Security Professionals
- ipfw add deny all from eindgebruikers to any
(self service) password reset
Hoe gaan jullie (in een professionele omgeving) om met password resets voor gebruikers?
Intern gebruiken we persoonlijke identificatie maar men wil nu graag ook vergeten wachtwoorden resetten voor gebruikers die buiten de deur zijn. Voor toegang van buitenaf gebruiken we normaal al 2-factor authenticatie, dus als je die gebruikt om de identiteit te bevestigen voor een wachtwoord reset dan is het ineens geen 2-factor authenticatie meer. De standaard vragen naar de achternaam van je moeder of je lagere school zijn door het uitgebreide gebruik van social media ook niet echt veilig meer. We zoeken een oplossing waarbij er zo weinig mogelijk actie vooraf van gebruikers nodig is maar die toch veilig is.
Hebben jullie suggesties, Hoe werkt het bij jullie?
Intern gebruiken we persoonlijke identificatie maar men wil nu graag ook vergeten wachtwoorden resetten voor gebruikers die buiten de deur zijn. Voor toegang van buitenaf gebruiken we normaal al 2-factor authenticatie, dus als je die gebruikt om de identiteit te bevestigen voor een wachtwoord reset dan is het ineens geen 2-factor authenticatie meer. De standaard vragen naar de achternaam van je moeder of je lagere school zijn door het uitgebreide gebruik van social media ook niet echt veilig meer. We zoeken een oplossing waarbij er zo weinig mogelijk actie vooraf van gebruikers nodig is maar die toch veilig is.
Hebben jullie suggesties, Hoe werkt het bij jullie?
Reacties (7)
05-06-2013, 15:02 door
CSO.
Er zijn ook kant&klare 'voice authentication' oplossingen voor het zelf resetten van wachtworden. Klinkt op zich veelbelovend en is lastig te misbruiken.
/EDIT: met een linkje uit eigen doosch: https://www.security.nl/artikel/28253/1/Stemherkenning%3A_biometrie_op_afstand_.html].
/EDIT: met een linkje uit eigen doosch: https://www.security.nl/artikel/28253/1/Stemherkenning%3A_biometrie_op_afstand_.html].
05-06-2013, 15:37 door
AcidBurn
Allereerst hanteren wij standaarden;
- Password reset moet altijd komen van iemand die bij ons op de "clear" lijst staat. Dat kan de manager zijn, of een directeur van de betreffende klant. Vervelend voor ze; maar verplicht
- Wachtwoorden moeten iedere 60 dagen worden aangepast
- 5 maal fout inloggen, account blokkade. Na een uur is de account weer vrij.
Als een user belt met een blokkade melding (5x fout) doen we niets - dit zoeken ze zelf maar uit. Dit behoort tot een stukje opvoeding.
Een password reset moet bij ons altijd via e-mail worden aangevraagd door iemand op de CLEAR lijst en word ook aan die persoon terugbevestigd. Wij genereren een password en zetten het vinkje " gebruiker moet wachtwoord wijzigen " aan. Het is aan die persoon dat te communiceren.
Hiernaast heeft iedere gebruiker een RSA token, zonder pincode kun je er niets mee.
- Password reset moet altijd komen van iemand die bij ons op de "clear" lijst staat. Dat kan de manager zijn, of een directeur van de betreffende klant. Vervelend voor ze; maar verplicht
- Wachtwoorden moeten iedere 60 dagen worden aangepast
- 5 maal fout inloggen, account blokkade. Na een uur is de account weer vrij.
Als een user belt met een blokkade melding (5x fout) doen we niets - dit zoeken ze zelf maar uit. Dit behoort tot een stukje opvoeding.
Een password reset moet bij ons altijd via e-mail worden aangevraagd door iemand op de CLEAR lijst en word ook aan die persoon terugbevestigd. Wij genereren een password en zetten het vinkje " gebruiker moet wachtwoord wijzigen " aan. Het is aan die persoon dat te communiceren.
Hiernaast heeft iedere gebruiker een RSA token, zonder pincode kun je er niets mee.
06-06-2013, 09:03 door
SecOff
@CSO Dit soort oplossingen vergt wel veel interactie door de gebruiker met het systeem vooraf.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
06-06-2013, 09:16 door
CSO.
@SecOff: volgens mij valt dat reuze mee, maar je zult natuurlijk wel eenmalig een voiceprint moeten vastleggen. Dat kan voor de gebruiker ongemerkt gebeuren zodra hij telefonisch contact heeft met de helpdesk. Uitdaging is om die eerste keer de identiteit daadwerkelijk vast te stellen. De technieken zijn soms zelfs zo intelligent dat bij ieder spraakcontact de voiceprint nauwkeuriger kan worden.
Heb jij (praktijk)ervaringen om 'veel interactie' verder toe te lichten?
Heb jij (praktijk)ervaringen om 'veel interactie' verder toe te lichten?
06-06-2013, 10:50 door
AcidBurn
Door SecOff: @CSO Dit soort oplossingen vergt wel veel interactie door de gebruiker met het systeem vooraf.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
De methode die wij hanteren zorgt er juist voor dat de gebruiker, ook als hij/zij niet op kantoor is, een nieuw wachtwoord kan ontvangen zonder hiervoor de security te laten vervallen. Hij/zij moet contact zoeken (telefonische) met de betreffende medewerker op de white-list die ons een verzoek stuurt, het nieuwe wachtwoord krijgen ze dan via die persoon te horen en hiermee is het klaar. Dit kan zowel op locatie als vanaf huis en waarborgt de veiligheid van de accounts.
06-06-2013, 11:35 door
johanw
@AcidBurn, dit klinkt als de klassieke BOFH opstelling. Voegt niks toe aan beveiliging maar leert gebruikers dat beveiliging vooral lastig i.p.v. nuttig is. Als het je collega's genoeg gaat vervelen loop je het risico dat men je gaat uitbesteden aan Capgemini...
Verder schijnen mensen het vreemde idee te hebben dat je op dat soort controlevragen altijd eerlijk moet antwoorden. Spreek af dat je als naam van je moeder een heel andere naam opgeeft, of kom met bedrijfs specifieke vragen die waarschijnlijk niet op social media staan als "op welke verdieping zit de kantine", "wie is je collega die 2 deuren verder zit", etc. etc.
Verder schijnen mensen het vreemde idee te hebben dat je op dat soort controlevragen altijd eerlijk moet antwoorden. Spreek af dat je als naam van je moeder een heel andere naam opgeeft, of kom met bedrijfs specifieke vragen die waarschijnlijk niet op social media staan als "op welke verdieping zit de kantine", "wie is je collega die 2 deuren verder zit", etc. etc.
Door AcidBurn:
De methode die wij hanteren zorgt er juist voor dat de gebruiker, ook als hij/zij niet op kantoor is, een nieuw wachtwoord kan ontvangen zonder hiervoor de security te laten vervallen. Hij/zij moet contact zoeken (telefonische) met de betreffende medewerker op de white-list die ons een verzoek stuurt, het nieuwe wachtwoord krijgen ze dan via die persoon te horen en hiermee is het klaar. Dit kan zowel op locatie als vanaf huis en waarborgt de veiligheid van de accounts.
Het is slechts het verschuiven van verantwoordelijkheid en dat maakt het niet per definitie veiliger.Door SecOff: @CSO Dit soort oplossingen vergt wel veel interactie door de gebruiker met het systeem vooraf.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
De methode die wij hanteren zorgt er juist voor dat de gebruiker, ook als hij/zij niet op kantoor is, een nieuw wachtwoord kan ontvangen zonder hiervoor de security te laten vervallen. Hij/zij moet contact zoeken (telefonische) met de betreffende medewerker op de white-list die ons een verzoek stuurt, het nieuwe wachtwoord krijgen ze dan via die persoon te horen en hiermee is het klaar. Dit kan zowel op locatie als vanaf huis en waarborgt de veiligheid van de accounts.
Het feit dat een medewerker, of iemand die zich voordoet als deze medewerker, naar een manager belt, om z'n wachtwoord te laten resetten, is imho niet veiliger dan dat deze zelf belt naar de Servicedesk.
Door johanw: @AcidBurn, dit klinkt als de klassieke BOFH opstelling. Voegt niks toe aan beveiliging maar leert gebruikers dat beveiliging vooral lastig i.p.v. nuttig is. Als het je collega's genoeg gaat vervelen loop je het risico dat men je gaat uitbesteden aan Capgemini...
Verder schijnen mensen het vreemde idee te hebben dat je op dat soort controlevragen altijd eerlijk moet antwoorden. Spreek af dat je als naam van je moeder een heel andere naam opgeeft, of kom met bedrijfs specifieke vragen die waarschijnlijk niet op social media staan als "op welke verdieping zit de kantine", "wie is je collega die 2 deuren verder zit", etc. etc.
Verder schijnen mensen het vreemde idee te hebben dat je op dat soort controlevragen altijd eerlijk moet antwoorden. Spreek af dat je als naam van je moeder een heel andere naam opgeeft, of kom met bedrijfs specifieke vragen die waarschijnlijk niet op social media staan als "op welke verdieping zit de kantine", "wie is je collega die 2 deuren verder zit", etc. etc.
Check, dat is een vorm die ik in het verleden ook toegepast heb. Een andere vorm is wellicht van wachtwoorden af te stappen en biometrische authenticatievormen icm tokens oid toe te passen, maar dat is in deze buiten scope.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
