image

Expert: wachtwoorden zijn niet het probleem maar mensen

donderdag 19 maart 2015, 11:51 door Redactie, 12 reacties

Deze week onthulde Microsoft dat Windows 10 biometrisch inloggen gaat ondersteunen zodat gebruikers geen wachtwoord meer hoeven te gebruiken om toegang tot hun systeem en accounts te krijgen, maar volgens één expert zijn wachtwoorden niet het probleem, maar mensen.

"Hoewel er veiligere alternatieven en andere authenticatiemethodes zijn die naast het wachtwoord kunnen worden gebruikt, zal het wachtwoord nog een lange tijd bij ons zijn, of je het nu leuk vindt of niet", zegt Richard Walters van Intermedia. Hij vindt dan ook dat er meer aandacht moet komen om wachtwoorden te laten "werken". De meeste programma's werken vooralsnog alleen met wachtwoorden. "De werkelijkheid is dat er niets mis is met wachtwoorden. Mensen zijn het probleem. Gebruikers kiezen wachtwoorden die te simpel, te kort en te voorspelbaar zijn."

Walters wijst naar de wachtwoorden van Sony- en LinkedIn-gebruikers, die door datalekken naar buiten kwamen. Dan blijkt dat meer dan de helft van de wachtwoorden uit minder dan acht karakters bestaat. Zelfs als websites maatregelen zoals salting en hashing nemen zijn dit soort korte wachtwoorden nog steeds een risico, aldus de expert. Gebruikers vergroten daarnaast het risico door hetzelfde wachtwoord voor meerdere websites te gebruiken.

Wachtwoordmanagement

"Ondanks alle pogingen om gebruikers te onderwijzen van het belang om relatief lange, complexe en willeurige wachtwoorden te gebruiken, doen ze het niet. En ook worden ze zelden gewijzigd." Walters ziet echter een oplossing in programma's die niet alleen een wachtwoord voor de gebruikers kiest, maar die ook regelmatig wijzigt. Deze vorm van "geautomatiseerd wachtwoordmanagement" kan helpen om aanvallen te voorkomen of de impact ervan te verkleinen. "Het risico op een datalek is nu groter dan ooit. Het verwijderen van de menselijke interactie met wachtwoorden en de keuze en het wijzigen ervan te automatiseren zal op verschillende niveaus een grote stap voorwaarts zijn."

Reacties (12)
19-03-2015, 12:09 door Anoniem
Ja, een wachtwoord is een prima methode als je het goed gebruikt. Echter, het is een feit dat mensen niet goed omgaan met wachtwoorden. Je kan je best doen om dit te verbeteren, maar mijn vermoeden is dat dit een onbegonnen klus is. Om die reden zijn wachtwoorden niet echt geschikt voor het grote publiek.

Het succes van een beveiligingsmaatregelen hangt niet alleen van de sterkte van de maatregel zelf af, maar ook of deze is afgestemd op de doelgroep. Er is duidelijk een mismatch tussen het wachtwoord en de gemiddelde gebruiker.
19-03-2015, 12:50 door Anoniem
Door Anoniem: Het succes van een beveiligingsmaatregelen hangt niet alleen van de sterkte van de maatregel zelf af, maar ook of deze is afgestemd op de doelgroep. Er is duidelijk een mismatch tussen het wachtwoord en de gemiddelde gebruiker.

Het aardige in beveiligingsland vind ik dat de algemeen gedeelde conclusie dan is: we moeten dus de gebruiker aanpassen.

(Kan me voorstellen dat een ontwikkelaar van mening is dat zijn prachtige product een veel beter publiek verdient dan het krijgt. Toch zou men zich af en toe de vraag moeten stellen: is de software er voor de gebruikers of zijn de gebruikers er voor de software?)

Hoe er naar gebruikers gekeken wordt doet me ergens denken aan de redenering "Wat is is de natuur toch goed geregeld, dat de zon precies opkomt als wij wakker worden en ondergaat wanneer wij naar bed gaan".
19-03-2015, 13:13 door Anoniem
Door Anoniem: Ja, een wachtwoord is een prima methode als je het goed gebruikt. Echter, het is een feit dat mensen niet goed omgaan met wachtwoorden. Je kan je best doen om dit te verbeteren, maar mijn vermoeden is dat dit een onbegonnen klus is. Om die reden zijn wachtwoorden niet echt geschikt voor het grote publiek.

Het succes van een beveiligingsmaatregelen hangt niet alleen van de sterkte van de maatregel zelf af, maar ook of deze is afgestemd op de doelgroep. Er is duidelijk een mismatch tussen het wachtwoord en de gemiddelde gebruiker.

Er was ook een duidelijke mismatch tussen het beveiligingsmiddel "autogordel" en de gemiddelde autobestuurder uit de jaren 70. Als de burger zichzelf of zijn omgeving uit gemakzucht in gevaar brengt zou daar wel eens een taak voor de overheid kunnen liggen (en dat pakt meestal uit als meer wettelijke plichten voor de burger)...
19-03-2015, 13:15 door Anoniem
Deze superguruexpert heeft natuurlijk gewoon gelijk, want we hebben nog steeds de magische allesbeveiligende wachtwoordvervanger die we aan iedereen kunnen opleggen niet gevonden. Nuja, dan maar de volgende biometrische gimmick invoeren. Wellicht dat dat wel de zilveren kogel zal zijn. En we moeten er allemaal aan geloven, natuurlijk, want als je de nieuwste magische oplossing niet zoveel mogelijk mensen door de strot duwt weet je natuurlijk nooit of het wel echt een magische oplossing is.

Dat kan echt alleen maar in de praktijk bewezen worden, want er zijn altijd nee-zeggers en dus hoor je altijd nee en dus kun je nooit vantevoren op je vingers natellen dat de goedgelovigheid van de invoerder nooit kan opwegen tegen tien evidente dodelijke nadelen. Er moet dus duidelijk meer en vaker grootschalig geprobeerd worden. Want wie weet, wellicht werkt de laatste minieme variatie op hetzelfde failliete idee deze keer wel!
19-03-2015, 13:32 door Anoniem
Het probleem met passwords is tweeledig:

1. Er is geen goede manier voor een gebruiker om een site te authenticeren; (is het wel jouw bank en geen scammer?)

2. Je geeft het password integraal aan de site waar je wilt inloggen; (die site kan er mee doen wat ze willen).


Zie: http://eccentric-authentication.org/blog/2014/11/30/spot-the-differences.html
19-03-2015, 14:27 door Anoniem
Het probleem is niet de gebruiker die niet doet wat men graag ziet, maar de zelfbenoemde security expert cq systeem
ontwerper die iets onbruikbaars ontwerpt en dan tegen de gebruikers zegt dat zij het probleem zijn.

Als een systeem zo gemaakt is dat mensen met korte wachtwoorden "die in een paar duizend pogingen geraden kunnen
worden" een probleem vormen dan ligt de fout niet bij de mensen maar bij het systeem.

Maar in plaats van het systeem te verbeteren moppert men liever op de gebruiker. Beetje zwak.
19-03-2015, 16:15 door Anoniem
"De werkelijkheid is dat er niets mis is met wachtwoorden. Mensen zijn het probleem. Gebruikers kiezen wachtwoorden die te simpel, te kort en te voorspelbaar zijn."

Het niet instellen van maximum login attempts / account lockout is een veel groter risico dan een zwak wachtwoord (tenzij dit zo gemakkelijk is dat je deze direkt kan raden). Immers is een systeem dat vandaag de dag nog kwetsbaar is voor brute force aanvallen een knullig beveiligd systeem.

Password complexiteit zal immers vooral helpen tegen bruteforce aanvallen, en niet tegen bijvoorbeeld keyloggers, die een wachtwoord van honderden karakters net zo gemakkelijk onderscheppen als wachtwoord '12345'.

In bedrijfsomgevingen is het verder sterk aan te raden om multifactor authenticatie te gebruiken, met bijvoorbeeld een token die een one time password genereert, waardoor het onderscheppen van credentials ook weinig zin meer heeft.

Omtrent biometrisch inloggen, hier kleven denk ik ook wel wat nadelen aan, zoals het feit dat je vingerafdruk overal te vinden is op en rondom je apparatuur, als ook het feit dat je je af kan vragen hoeveel respect bedrijven hebben voor je privacy, en hoe ethisch ze met je gegevens om gaan.

Je kunt er nu al op rekenen dat via tal van apps voor biometrische authenticatie vingerafdrukken en dergelijke worden opgeslagen in databases, die vervolgens commercieel worden geexploiteerd.

Voert men bij IT bedrijven de biometrische authenticatie in, met de belangen van de klanten in het achterhoofd ? Of is men toch vooral hiermee bezig omdat men commerciele mogelijkheden ziet m.b.t. de vergaarde informatie.... ?
19-03-2015, 16:24 door Anoniem
De werkelijkheid is dat er niets mis is met wachtwoorden. Mensen zijn het probleem. Gebruikers kiezen wachtwoorden die te simpel, te kort en te voorspelbaar zijn

Dit is over het algemeen *geen* gebruikers probleem. Dit is een probleem van slechte architectuur/configuratie, waarbij sterke wachtwoorden niet worden afgedwongen.

Indien dit soort problemen spelen binnen een organisatie, dan ligt de oplossing eerder in betere controls in het security framework, om het gebruik van sterke wachtwoorden af te dwingen, dan in bijvoorbeeld awareness sessies om de gebruiker uit te leggen wat het belang is van een sterk wachtwoord.

Je kan je best doen om dit te verbeteren, maar mijn vermoeden is dat dit een onbegonnen klus is. Om die reden zijn wachtwoorden niet echt geschikt voor het grote publiek.

Mij lijkt het helemaal geen onbegonnen klus, indien architecten en beheerders naar behoren hun werk doen. Immers ligt de oplossing niet bij de gebruiker, maar bij diegenen die technisch het juiste gedrag kunnen afdwingen.

Indien dit in een bedrijf een ''onbegonnen klus'' is, dan is het tijd om meer capabele IT-ers in dienst te nemen, die dergelijke problemen naar behoren oplossen, zonder de schuld af te schuiven op hun gebruikers.
19-03-2015, 16:26 door Anoniem
Walters wijst naar de wachtwoorden van Sony- en LinkedIn-gebruikers, die door datalekken naar buiten kwamen. Dan blijkt dat meer dan de helft van de wachtwoorden uit minder dan acht karakters bestaat.

Hadden Sony en LinkedIn geen verantwoordelijkheid, en was deze situatie enkel de schuld van de gebruikers ?
19-03-2015, 16:28 door Profeet
Punt blijft dat alleen een vingerafdruk ook weer 1 factor is.
Hoelang duurt het voordat ze deze shit gaan verzamelen. Ben je net zo ver van huis.

De Bank moet u gegevens controleren, ga naar deze site en scan u gezicht. lol
20-03-2015, 08:26 door PietdeVries
Alle lijsten met gestolen wachtwoorden komen van servers - niet van de klanten zelf. Het zijn de servers die door fout opgeslagen wachtwoorden (hashes) gigantische lijsten met wachtwoorden lekken en waar security experts dan weer hun conclusie uit trekken.

Ik denk dat zelfs een wachtwoord van 4 of 5 karakters voldoende kan zijn om een systeem te beveiligen. Na 3 keer inloggen een uur blokkeren is voldoende.

Recent heb ik een Kippo SSH honeypot opgezet. Een paar simpele wachtwoorden voor het root account bleken al te lastig voor het merendeel van de 'hackers': het duurde simpelweg 100 of meer pogingen om dat standaard wachtwoord te raden.

Het probleem dus bij de gebruiker neerleggen is wel erg makkelijk. De mens is namelijk lastig op te voeden en te veranderen. Pas het systeem aan, te beginnen met een draai om de oren voor elke CSO waarvan een wachtwoordenlijst uitlekt!
02-12-2015, 20:33 door Anoniem
Ik heb de oplossing heel simpel waar moet ik wezen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.