Britse geheime dienst hekelt regelmatig aanpassen wachtwoord
Organisaties die regelmatig het personeel verplichten om een nieuw wachtwoord in te stellen zijn niet goed bezig, zo stelt de Communications and Electronics Security Group (CESG), onderdeel van de Britse geheime dienst GCHQ. Het is een algemeen beveiligingsadvies om regelmatig wachtwoorden te wijzigen.
Vorig jaar publiceerde de CESG echter wachtwoordadvies waarin dit juist werd afgeraden. Het regelmatig aanpassen van wachtwoorden zou werknemers juist dwingen om wachtwoorden te kiezen die op het vorige wachtwoord lijken of zwak zijn. Daarnaast is de kans aanwezig dat gebruikers een wachtwoord kiezen dat ze ook ergens anders gebruiken of besluiten ze het wachtwoord op te schrijven omdat ze het niet kunnen onthouden.
De kans om nieuwe wachtwoorden te vergeten is daarnaast veel groter, wat weer invloed op de productiviteitskosten heeft als mensen hun wachtwoord vergeten en de helpdesk dit moet resetten. De Britse geheime dienst adviseert organisaties dan ook om personeel niet te verplichten regelmatig hun wachtwoorden te wijzigen. Dat zou de kans moeten verkleinen dat gebruikers zwakke wachtwoorden kiezen.
Volgens de CESG zijn er juist efficiëntere verdedigingsmaatregelen om misbruik van accountgegevens te detecteren en te voorkomen, zoals het gebruik van monitoringtools die gebruikers informatie over hun laatste inlogpoging laten zien. In dit geval kan de gebruiker zien of hij voor mislukte inlogpogingen verantwoordelijk was en in het geval van onregelmatigheden aan de bel trekken. "Dit soort initiatieven helpen waarschijnlijk veel meer bij het beschermen van systemen en zijn veel beter voor de gebruiker te behappen", aldus de Britse geheime dienst. Onlangs stelde ook een Amerikaanse professor dat het regelmatig wijzigen van wachtwoorden onverstandig is.
Het gaat vooral om het inlog wachtwoord. Dan helpt een password tool nog niet. Wat wel helpt is 2FA.
En ik vond dit 15 jaar geleden ook al.
Maar ja, als er dure omes allerlei beveiligingsadviezen van elkaar overschrijven, wat doe je daar dan tegen?
En biometrie, alstublieft niet. Ik wil toch geen biometrische gegevens afstaan aan mijn werkgever waarvan ik niet weet of ik er morgen nog werk.
Wanneer je inlog faciliteit geen accounting heeft hoort het niet zo belangrijk te zijn dat je elke maand nieuwe wachtwoorden nodig hebt. Heb je wel accounting op je inlog faciliteit, dan moet deze simpelweg detecteren dat er foutieve inlogpogingen zijn, van waar die pogingen komen en hierop passende actie op ondernemen en direct IT Security en de persoon waarschuwen.
Het wachtwoord wat 1 week oud is, het wachtwoord wat 1 jaar oud is, dat maakt dan geen bal uit.
Maar ja, als er dure omes allerlei beveiligingsadviezen van elkaar overschrijven, wat doe je daar dan tegen?
Eens met je. Als je er goed over nadenkt is die gedwongen verandering eerder een bedreiging dan dat het iets oplost.
Dat managers en "specialisten" zich verschuilen achter best practices met vinkenlijstjes is de goedkope benadering g.
Service account high privileged accounts combineren met normaal gebruik en dat onderbrengen in een password manager... Hoe makkelijk wil je het de Black hatter maken.
Het zou een nieuwe good practice moeten zijn. Dump password managers aangezien het symptoombestrijders zijn en ga de security gedegen ontwerpen en invullen.
Als je een wachtwoord nooit zou veranderen,dan heeft een wachtwoord geen zin want dan is het makkelijker voor buitenstaanders te achterhalen.
Als je een wachtwoord nooit zou veranderen,dan heeft een wachtwoord geen zin want dan is het makkelijker voor buitenstaanders te achterhalen.
Huh? Is een sleutel van een jaar oud onveiliger dan die van een week oud?
Een voordeel van een vers WW is dat indien men een oudere database in handen heeft gekregen men minder tijd heeft om deze te brute forcen. Dan heeft de feitelijke 'hack' dus al plaatsgevonden.
Als je een wachtwoord nooit zou veranderen,dan heeft een wachtwoord geen zin want dan is het makkelijker voor buitenstaanders te achterhalen.
Waarom is het dan makkelijker te achterhalen? Ik heb al dertien jaar dezelfde huissleutels, maar pas als er eentje zoek is zie ik reden om te denken dat hij in andermans handen is gevallen.
Als mijn wachtwoord veilig opgeslagen is en ik hoef het niet op te schrijven omdat ik het kan onthouden, dan is dat veilig genoeg. Als ik het steeds moet wijzigen zodat ik het de volgende dag weer vergeten ben (want je mag het niet opschrijven, en na het wijzigen doe ik nog vele andere acties met mijn geheugen, tot de volgende werkdag begint) dan is de verleiding inderdaad groot om iets simpels te kiezen, een raadbare systeem te bedenken of het gewoon maar op te schrijven.
Of stomweg te wachten tot ik weer op kantoor ben en om een reset te vragen omdat ik het weer eens vergeten ben, en het niet remote gereset kan worden. Dat kost inderdaad nogal wat productiviteit.
Een wachtwoord is niet in eerste instantie bedoeld om anderen buiten te sluiten, maar om de juiste persoon binnen te laten. Regelmatig moeten wijzigen schiet daarmee zijn doel voorbij.
Moet hem maandag maar weer aanpassen op kantoor, zal "Mei2016!" worden.
Braaf elke 30 dagen, niet omdat het kan, maar omdat het moet :)
Onee?
Die van mij draait op mijn PC en op mijn telefoon en synchroniseert dat, indien nodig, via een eigen server. Als ik op de PC wil inloggen, kan ik op mijn telefoon kijken naar het wachtwoord. Maar ik gebruik dat wachtwoord zo vaak, dat ik dat na een dag wel uit mijn hoofd weet.
Peter
Als wachtwoord database is gelekt, biedt een wachtwoord dat na een jaar nog niet is gekraakt een betere bescherming dan een wachtwoord dat een cracker na een minuut heeft gevonden.
Bedenk dat je als organisatie niet kunt voorkomen dat gebruikers dom doen met wachtwoorden. Hoe vaak andere specialisten het ook zeggen, ik praat ze na als ze adviseren om voor verschillende systemen verschillende wachtwoorden te gebruiken. Een normaal persoon onthoudt al die wachtwoorden niet. Ik dacht dat ik het kon, maar nu zit ik op ruim 100 sites en systemen waar ik op in moet loggen en ik garandeer je dat ik die wachtwoorden niet allemaal kan onthouden.
Die kan best ergens anders hebben plaatsgevonden. Zeker omdat nog steeds veel mensen overal hetzelfde wachtwoord gebruiken en je vaak bij webshops e.d. in moet loggen met een e-mail adres. Dan heb je snel de koppeling gemaakt tussen het bedrijf en het wachtwoord, zonder dat het bedrijf er zelf van op de hoogte is of de zaken slecht voor elkaar heeft.
Daarom heb ik dan ook bij pastebin een trigger gezet op ons domein. Als er ergens een database publiek komt met een e-mail adres van een van onze medewerkers, krijg ik een mail.
Een wachtwoord is niet bedoeld om de juiste persoon te identificeren. Daar zorgt de gebruikersnaam voor. Het wachtwoord is om te voorkomen dat iemand zich voordoet als iemand anders.
Peter
Eén keer éém ser password volstaat. Moet je niet doen voor high privileged / service account met admins. Helaas door het dogma dat een gebruiker maar 1 account mag hebben gebeurt het toch. Dat is een niet zo maar een klein foutje het is de blunder/achilleshiel. Maar waarom zijn er 100 sites jan-klaassen en katrijn?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
