Professor: regelmatig wachtwoord wijzigen onverstandig
In veel adviezen over wachtwoorden wordt aangeraden om regelmatig het wachtwoord te wijzigen, maar dit is onverstandig, zo stelt Lorrie Cranor, informaticaprofessor aan de Carnegie Mellon University en tegenwoordig hoofdtechnoloog bij de Amerikaanse toezichthouder FTC.
Cranor baseert zich onder andere op onderzoek uit 2010 (pdf), waarbij onderzoekers de wachtwoordhashes van meer dan 10.000 niet meer gebruikte universiteitsaccounts onderzochten. In totaal ging het om 51.000 wachtwoordhashes, waarvan onderzoekers 60% van de hashes wisten te kraken en zo het wachtwoord achterhaalden. Van 7700 accounts ging het niet om het laatste wachtwoord dat de gebruiker had ingesteld. Aan de hand van de eerder ingestelde wachtwoorden wisten ze bij 17% van de accounts het juiste wachtwoord binnen 5 pogingen te raden.
Ook uit andere onderzoeken blijkt dat gebruikers die regelmatig hun wachtwoord moeten wijzigen zwakke wachtwoorden kiezen en vaker hun wachtwoorden opschrijven. Natuurlijk zijn er situaties waarbij het soms wel verstandig is om een wachtwoord te wijzigen, stelt Cranor, bijvoorbeeld als er aanwijzingen zijn dat het is gestolen. Daarnaast kunnen organisaties andere maatregelen nemen om misbruik van wachtwoorden tegen te gaan, zoals het gebruik van goede hash-functies, het kiezen van goede salts, het beperken van het aantal inlogpogingen en de vereisten voor de lengte en complexiteit van een wachtwoord.
"Onderzoek suggereert dat het regelmatig en verplicht aanpassen van wachtwoorden gebruikers ergert en niet de eerder aangenomen veiligheidsvoordelen heeft, en in sommige gevallen gebruikers zich minder veilig laat gedragen. Het aanmoedigen van gebruikers om een sterk wachtwoord te kiezen dat ze lange tijd kunnen gebruiken kan voor veel organisaties dan ook een betere aanpak zijn", aldus Cranor. De roep van de professor om te stoppen met de verplichte wachtwoordaanpassingen staat niet op zichzelf. Al in 2006 kwam er kritiek op het advies, en in 2010 liet ook beveiligingsexpert Bruce Schneier weten dat dit niet verstandig is.
Reacties (24)
..het gebruik van goede hash-functies .. : Ik weet alleen dat je met PBKDF2 een matig password al een stuk sterker kan maken. https://en.wikipedia.org/wiki/PBKDF2
10-03-2016, 14:56 door
Ron625
Wanneer ik kijk, hoe e.e.a. ging bij mijn laatste werkgever, dat moet ik weer lachen.
Iedere maand diende het anders te worden, waarbij het ook anders moest zijn dan alle wachtwoorden die in de 2 jaar daarvoor gebruikt waren.
Op dit moment zullen maart.2016, mrt.2016, maart_2016 enzovoort in 75% van de gevallen werken.
Iedere maand diende het anders te worden, waarbij het ook anders moest zijn dan alle wachtwoorden die in de 2 jaar daarvoor gebruikt waren.
Op dit moment zullen maart.2016, mrt.2016, maart_2016 enzovoort in 75% van de gevallen werken.
Dit roep ik al jaren maar helaas staat dat advies in standaardverhalen over veiligheid en die schrijft iedereen van elkaar
over, dus blijft dat maar rondzingen.
Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en
dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
over, dus blijft dat maar rondzingen.
Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en
dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
Vreemde professor. Indien mensen zwakke wachtwoorden kiezen, dan is de remedie om security controls in te stellen welke een zwak wachtwoord niet toestaan. Verder is het verstandig, waar mogelijk, om multi factor authenticatie te implementeren, zodat je naast je inlog naam en wachtwoord bijvoorbeeld ook een one time token nodig hebt. Hierdoor worden onderschepte wachtwoorden al snel waardeloos.
Het uitzetten van het verkopen van wachtwoorden is geen remedie, en vergroot het risico enkel. Het is duidelijk dat deze professor geen enkele praktijk ervaring heeft met dit onzinnige advies. Ook lijkt hij er vanuit te gaan dat accounts per definitie niet compromised zijn - want indien dat wel het geval is, dan is het aanhouden van je wachtwoord natuurlijk super onveilig.
Het uitzetten van het verkopen van wachtwoorden is geen remedie, en vergroot het risico enkel. Het is duidelijk dat deze professor geen enkele praktijk ervaring heeft met dit onzinnige advies. Ook lijkt hij er vanuit te gaan dat accounts per definitie niet compromised zijn - want indien dat wel het geval is, dan is het aanhouden van je wachtwoord natuurlijk super onveilig.
10-03-2016, 15:31 door
User2048
Natuurlijk zijn er situaties waarbij het soms wel verstandig is om een wachtwoord te wijzigen, stelt Cranor, bijvoorbeeld als er aanwijzingen zijn dat het is gestolen.
Je weet niet of je wachtwoord is gestolen. Ook als je er geen aanwijzingen voor hebt, kan het toch het geval zijn. Toch maar wel regelmatig je wachtwoord wijzigen dus.Een betere oplossing voor het wachtwoordprobleem is het gebruik van een wachtwoordapp.
10-03-2016, 15:32 door
TheKeymaker
Om een lang verhaal kort te maken: De mens is de zwakke schakel als het gaat om wachtwoorden. Dit weten we al jaren.
10-03-2016, 15:41 door
waste
Er is een hele makkelijke manier om hele sterke wachtwoorden te bedenken en te onthouden:
https://sites.google.com/site/easylinuxtipsproject/password
https://sites.google.com/site/easylinuxtipsproject/password
Op onze school moet elke leerling elke maand zijn wachtwoord veranderen. Iedereen die langer dan 3 maanden op school zit heeft iets in de zin als "wachtwoord17" "Qwertyuiop18" "blahblah23" "mijn13epassword"
Dit roep ik al jaren maar helaas staat dat advies in standaardverhalen over veiligheid en die schrijft iedereen van elkaar
over, dus blijft dat maar rondzingen. Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
over, dus blijft dat maar rondzingen. Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
Het advies is volstrekt onzinnig, en zorgt voor meer onveiligheid. Password complexity dwing je af met security controls. Niet door het verzwakken van beveiliging door wachtwoorden nooit te laten verlopen. Wat nou indien accounts compromised zijn, en het password bekend is ? Denk je dat het dan slim is om een wachtwoord nooit te wijzigen ?
Organisaties waar gebruikers zwakke wachtwoorden gebruiken moeten niet de individuele gebruikers hierop aanspreken, maar de beheerders die kennelijk niet in staat zijn om de zaken zo in te richten dat je geen zwak wachtwoord kan kiezen.
Naast password complexity moet men verder naar andere zaken kijken, zoals een one time token, zodat een onderschept wachtwoord weinig nut heeft. Ongeacht hoe men aan het password komt; bijvoorbeeld middels brute force (wat moeilijker wordt door password complexity), of middels een keylogger. Waarbij het niets uitmaakt hoe 'sterk' je wachtwoord is.
Je weet niet of je wachtwoord is gestolen. Ook als je er geen aanwijzingen voor hebt, kan het toch het geval zijn. Toch maar wel regelmatig je wachtwoord wijzigen dus.
Inderdaad, daarom is het periodiek wijzigen van wachtwoorden ook een goede maatregel in beveiligingsbeleid.
Om een lang verhaal kort te maken: De mens is de zwakke schakel als het gaat om wachtwoorden. Dit weten we al jaren.
De zwakste schakel heeft betrekking op het niet aanwezig zijn van goede security controls, om de zwakke schakel te dwingen om bijvoorbeeld een sterk wachtwoord te kiezen. Indien dat niet op orde is, dan helpen zaken als security awareness programma's bijvoorbeeld maar matig.
Beheerders die klagen over gebruikers in hun organisatie die zwakke wachtwoorden gebruiken, zijn incapabele beheerders, die je moet vervangen door professionals die hun vak wel verstaan..... ;)
Is het gewoon niet handiger, om je wachtwoorden in je browser, in elk geval Firefox door een hoofdwachtwoord te beschermen.
Elke keer dat ik mijn email check, hoef ik alleen maar mijn hoofdwachtwoord in te toetsen, en klaar ben ik.
Elke keer dat ik mijn email check, hoef ik alleen maar mijn hoofdwachtwoord in te toetsen, en klaar ben ik.
Door Anoniem:
Het advies is volstrekt onzinnig, en zorgt voor meer onveiligheid. Password complexity dwing je af met security controls.
Dit roep ik al jaren maar helaas staat dat advies in standaardverhalen over veiligheid en die schrijft iedereen van elkaar
over, dus blijft dat maar rondzingen. Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
over, dus blijft dat maar rondzingen. Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
Het advies is volstrekt onzinnig, en zorgt voor meer onveiligheid. Password complexity dwing je af met security controls.
Als je dat denkt ben je [v] ongeschikt.
De wereld draait niet om techniek maar om mensen.
Duidelijk professortaal, en niet van de praktijk. ;-)
Niet alles wat er wordt beweerd is onjuist, maar het ontbreekt aan praktijkervaring en inleving in de gemiddelde gebruiker.
De meest computergebruikers zijn namelijk "securibeten".
Ook speelt een rol over wat voor een soort systeem het precies gaat, en dan vooral: hoeveel kans is er op een brute force attack en hoe snel kan die brute force aanval verlopen? En verder:
hoeveel kans is er dat iemand via andere wegen zoals bijv. social engineering of keyloggers zijn wachtwoord prijsgeeft?
Dan kom ik al snel hier op uit:
Aangezien een grote meerderheid van mensen van nature geen sterke wachtwoorden kiest, en er onvoorzichtig mee omspringt, kan je ze maar beter het wachtwoord om de zoveel tijd verplicht laten veranderen.
De meeste mensen zijn nl. hardleers, eigenwijs, gemakzuchtig, vergeetachtig, en kunnen alle risico's niet goed overzien.
Bovendien: sterke wachtwoorden vergeet men eerder, en dan heb je daar weer gezeur mee als je dit verplicht.
Stop je sterke wachtwoorden in een wachtwoordkluis, dan is het vaak maar weer de vraag hoe veilig dat werkelijk is,
en of het niet verschuiven van het probleem is.
Bovendien is het voor een systeembeheerder niet te controleren of een ieder zijn/haar wachtwoord wel veilig bewaart.
Hoe ingewikkeld het soms kan zijn, is wel gebleken in: https://www.security.nl/posting/458926/Is+WPA2+en+AES+nu+wel+veilig%2C+of+niet%3F
Als ieder wachtwoord wordt opgeslagen in een hash van een nogal beperkte vaste lengte, dan hebben hele lange wachtwoorden dus niet zoveel zin. (de twijfel begint bij meer dan 20 karakters, omdat de output van een SHA1 hash uit 160 bits = 20 bytes bestaat. Maar helaas is niet altijd bekend hoe een systeem je wachtwoord hasht en/of salt.
Je kunt dus nooit zeker weten of meer karakters zin hebben, of dat ze de weerstand tegen brute force attacks juist zullen verzwakken vanwege een"colliding password" van een kortere lengte.
Goeroehoedjes
Niet alles wat er wordt beweerd is onjuist, maar het ontbreekt aan praktijkervaring en inleving in de gemiddelde gebruiker.
De meest computergebruikers zijn namelijk "securibeten".
Ook speelt een rol over wat voor een soort systeem het precies gaat, en dan vooral: hoeveel kans is er op een brute force attack en hoe snel kan die brute force aanval verlopen? En verder:
hoeveel kans is er dat iemand via andere wegen zoals bijv. social engineering of keyloggers zijn wachtwoord prijsgeeft?
Dan kom ik al snel hier op uit:
Aangezien een grote meerderheid van mensen van nature geen sterke wachtwoorden kiest, en er onvoorzichtig mee omspringt, kan je ze maar beter het wachtwoord om de zoveel tijd verplicht laten veranderen.
De meeste mensen zijn nl. hardleers, eigenwijs, gemakzuchtig, vergeetachtig, en kunnen alle risico's niet goed overzien.
Bovendien: sterke wachtwoorden vergeet men eerder, en dan heb je daar weer gezeur mee als je dit verplicht.
Stop je sterke wachtwoorden in een wachtwoordkluis, dan is het vaak maar weer de vraag hoe veilig dat werkelijk is,
en of het niet verschuiven van het probleem is.
Bovendien is het voor een systeembeheerder niet te controleren of een ieder zijn/haar wachtwoord wel veilig bewaart.
Hoe ingewikkeld het soms kan zijn, is wel gebleken in: https://www.security.nl/posting/458926/Is+WPA2+en+AES+nu+wel+veilig%2C+of+niet%3F
Als ieder wachtwoord wordt opgeslagen in een hash van een nogal beperkte vaste lengte, dan hebben hele lange wachtwoorden dus niet zoveel zin. (de twijfel begint bij meer dan 20 karakters, omdat de output van een SHA1 hash uit 160 bits = 20 bytes bestaat. Maar helaas is niet altijd bekend hoe een systeem je wachtwoord hasht en/of salt.
Je kunt dus nooit zeker weten of meer karakters zin hebben, of dat ze de weerstand tegen brute force attacks juist zullen verzwakken vanwege een"colliding password" van een kortere lengte.
Goeroehoedjes
Door Anoniem:
Als je dat denkt ben je [v] ongeschikt.
De wereld draait niet om techniek maar om mensen.
Door Anoniem:
Het advies is volstrekt onzinnig, en zorgt voor meer onveiligheid. Password complexity dwing je af met security controls.
Dit roep ik al jaren maar helaas staat dat advies in standaardverhalen over veiligheid en die schrijft iedereen van elkaar
over, dus blijft dat maar rondzingen. Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
over, dus blijft dat maar rondzingen. Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
Het advies is volstrekt onzinnig, en zorgt voor meer onveiligheid. Password complexity dwing je af met security controls.
Als je dat denkt ben je [v] ongeschikt.
De wereld draait niet om techniek maar om mensen.
Hulde! Jij snapt het! Frequent password veranderen + complexe passwords eis = post-its met wachtwoorden.
Informatiebeveiliging moet kappen met dat eindeloze gebruikertje pesten.
Door Anoniem: ... Het is duidelijk dat deze professor geen enkele praktijk ervaring heeft met dit onzinnige advies. ...
De enige die geen praktijk ervaring, noch enig blijk van inzicht laat zien is de schrijver van het hier (deels) aangehaalde bericht. Elke maand een nieuw, volledig willekeurig, sterk wachtwoord verzinnen en onthouden is menselijkerwijs niet mogelijk. Elke wachtwoord strategie die voorbij gaat aan de grenzen van menselijke mogelijkheden is gedoemd the falen.
Mijn wachtwoord is Control V. Werkt bijna altijd. Jammer genoeg niet met inloggen van Windows.
11-03-2016, 08:35 door
Rolfieo
Door Anoniem:
Het advies is volstrekt onzinnig, en zorgt voor meer onveiligheid. Password complexity dwing je af met security controls. Niet door het verzwakken van beveiliging door wachtwoorden nooit te laten verlopen. Wat nou indien accounts compromised zijn, en het password bekend is ? Denk je dat het dan slim is om een wachtwoord nooit te wijzigen ?
Hangt er vanaf hoevaak men het wachtwoord veranderd moet worden. Dit roep ik al jaren maar helaas staat dat advies in standaardverhalen over veiligheid en die schrijft iedereen van elkaar
over, dus blijft dat maar rondzingen. Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
over, dus blijft dat maar rondzingen. Vaststaand feit is dat als je het wachtwoord steeds moet veranderen je het veel minder gemakkelijk kunt onthouden en dus simpeler wachtwoorden neemt of een oplopend cijfertje gebruikt.
Het advies is volstrekt onzinnig, en zorgt voor meer onveiligheid. Password complexity dwing je af met security controls. Niet door het verzwakken van beveiliging door wachtwoorden nooit te laten verlopen. Wat nou indien accounts compromised zijn, en het password bekend is ? Denk je dat het dan slim is om een wachtwoord nooit te wijzigen ?
1 keer per maand, 1 keer per kwartaal, of 1 keer per week?
Hoe vaker het veranderd moet worden, hoe minder veilig vaak de wachtwoorden worden.
P@ssword01,P@ssword02,P@ssword03 zijn "complexe" wachtwoorden. Maar of ze nu erg veilig zijn, of als het wachtwoord bekend is, dan kan je gemakkelijk het wachtwoord doordenken.
Hoevaak je ook niet maa.2016 jun.2016 voorbij ziet komen....
Organisaties waar gebruikers zwakke wachtwoorden gebruiken moeten niet de individuele gebruikers hierop aanspreken, maar de beheerders die kennelijk niet in staat zijn om de zaken zo in te richten dat je geen zwak wachtwoord kan kiezen.
Volgens mij is het nog altijd het management wat hierin de lead is. ICT doet ook vaak wat management opdraagt. Je hebt wel een advies rol.Hoe lasiger de beheerder het de eind gebruikers maakt, hoe meer de eind gebruikers om de beheerder heen gaan werken.
Naast password complexity moet men verder naar andere zaken kijken, zoals een one time token, zodat een onderschept wachtwoord weinig nut heeft. Ongeacht hoe men aan het password komt; bijvoorbeeld middels brute force (wat moeilijker wordt door password complexity), of middels een keylogger. Waarbij het niets uitmaakt hoe 'sterk' je wachtwoord is.
Dit is een positive, OTP/2FA zou zeker voor externe systemen nodig zijn. Voor interne systemen is een smartcard een goede oplossing. Maar OTP gaat niet werken, als je het 20-30 keer per dag moet gebruiken.De zwakste schakel heeft betrekking op het niet aanwezig zijn van goede security controls, om de zwakke schakel te dwingen om bijvoorbeeld een sterk wachtwoord te kiezen. Indien dat niet op orde is, dan helpen zaken als security awareness programma's bijvoorbeeld maar matig.
De zwakste schakel is en blijf de eindgebruiker.Beheerders die klagen over gebruikers in hun organisatie die zwakke wachtwoorden gebruiken, zijn incapabele beheerders, die je moet vervangen door professionals die hun vak wel verstaan..... ;)
Beheerder maken het beleid niet, dat is het management.
Als beheerder heb je een advies en daarna voer jij het beleid uit.
Maar je antwoord is eigenlijk alles, waarom security beleid juist niet geaccepteerd wordt door eind gebruikers. Security vs gebruikers gemak, is altijd een lastige. Vanuit de ICT kan je alles, maar als het te complex is/wordt, gaan gebruikers om de security heen werken.
Door Anoniem:Aangezien een grote meerderheid van mensen van nature geen sterke wachtwoorden kiest, en er onvoorzichtig mee omspringt, kan je ze maar beter het wachtwoord om de zoveel tijd verplicht laten veranderen.
Ook als je wachtwoorden niet meer hoeft te veranderen, kiezen mensen zwakke wachtwoorden. Daarnaast blijven mensen hetzelfde wachtwoord op meerdere sites gebruiken.
Als er weer een wachtwoord(hash)lijst bekend is geraakt, zijn die wachtwoorden eenvoudig gekraakt. Omdat meestal ook gelijk het account (= e-mail adres) in de lijst staat, kom je bij veel meer websites binnen. Dan is het niet eens nodig om te weten waar de lijst vandaan komt. Met dezelfde combinatie van adres en wachtwoord zal men bij alle grote shops binnen kunnen komen.
Op dit moment is het beleid bij ons dat als een wachtwoordlijst bekend wordt en er staat een adres uit onze organisatie op en de lijst is recent dan wordt het wachtwoord gereset. Als de lijst ouder is, is dat niet nodig. Als wachtwoorden niet gewijzigd hoeven te worden, moet ook bij oudere lijsten het wachtwoord gereset worden.
Wat betreft post-it. Dat hebben we hier grotendeels uitgebannen. Daarnaast worden wachtwoordkluizen actief gepromoot.
Peter
11-03-2016, 09:48 door
karma4
Door Rolfieo:
Volgens mij is het nog altijd het management wat hierin de lead is. ICT doet ook vaak wat management opdraagt. Je hebt wel een advies rol.
Hoe lastiger de beheerder het de eind gebruikers maakt, hoe meer de eind gebruikers om de beheerder heen gaan werken.
De zwakste schakel is en blijf de eindgebruiker.
. Security vs gebruikers gemak, is altijd een lastige. Vanuit de ICT kan je alles, maar als het te complex is/wordt, gaan gebruikers om de security heen werken.
Volgens mij is het nog altijd het management wat hierin de lead is. ICT doet ook vaak wat management opdraagt. Je hebt wel een advies rol.
Hoe lastiger de beheerder het de eind gebruikers maakt, hoe meer de eind gebruikers om de beheerder heen gaan werken.
De zwakste schakel is en blijf de eindgebruiker.
. Security vs gebruikers gemak, is altijd een lastige. Vanuit de ICT kan je alles, maar als het te complex is/wordt, gaan gebruikers om de security heen werken.
Door Ron625: Wanneer ik kijk, hoe e.e.a. ging bij mijn laatste werkgever, dat moet ik weer lachen.
Heren, wat ben ik het deze keer eens met jullie. Het is gezonde kritiek waarover nagedacht is met ervaring en waarneming.
Die professor heeft gelijk. Een leuke aanvalsvector is het verplichte wachtwoordwijzigen bijvoorbeeld midden in een transactie. Verbaaast me dat er niet massaal van gebruik gemaakt wordt met malware.
Het hele wachtwoorden gedoe heeft een doel.
Het doel is het helpen bij de verantwoordelijkheden van de gebruiker Het gaat om zijn data veiligheid). Als dat doel niet gedragen wordt kun je technisch doen wat je wilt, het zal geen soelaas bieden.
Ongelooflijk hoeveel bofh's er rondlopen.
Dan hebben we het nog niet eens over "high privileged accounts", "test accounts" en "service accounts" met de nodige functierolscheidingen. Er is nog een lange weg te gaan voordat men het "Security" onderwerp door heeft (Iso 27k? AP?).
11-03-2016, 11:40 door
_R0N_
Helemaal eens..
Je kunt beter 1x een sterk wachtwoord onthouden dan zo vaak je wachtwoord wijzigen dat je een spiekbriefje nodig hebt..
Vaak wordt een wachtwoord policy, waarbij je regelmatig moet wisselen, opgelegd door een auditeur van bijvoorbeeld KPMG die zelf niets begrijpt van de werkbaarheid.
Je kunt beter 1x een sterk wachtwoord onthouden dan zo vaak je wachtwoord wijzigen dat je een spiekbriefje nodig hebt..
Vaak wordt een wachtwoord policy, waarbij je regelmatig moet wisselen, opgelegd door een auditeur van bijvoorbeeld KPMG die zelf niets begrijpt van de werkbaarheid.
11-03-2016, 13:29 door
Profeet
Schiet me in eens iets te binnen. Zou een dynamische policy niet wat zijn? Dus niet iedere zoveel maanden vast maar afhankelijk van de sterkte van het wachtwoord. Uiteraard wel met een maximale termijn van 9 tot 12 maanden.
Ik ben het namelijk wel met hem eens dat een te strak wachtwoord beleid averechts werkt. Hoeveel mensen werken niet met iets als "Wachtwoord!21" of schrijven het op een post it.
Ik ben het namelijk wel met hem eens dat een te strak wachtwoord beleid averechts werkt. Hoeveel mensen werken niet met iets als "Wachtwoord!21" of schrijven het op een post it.
Door Rolfieo:
Door Anoniem:
[..]
Beheerders die klagen over gebruikers in hun organisatie die zwakke wachtwoorden gebruiken, zijn incapabele beheerders, die je moet vervangen door professionals die hun vak wel verstaan..... ;)Ben jij toevallig een BOFH, want dit past daar eigenlijk precies bij.
Beheerder maken het beleid niet, dat is het management.
Als beheerder heb je een advies en daarna voer jij het beleid uit.
[..]
Beheerders die klagen over gebruikers in hun organisatie die zwakke wachtwoorden gebruiken, zijn incapabele beheerders, die je moet vervangen door professionals die hun vak wel verstaan..... ;)
Beheerder maken het beleid niet, dat is het management.
Als beheerder heb je een advies en daarna voer jij het beleid uit.
Gezien de toonzetting van degene op wie je reageerde is het typisch iemand die je geen gezag moet geven..
En waarschijnlijk in andere topics zal klagen dat "het management niet naar ons security experts wil luisteren" No surprise.
Maar je antwoord is eigenlijk alles, waarom security beleid juist niet geaccepteerd wordt door eind gebruikers. Security vs gebruikers gemak, is altijd een lastige. Vanuit de ICT kan je alles, maar als het te complex is/wordt, gaan gebruikers om de security heen werken.
Recent zat ik een presentatie van iemand die bij een F50 enterprise in de tech sector verantwoordelijk was voor IT security.
Op het onderwerp dropbox :
Dat mocht niet, maar dat liet hij vooral _niet_ blokkeren.
Waarom niet ?
Omdat hij de gebruikers op het enterprise netwerk wilde houden, en niet wegjagen. (naar 4g tethering etc)
En hij heeft "IT" een voldoende makkelijke filetransfer optie laten bouwen toen dropbox op begon te komen.
Resultaat : dropbox gebruik is nihil.
Dat is iemand die het _snapt_.
Door Anoniem:
Ook als je wachtwoorden niet meer hoeft te veranderen, kiezen mensen zwakke wachtwoorden. Daarnaast blijven mensen hetzelfde wachtwoord op meerdere sites gebruiken.
Als er weer een wachtwoord(hash)lijst bekend is geraakt, zijn die wachtwoorden eenvoudig gekraakt. Omdat meestal ook gelijk het account (= e-mail adres) in de lijst staat, kom je bij veel meer websites binnen. Dan is het niet eens nodig om te weten waar de lijst vandaan komt. Met dezelfde combinatie van adres en wachtwoord zal men bij alle grote shops binnen kunnen komen.
Op dit moment is het beleid bij ons dat als een wachtwoordlijst bekend wordt en er staat een adres uit onze organisatie op en de lijst is recent dan wordt het wachtwoord gereset. Als de lijst ouder is, is dat niet nodig. Als wachtwoorden niet gewijzigd hoeven te worden, moet ook bij oudere lijsten het wachtwoord gereset worden.
Wat betreft post-it. Dat hebben we hier grotendeels uitgebannen. Daarnaast worden wachtwoordkluizen actief gepromoot.
Peter
Door Anoniem:Aangezien een grote meerderheid van mensen van nature geen sterke wachtwoorden kiest, en er onvoorzichtig mee omspringt, kan je ze maar beter het wachtwoord om de zoveel tijd verplicht laten veranderen.
Ook als je wachtwoorden niet meer hoeft te veranderen, kiezen mensen zwakke wachtwoorden. Daarnaast blijven mensen hetzelfde wachtwoord op meerdere sites gebruiken.
Als er weer een wachtwoord(hash)lijst bekend is geraakt, zijn die wachtwoorden eenvoudig gekraakt. Omdat meestal ook gelijk het account (= e-mail adres) in de lijst staat, kom je bij veel meer websites binnen. Dan is het niet eens nodig om te weten waar de lijst vandaan komt. Met dezelfde combinatie van adres en wachtwoord zal men bij alle grote shops binnen kunnen komen.
Op dit moment is het beleid bij ons dat als een wachtwoordlijst bekend wordt en er staat een adres uit onze organisatie op en de lijst is recent dan wordt het wachtwoord gereset. Als de lijst ouder is, is dat niet nodig. Als wachtwoorden niet gewijzigd hoeven te worden, moet ook bij oudere lijsten het wachtwoord gereset worden.
Wat betreft post-it. Dat hebben we hier grotendeels uitgebannen. Daarnaast worden wachtwoordkluizen actief gepromoot.
Peter
Peter, dank voor je realistisch reactie en toegevoegde tips. Ik lees eruit dat we het in grote lijnen met elkaar eens zijn.
Ik hou het er echter op dat soms ook zonder enige aanwijzing er wachtwoorden kunnen zijn uitgelekt of gekraakt.
Een vermelding op het scherm van de laatste inlogdatum & tijd, plus serieuze gebruikers die hier goed op letten,
kan trouwens ook helpen bij de detectie of er iets is uitgelekt of gekraakt.
Maar ook deze vermelding van datum&tijd is helaas geen garantie dat iedereen hier altijd goed op let.
Afhankelijk van de gevoeligheid van de data waartoe men toegang krijgt, ben ik er daarom voorstander van om "by default"
wachtwoorden niet langer geldig te laten zijn dan bijv. een maand, 3 maanden, 6 maanden, etc.
Als het anderen betreft, dan uiteraard met een geautomatiseerde controle dat wachtwoorden niet teveel op elkaar lijken.
Dit acht ik niet een wondermiddel, maar alle kleine beetjes helpen.
Per situatie dient een risicoanalyse te worden gemaakt, en daar dienen de maatregelen op te zijn afgestemd.
Hypergevoelige informatie dient via internet eigenlijk niet met enkel inlognaam en wachtwoord te worden beveiligd.
Wachtwoordkluizen ben ik wat sceptisch over. De meeste wachtwoordkluizen zijn immers ook vaak beveiligd met een wachtwoord, dus ook dat zou gecompromitteerd kunnen worden.
Het vereist evengoed een bedachtzaam wachtwoordbeleid.
Heb je trouwens nog specifieke wachtwoordkluizen die je aanprijst? Of laat je dat aan de gebruikers over?
Anyway, ideaal en volkomen veilig zal dat inloggen met alleen (inlognaam en) wachtwoord wel nooit worden.
Maar in situaties waarbij het vooralsnog niet anders kan, kunnen we slechts proberen om er het beste van te maken.
Goeroehoedjes
Ik neem altijd de datum van de maand kalender, dag 1 van de maand dan dag 2 van de maand en zo voort.
Zo heb ik elke dag een ander wachtwoord wat makkelijk te onthouden is,hoeft alleen maar op de kalender te kijken.
Zo heb ik elke dag een ander wachtwoord wat makkelijk te onthouden is,hoeft alleen maar op de kalender te kijken.
Door Anoniem: Ik neem altijd de datum van de maand kalender, dag 1 van de maand dan dag 2 van de maand en zo voort.
Zo heb ik elke dag een ander wachtwoord wat makkelijk te onthouden is,hoeft alleen maar op de kalender te kijken.
Omdat er systeem in zit (te weinig willekeurig), is dit wel gemakkelijk, maar levert het te zwakke wachtwoorden op.Zo heb ik elke dag een ander wachtwoord wat makkelijk te onthouden is,hoeft alleen maar op de kalender te kijken.
Geautomatiseerde wachtwoordcontrole zou zoiets tegen moeten houden, en een ander, sterker wachtwoord eisen,
dat veel minder op het vorige wachtwoord lijkt. Anders heeft periodiek wijzigen van wachtwoorden weinig zin.
Maar je voorbeeld schetst wel het dilemma waar systeembeheerders voor staan:
gemiddeld kiezen computergebruikers te zwakke wachtwoorden, en geven al snel de voorkeur aan iets dat ze gemakkelijk kunnen onthouden, en wat niet teveel werk is om in te typen. Maar dit soort wachtwoorden zijn op zijn zachtst gezegd i.h.a. geen erg sterke wachtwoorden... Het is meestal niet veel meer dan "een haakje op de deur" wat het eigen gemoed
een vals gevoel van gerustheid geeft, maar dat als het er op aan komt doorzettende wachtwoordkrakers niet tegenhoudt.
Hier kun je dus beter niet mee aankomen als je de gegevens die met het wachtwoord toegankelijk worden
liever voor jezelf houdt, en misbruik van je account (waarop jij later kunt worden aangekeken!...) wilt voorkomen.
Goeroehoedjes
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
