Menig systeembeheerder leidt aan securanoia
Securanoia is een conditie die veel systeembeheerders en IT-managers die zich bezighouden met beveiliging ontwikkelen. Het is een combinatie van security en paranoïde waarbij de patient zich ten koste van alles alleen nog maar over security zorgen maakt.
Menig IT'er heeft er al mee te maken gekregen of zelf ervaren, en net als normale paranoïde kan het ervoor zorgen dat de persoon in kwestie in plaats van veiliger juist kwetsbaarder wordt. In extreme vormen van securanoia worden systemen juist kwetsbaarder voor aanvallers dan veiliger.
Het wachtwoord is zo'n onderdeel waar securanoia vaak voorkomt. Iedereen weet dat het kraken van wachtwoorden een geliefde manier van aanvallers is om een systeem binnen te komen, dus het is belangrijk dat de wachtwoorden moeilijk te raden zijn. Veel systeembeheerders hebben daarom strenge policies opgesteld, zoals complexe karakters, geen makkelijk te raden namen, het wekelijks wijzigen van het wachtwoord en het verbieden van een eerder gekozen wachtwoord.
Er wordt vaak een belangrijk element vergeten, en dat zijn de gebruikers zelf. Doordat de wachtwoorden zo moeilijk te onthouden zijn, schrijft menig gebruiker ze op en bewaren ze in de buurt van hun computer. Iets wat sterke wachtwoorden geheel overbodig maakt.
Hoewel er nog geen medicijn voor securanoia is, moet de systeembeheerder beseffen dat als beveiligingsmaatregelen het gebruik van de technologie in de weg staat, het tijd is om een stapje terug te doen en het gezond verstand te gebruiken, aldus Deb Shinder.
vervangen, des te eerder gaat 'men' zichzelf beschermen
tegen het vergeten daarvan.
Dan komen 'security hazards' als post-its, ezelsbruggetjes
etc. om de hoek kijken.
Een GOED wachtwoord van 1 dag oud is net zo moeilijk te
kraken als een van 1 jaar oud.
die als wachtwoord: Januari2007 hebben :)
Je moet de mensen in kantoor omgevingen eens de kost geven
die als wachtwoord: Januari2007 hebben :)
Oh...die ga ik gelijk eens met mijn collega's account uitproberen.
uitdrukking: securanoia (hoe komen ze erop).
Inderdaad doorgeschoten beveiliging is nu ook weer teveel
van het goede. (ik zie liever een goede evenwichtige mix).
paranoïde genoeg is...
heb altijd de ilusie iemand die binnen wil komen komt toch wel binne.Dus
waarom druk maken over iets waarvan de kans enorm klein is.Gezien de
kennis/technieken iemand gebruikt dat iemand binne komt is zo klein.Of
het moet een echte gerichte aanval zijn maar dat merk je gelijk aan het
gehele netwerk en in periodes waarbij ontslagen zijn gevallen.
Ik heb wat moeite om het serieus te nemen omdat het in mijn
optiek wat lollig overkomt. Alsof één persoon alle
maatregelen zomaar ingevoerd krijgt. Meestal wordt er
geklaagd over het gebrek aan awareness waardoor de
beveiligingsmaatregelen niet of onvoldoende ingevoerd worden.
Misschien is dit wel het natuurlijke medicijn tegen deze
ziekte...:-)
draait, en niet om de techniek.
Ik werk op servicedesk en kijk niet eens meer op wanneer
mensen melden dat ze op iemands anders account werken.
Technische audits geven aan dat alles dichtzit, de realiteit
is dat je praktisch iedereen om een wachtwoord kan vragen om
op een geleende terminal in te loggen......
uitgevoerd die heeft gemeten of de vooraf gestelde doelen
uit de (password)policy zijn bereikt. Een evaluatie zou
kunnen leiden tot aanpassing van beleid, of: aanpassen van
(technische) maatregelen.
De securanoia-types moeten dan nog met de uitslag van de
audit worden geconfronteerd. Het medicijn heet dan eigenlijk
de 'audit' en de 'confrontatie'
bloot heeft gestaan aan, of in de directe omgeving is
geweest van, een Democratorium.
TT
ze regelmatig wijzigen
OF je maakt ze heel stringent en laat ze maar eens per jaar wijzigen (dan
hoef je maar 1password voor lange tijd uit je hoofd te leren).
Overigens is er niets mis met het opschrijven van complexe passwords.
Het probleem is juist dat men de papiertjes open en bloot laat. Moedig de
mensen aan het password op een briefje te schrijven en die in hun
portemonnee te doen. Weinig mensen laten (op kantoor) hun
portemonnee slingeren, (die zit vaak in de eigen achterzak), en als men de
portemonnee kwijt is, dan kan men behalve eventuele pasjes meteen de
passwords blokkeren!
Sjaak Laan, CISSP
security verantwoordelijke als het management. Ze kunnen
niet inschatten wat de werkelijk risico's zijn en welke
maatregelen noodzakelijk zijn.
Aan de ene kant wordt druk uitgevoerd om maatregelen te
implementeren om alles veiliger te maken, zonder dat
getoetst wordt wat de effectiviteit is.
Aan de andere kant wordt je belaagd door "security experts"
die voor veel te veel geld gebakken lucht verkopen,
inclusief de melding dat het nog nooit zo onveilig is
geweest en een Amerikaans 9/11 scenario voorspiegelen.
Mijn advies is daarom ook: Neem goede managers aan, Kijk
nuchter naar welke maatregelen echt noodzakelijk zijn en
neem iemand met security kennis aan (Nee, niet inhurren en
ook niet laten adviseren door een clubje hobbyisten)
Even een off topic reactie:
OF je maakt passwords niet zo stringent (makkelijk te
onthouden) en laat
ze regelmatig wijzigen
OF je maakt ze heel stringent en laat ze maar eens per jaar
wijzigen (dan
hoef je maar 1password voor lange tijd uit je hoofd te leren).
Overigens is er niets mis met het opschrijven van complexe
passwords.
Het probleem is juist dat men de papiertjes open en bloot
laat. Moedig de
mensen aan het password op een briefje te schrijven en die
in hun
portemonnee te doen. Weinig mensen laten (op kantoor) hun
portemonnee slingeren, (die zit vaak in de eigen achterzak),
en als men de
portemonnee kwijt is, dan kan men behalve eventuele pasjes
meteen de
passwords blokkeren!
Sjaak Laan, CISSP
Zo, nogal een gewaagde uitspraak dat er niets mis is met het
opschrijven van passwords! Jouw certificaat is in ieder
geval niet veel waard...
Je kan veel doen met passwords, maar opschrijven is wel het
laatste wat je wilt laten doen. Zeker de suggestie om het te
bewaren in een portemonnee.
Er is 1 plek waar je passwords op papier mag bewaren, dat is
in een verzegelde enveloppe in de kluis, en deze mag alleen
in geval van nood gebruikt worden, met als gevolg dat het
password gewijzigd moet worden als het gebruikt is.
maar waar maken we ons druk om als nog steeds 25% van de
wachtwoorden test, 123, 1234 of de naam van de lieve
zoon/dochter is?
Securanoia ontstaat door gebrek aan kennis bij zowel de
security verantwoordelijke als het management. Ze kunnen
niet inschatten wat de werkelijk risico's zijn en welke
maatregelen noodzakelijk zijn.
Aan de ene kant wordt druk uitgevoerd om maatregelen te
implementeren om alles veiliger te maken, zonder dat
getoetst wordt wat de effectiviteit is.
Aan de andere kant wordt je belaagd door "security
experts"
die voor veel te veel geld gebakken lucht verkopen,
inclusief de melding dat het nog nooit zo onveilig is
geweest en een Amerikaans 9/11 scenario voorspiegelen.
Mijn advies is daarom ook: Neem goede managers aan, Kijk
nuchter naar welke maatregelen echt noodzakelijk zijn en
neem iemand met security kennis aan (Nee, niet inhurren en
ook niet laten adviseren door een clubje hobbyisten)
Even een off topic reactie:
OF je maakt passwords niet zo stringent (makkelijk te
onthouden) en laat
ze regelmatig wijzigen
OF je maakt ze heel stringent en laat ze maar eens per jaar
wijzigen (dan
hoef je maar 1password voor lange tijd uit je hoofd te leren).
Overigens is er niets mis met het opschrijven van complexe
passwords.
Het probleem is juist dat men de papiertjes open en bloot
laat. Moedig de
mensen aan het password op een briefje te schrijven en die
in hun
portemonnee te doen. Weinig mensen laten (op kantoor) hun
portemonnee slingeren, (die zit vaak in de eigen achterzak),
en als men de
portemonnee kwijt is, dan kan men behalve eventuele pasjes
meteen de
passwords blokkeren!
Sjaak Laan, CISSP
Zo, nogal een gewaagde uitspraak dat er niets mis is met het
opschrijven van passwords! Jouw certificaat is in ieder
geval niet veel waard...
Je kan veel doen met passwords, maar opschrijven is wel het
laatste wat je wilt laten doen. Zeker de suggestie om het te
bewaren in een portemonnee.
Er is 1 plek waar je passwords op papier mag bewaren, dat is
in een verzegelde enveloppe in de kluis, en deze mag alleen
in geval van nood gebruikt worden, met als gevolg dat het
password gewijzigd moet worden als het gebruikt is.
maar waar maken we ons druk om als nog steeds 25% van de
wachtwoorden test, 123, 1234 of de naam van de lieve
zoon/dochter is?
Om de 25% die wel slecht omgaat met Wachtwoorden, die kunnen
namelijk een compleet intranet beveiligingsbeleid om zeep
kunnen helpen.... (waarbij de hulpvaardigheid van de
onwetende gebruikers een negatieve nasmaak heeft)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
