Seksjon for arbeidsflater hvis nye programmer ?nskes vurdert. Seksjonen vil sammen med IT-sikkerhet vurderer ?rlig om listen over godkjente tjenester skal oppdateres.