Tillämpa och övervaka lösenordskrav för användare

Den här sidan är till för administratörer som hanterar konton för andra användare i en organisation. Om du vill återställa lösenordet för ditt eget konto, går du hit i stället.

Som administratör kan du hantera lösenordskrav för att skydda användarnas hanterade Google-konton och uppfylla organisationens efterlevnadsbehov. Du kan även se vilka av dina användares lösenord som är svaga genom att övervaka deras lösenordsstyrka.

Om du använder SSO

Om du använder enkel inloggning (SSO) för användarna ska du göra följande:

  1. Inaktivera tvingat lösenord.
  2. Se till att användarkonton inte är konfigurerade så att lösenordet måste bytas vid nästa inloggning.

Det finns ett känt problem där lösenordspolicyer tillämpas för användare som autentiserar sig med en identitetsleverantör (IdP) från tredje part och SSO-profiler. Inaktivera tvingat lösenord för att undvika det här problemet. Om användarna får en engångsbegäran om att återställa sitt Google-lösenord påverkar det inte deras användning av SSO, hur de loggar in eller lösenordet som används med SSO.

Skydda användarkonton

  • Kräv ett starkt lösenord – du kan tvinga användare med svaga lösenord att ändra dem. Du kan även kräva ett visst antal tecken för lösenord.
  • Hindra användare från att återanvända gamla lösenord.
  • Förklara vikten av starka lösenord – dela dessa tips om lösenord och hjälp användarna skapa starka lösenord.

Innan du börjar

När lösenordspolicyer inte gäller

  • Google kan inte tillämpa krav på styrka och längd för lösenord som har angetts med en hashmetod. Det är till exempel lösenord som har skapats med verktyget för massuppladdning av användare, Directory API eller synkroniseringsverktyg som Lösenordssynkronisering eller Google Cloud Directory Sync. Mer information finns i Google Workspace Admin SDK eller i Om Lösenordssynkronisering.
  • Krav på säkerhet och längd för lösenord gäller inte användarlösenord som du återställer manuellt. Om du återställer ett lösenord manuellt ska du markera rutan Be användaren att ändra lösenordet vid inloggningen för användaren.
  • De lösenordspolicyer som du konfigurerar gäller inte när användare autentiserar via en tredjeparts-IdP med hjälp av OIDC.

Obs! Lösenordspolicyer tillämpas för närvarande om du använder SAML IdP. Mer information finns i Om du använder SSO (tidigare på den här sidan).

Skapa starka lösenord

Om du tillämpar starka lösenord använder Google en algoritm för beräkning av lösenordsstyrka för att säkerställa att ett lösenord:

  • har en hög nivå av slumpmässighet, vilket kallas lösenordsentropi. Detta kan uppnås med hjälp av en lång sträng med tecken av olika typ, exempelvis versaler, gemener, siffror och specialtecken.

    Obs! Ett starkt lösenord måste inte ha ett visst antal tecken av en specifik typ.

  • Det är inte ett ofta använt svagt lösenord, som ”123456” eller ”lösenord123”.
  • Det är inte lätt att gissa, som enkla ord eller fraser, eller innehåller mönster där lösenordet är detsamma som användarnamnet.
  • Det har inte bekräftats vara utsatt för intrång, dvs. inte finns i en databas över konton som har utsatts för intrång.

Så här fungerar giltighetstid för lösenord

Giltighetstid för lösenord är inaktiverad som standard eftersom forskningen inte har kunnat visa någon större positiv effekt på säkerheten. Du kan ange att användarnas lösenord ska upphöra att gälla efter ett visst antal dagar (exempelvis 90 eller 180 dagar) om det behövs av efterlevnadsskäl.

Giltighetstid för lösenord gäller enbart för inloggningar i webbläsarbaserade appar. Den tillämpas inte på användare som bara använder telefoner eller som är inloggade med OAuth-autentiserade appar.

Lösenordsskydd

Om du ställer in en giltighetsperiod för lösenord får användarna popup-varningar (men inte e-postpåminnelser) i sina Google-tjänster, exempelvis Gmail och Kalender, 30 dagar innan lösenordet löper ut. Användarna kan ändra lösenordet eller stänga varningen. Om en användare inte ändrar sitt lösenord visas varningen nästa gång hen loggar in på sitt konto. Varningen slutar visas när användaren har stängt den tre gånger. När lösenordet har löpt ut måste dock användaren ändra sitt lösenord vid nästa inloggning.

Tillfällen då användarna måste ändra sitt lösenord

När du ställer in en utgångspolicy för lösenord kan vissa användare uppmanas att ändra sina lösenord omedelbart, medan andra inte behöver göra det. Exempel:

  • Om du ställer in en utgångspolicy på 90 dagar och en användare senast ändrade sitt lösenord för 100 dagar sedan, löper användarens lösenord ut så snart du har ställt in policyn. Användaren uppmanas att ändra sitt lösenord nästa gång hen loggar in på kontot.
  • Om du ställer in en utgångspolicy på 90 dagar och en användare inom organisationen senast ändrade sitt lösenord för 30 dagar sedan har användarens lösenord inte löpt ut ännu. Efter 60 dagar uppmanas användaren att ändra sitt lösenord vid nästa inloggning.

Ange lösenordskrav

Innan du börjar: Granska informationen i Om du använder SSO (tidigare på den här sidan).

  1. I Googles administratörskonsol går du till menyn följt av Säkerhet följt av Autentisering följt av Lösenordshantering.

    Administratörsbehörighet för Säkerhetsinställningar krävs.

  2. Till vänster väljer du den organisationsenhet där du vill ställa in lösenordspolicyer.

    Välj organisationsenheten på toppnivå för alla användare. Välj i annat fall en annan organisation för att göra inställningar för användarna i den. Inledningsvis ärver en organisation inställningarna från sin överordnade organisation.

  3. I avsnittet Lösenordssäkerhet markerar du Tillämpa starkt lösenord.

    Läs mer om starka lösenord.

  4. I avsnittet Längd anger du en minimi- och maxlängd för användarnas lösenord. Det kan vara mellan 8 och 100 tecken.

  5. (Valfritt) Om du vill tvinga användarna att ändra sitt lösenord markerar du rutan Tillämpa lösenordspolicy vid nästa inloggning.

    Om du inte markerar det här alternativet kan användare med svaga lösenord få åtkomst till organisationens Google-tjänster tills de bestämmer sig för att ändra sitt lösenord.

  6. (Valfritt) Om du vill tillåta användare att återanvända ett gammalt lösenord markerar du kryssrutan Tillåt återanvändning av lösenord.

    Du kan inte ställa in lösenordshistoriken som Google granskar för att förhindra återanvändning.

  7. I avsnittet Sista giltighetsdag väljer du den tidsperiod efter vilken lösenorden upphör.

    Obs! Om ett användarkonto har lagt till en delegerad användare kan den delegerade användaren fortfarande få åtkomst till kontot, även om lösenordet för kontot har löpt ut. Förhindra fortsatt åtkomst genom att antingen återställa kontolösenordet eller ta bort den delegerade användaren.

  8. Klicka på Åsidosätt för att hålla inställningen densamma, även om den överordnade inställningen ändras.

  9. Om organisationsenhetens status redan är Åsidosatt väljer du ett alternativ:

    • Ärv – återställer inställningen så att den stämmer överens med den överordnade.
    • Spara – sparar din nya inställning (även om den överordnade inställningen ändras).

  10. Ge användarna tips om att skapa ett starkt lösenord.

Övervaka användarnas lösenordsstyrka

  1. I Googles administratörskonsol går du till menyn följt av Rapportering följt av Användarrapporter följt av Konton.

    Administratörsbehörighet för Rapporter krävs.

  2. (Valfritt) Om du vill se information om lösenordsstyrka i diagramform öppnar du Rapporter följt av Apprapporter följt av Konton. Läs mer om kontorapporter.