Expert: wachtwoorden zijn niet het probleem maar mensen
Deze week onthulde Microsoft dat Windows 10 biometrisch inloggen gaat ondersteunen zodat gebruikers geen wachtwoord meer hoeven te gebruiken om toegang tot hun systeem en accounts te krijgen, maar volgens één expert zijn wachtwoorden niet het probleem, maar mensen.
"Hoewel er veiligere alternatieven en andere authenticatiemethodes zijn die naast het wachtwoord kunnen worden gebruikt, zal het wachtwoord nog een lange tijd bij ons zijn, of je het nu leuk vindt of niet", zegt Richard Walters van Intermedia. Hij vindt dan ook dat er meer aandacht moet komen om wachtwoorden te laten "werken". De meeste programma's werken vooralsnog alleen met wachtwoorden. "De werkelijkheid is dat er niets mis is met wachtwoorden. Mensen zijn het probleem. Gebruikers kiezen wachtwoorden die te simpel, te kort en te voorspelbaar zijn."
Walters wijst naar de wachtwoorden van Sony- en LinkedIn-gebruikers, die door datalekken naar buiten kwamen. Dan blijkt dat meer dan de helft van de wachtwoorden uit minder dan acht karakters bestaat. Zelfs als websites maatregelen zoals salting en hashing nemen zijn dit soort korte wachtwoorden nog steeds een risico, aldus de expert. Gebruikers vergroten daarnaast het risico door hetzelfde wachtwoord voor meerdere websites te gebruiken.
Wachtwoordmanagement
"Ondanks alle pogingen om gebruikers te onderwijzen van het belang om relatief lange, complexe en willeurige wachtwoorden te gebruiken, doen ze het niet. En ook worden ze zelden gewijzigd." Walters ziet echter een oplossing in programma's die niet alleen een wachtwoord voor de gebruikers kiest, maar die ook regelmatig wijzigt. Deze vorm van "geautomatiseerd wachtwoordmanagement" kan helpen om aanvallen te voorkomen of de impact ervan te verkleinen. "Het risico op een datalek is nu groter dan ooit. Het verwijderen van de menselijke interactie met wachtwoorden en de keuze en het wijzigen ervan te automatiseren zal op verschillende niveaus een grote stap voorwaarts zijn."
Het succes van een beveiligingsmaatregelen hangt niet alleen van de sterkte van de maatregel zelf af, maar ook of deze is afgestemd op de doelgroep. Er is duidelijk een mismatch tussen het wachtwoord en de gemiddelde gebruiker.
Het aardige in beveiligingsland vind ik dat de algemeen gedeelde conclusie dan is: we moeten dus de gebruiker aanpassen.
(Kan me voorstellen dat een ontwikkelaar van mening is dat zijn prachtige product een veel beter publiek verdient dan het krijgt. Toch zou men zich af en toe de vraag moeten stellen: is de software er voor de gebruikers of zijn de gebruikers er voor de software?)
Hoe er naar gebruikers gekeken wordt doet me ergens denken aan de redenering "Wat is is de natuur toch goed geregeld, dat de zon precies opkomt als wij wakker worden en ondergaat wanneer wij naar bed gaan".
Het succes van een beveiligingsmaatregelen hangt niet alleen van de sterkte van de maatregel zelf af, maar ook of deze is afgestemd op de doelgroep. Er is duidelijk een mismatch tussen het wachtwoord en de gemiddelde gebruiker.
Er was ook een duidelijke mismatch tussen het beveiligingsmiddel "autogordel" en de gemiddelde autobestuurder uit de jaren 70. Als de burger zichzelf of zijn omgeving uit gemakzucht in gevaar brengt zou daar wel eens een taak voor de overheid kunnen liggen (en dat pakt meestal uit als meer wettelijke plichten voor de burger)...
Dat kan echt alleen maar in de praktijk bewezen worden, want er zijn altijd nee-zeggers en dus hoor je altijd nee en dus kun je nooit vantevoren op je vingers natellen dat de goedgelovigheid van de invoerder nooit kan opwegen tegen tien evidente dodelijke nadelen. Er moet dus duidelijk meer en vaker grootschalig geprobeerd worden. Want wie weet, wellicht werkt de laatste minieme variatie op hetzelfde failliete idee deze keer wel!
1. Er is geen goede manier voor een gebruiker om een site te authenticeren; (is het wel jouw bank en geen scammer?)
2. Je geeft het password integraal aan de site waar je wilt inloggen; (die site kan er mee doen wat ze willen).
Zie: http://eccentric-authentication.org/blog/2014/11/30/spot-the-differences.html
ontwerper die iets onbruikbaars ontwerpt en dan tegen de gebruikers zegt dat zij het probleem zijn.
Als een systeem zo gemaakt is dat mensen met korte wachtwoorden "die in een paar duizend pogingen geraden kunnen
worden" een probleem vormen dan ligt de fout niet bij de mensen maar bij het systeem.
Maar in plaats van het systeem te verbeteren moppert men liever op de gebruiker. Beetje zwak.
Het niet instellen van maximum login attempts / account lockout is een veel groter risico dan een zwak wachtwoord (tenzij dit zo gemakkelijk is dat je deze direkt kan raden). Immers is een systeem dat vandaag de dag nog kwetsbaar is voor brute force aanvallen een knullig beveiligd systeem.
Password complexiteit zal immers vooral helpen tegen bruteforce aanvallen, en niet tegen bijvoorbeeld keyloggers, die een wachtwoord van honderden karakters net zo gemakkelijk onderscheppen als wachtwoord '12345'.
In bedrijfsomgevingen is het verder sterk aan te raden om multifactor authenticatie te gebruiken, met bijvoorbeeld een token die een one time password genereert, waardoor het onderscheppen van credentials ook weinig zin meer heeft.
Omtrent biometrisch inloggen, hier kleven denk ik ook wel wat nadelen aan, zoals het feit dat je vingerafdruk overal te vinden is op en rondom je apparatuur, als ook het feit dat je je af kan vragen hoeveel respect bedrijven hebben voor je privacy, en hoe ethisch ze met je gegevens om gaan.
Je kunt er nu al op rekenen dat via tal van apps voor biometrische authenticatie vingerafdrukken en dergelijke worden opgeslagen in databases, die vervolgens commercieel worden geexploiteerd.
Voert men bij IT bedrijven de biometrische authenticatie in, met de belangen van de klanten in het achterhoofd ? Of is men toch vooral hiermee bezig omdat men commerciele mogelijkheden ziet m.b.t. de vergaarde informatie.... ?
Dit is over het algemeen *geen* gebruikers probleem. Dit is een probleem van slechte architectuur/configuratie, waarbij sterke wachtwoorden niet worden afgedwongen.
Indien dit soort problemen spelen binnen een organisatie, dan ligt de oplossing eerder in betere controls in het security framework, om het gebruik van sterke wachtwoorden af te dwingen, dan in bijvoorbeeld awareness sessies om de gebruiker uit te leggen wat het belang is van een sterk wachtwoord.
Mij lijkt het helemaal geen onbegonnen klus, indien architecten en beheerders naar behoren hun werk doen. Immers ligt de oplossing niet bij de gebruiker, maar bij diegenen die technisch het juiste gedrag kunnen afdwingen.
Indien dit in een bedrijf een ''onbegonnen klus'' is, dan is het tijd om meer capabele IT-ers in dienst te nemen, die dergelijke problemen naar behoren oplossen, zonder de schuld af te schuiven op hun gebruikers.
Hadden Sony en LinkedIn geen verantwoordelijkheid, en was deze situatie enkel de schuld van de gebruikers ?
Hoelang duurt het voordat ze deze shit gaan verzamelen. Ben je net zo ver van huis.
De Bank moet u gegevens controleren, ga naar deze site en scan u gezicht. lol
Ik denk dat zelfs een wachtwoord van 4 of 5 karakters voldoende kan zijn om een systeem te beveiligen. Na 3 keer inloggen een uur blokkeren is voldoende.
Recent heb ik een Kippo SSH honeypot opgezet. Een paar simpele wachtwoorden voor het root account bleken al te lastig voor het merendeel van de 'hackers': het duurde simpelweg 100 of meer pogingen om dat standaard wachtwoord te raden.
Het probleem dus bij de gebruiker neerleggen is wel erg makkelijk. De mens is namelijk lastig op te voeden en te veranderen. Pas het systeem aan, te beginnen met een draai om de oren voor elke CSO waarvan een wachtwoordenlijst uitlekt!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
