Dit kan een systeembeheerder heel gemakkelijk via microsoft SCCM doen.
Waarschuw ook jullie gebruikers dat ze geen wachtwoorden op papier gaan schrijven van de Schoonmakers kunnen voor de Russen werken.

Vandaag ook een stukje op nos.nl over het hele overal maar wachtwoorden dillemma.

De trend is duidelijk. Met name de sites die totale absolute eerlijkheid eisten van gebruikers hebben de markt goed verklooid met hoeveel vertrouwen zij zelf eigenlijk waard waren. Zeg maar rustig niks. Hihi en Haha en zit me stropdas recht. Ze hebben niet eens door hoe hele verkiezingen worden gemanipuleerd of zelfs landen en culturen tegen elkaar opgezet worden. Via hun jij-gebruiker-mag-niet-liegen-sites. Doe maar nu meteen een selfie sturen met je vinger in je neus, dat we even kijken of je het wel écht bent.

Wel eens een verhuisdoos in de regen laten staan? Pak je die op, lazert heel je wijnverzameling door de natte bodem. Ja, stom.

Dat zien we nu gebeuren. En ook zorgen. Want je vingerafdruk of je irisscan kan ook gepikt en gekopieerd. (En die vervelende processors kopieren nog steeds elk jaar weer zeker twee keer sneller als het jaar ervoor. ga daar maar tegen vechten....)

Het is niet de techniek die faalt. maar de het zijn de gebruikers. En nee, beste sekjoerietievriendjes, niet de user, maar de host. Die heeft ernstig gefaald. Die is begonnen met een leugen wereld te verkopen. En in sommige gevallen ook nog extra aandacht heeft besteed aan de "verslavende werking". Goed gelukt, want ik kan geen restaurant meer inlopen, en hele tafels zitten te facebooken. Zonder nog een woord met elkaar te wisselen. Wat dat betreft zouden de overheden best eens kunnen overwegen om accijnzen te heffen op degelijke duidelijk massaal verslavende produkten. Ik zie meer mobiele facebookers om me heen dan mensen met een jointje. Bijvoorbeeld.

Affijn. Donderdag de kwartaalcijfers van Google. Ik verwacht dat die mee gaan vallen, maar ook geen revolutie zullen zijn. Volgende week dinsdag de kwartaalcijfers van Facebook. Ik verwacht dat die de hele Nasdaq weer meer naar beneden gaan trekken en weer menig miljard aan waarde in hun eigen rook zal opgaan. Ofwel, zoek je een baantje in the IT? Bedenk wat nieuws! Ik, gebruiker, wil ook wel eens van die passwords af. Me duidelijk kunnen identificeren. Maar ook weer volledig anoniem, en als ik wil, elke dag een andere digitale identiteit. (Want genoeg verziekt door die lieg-firma's.) Vooral voor de puristen: achter elk IP zit een mens. Probeer je daar eens in te verdiepen. Dan kan er zomaar een plannetje uitkomen waarvan je niet had gedacht dat het zo simpel zou zijn.

Inloggen met mijn telefoondata als uniek gegeven is voor mij trouwens geen optie. Op mijn Android heet ik al een jaar AnitaGDPR. En ik doe er niks meer mee wat privacygevoelig is. Maar ik ben dus een man. Aan inloggen met mijn eigen 1984 apparaat ga ik dus niks meer hebben. Ook al verziekt door die snuffel apps. En maar naar de muur lopen om hem weer op te laden. Het zou nog veel eenvoudiger moeten kunnen, dat eeuwige password. Maar hoe?

Spuit 11 geeft ook modder - maar beter laat dan nooit.

Als fossiel beheer bij een klant het vereist zet ik er steeds een opvolgend cijfer 0..9 achter (meer dan 9 historische hashes bewaren ze nooit).

Overigens vind ik het schandalig dat er nog besturingssystemen worden uitgeleverd zonder fatsoenlijke wachtwoordmanager aan boord. En dan bedoel ik niet die in webbrowsers ingebouwde krengen die CSRF en andere wachtwoordlek-aanvallen een peuleschil maken.

Ze worden wakker. Niet te geloven. Nooit gedacht dat ik dit nog zou meemaken...

Met al dat gewachtwoordengelek, met tientallen en honderden miljoenen tegelijk, kun je tegenwoordig natuurlijk wel vrij gemakkelijk aannemelijk maken (ook voor de rechter) dat als er iets met of onder "jouw" account gebeurd is, het zekers niet uit te sluiten is dat het iemand anders was. Dus dan is er geen bewijs.

Dat is natuurlijk wel vervelend zijn voor overheden. Maar ja, dat zijn per definitie late instappers. Een leuk herinnering aan Wim Kok zaliger (ik denk de laatste echt integere premier die we gezien hebben) is dat filmpje waarbij iemand zegt: "beweeg de muis naar boven", en hij dus braaf die muis in de lucht steekt.

Daarentegen mogen we wel wat meedenken met die overheid, want als straks je AOW of je pensioen gehackt is, en er staat saldo nul, dan moet je ook weer langzaam gaan denken aan dat je dementerende familie dan maar weer in huis moet nemen. Wat dan mogelijk weer ten koste kan gaan van je arbeidsproductiviteit. Of je innovatievermogen!

Op dat gebied mag de IT wereld ook wel eens wat klantgerichter gaan denken ten opzichte van de overheid. In plaats van mooie geldezel voor het zoveelste mislukte project want die ambtenaren waren ongelofelijk stom.

Een wachtwoordmanager met inlogzin en een USB authenticatie en dan binnen de wachtwoordmanager de wachtwoorden laten genereren van minimaal 128 Bit en elke login een eigen wachtwoord en 2FA wanneer mogelijk. Vervolgens elk jaar op de eerste werkdag de wachtwoorden wijzigen. Kost je een halfuurtje per jaar maximaal en het risico is vrijwel naar nul gereduceerd.

SSO maakt elke wachtwoordmanager overbodig. Het is best veel meer werk om dat op de achtergrond ingeregeld te krijgen. Niet elke technische opzet leent zich daarvoor. Sommige OS omgevingen hebben het als standaard als applicatieve richtlijn andere missen een daarvoor de basis in de architectuur waardoor er een lappendeken onstaat.

SSO verhelpt het probleem ook niet helemaal, uiteindelijk is een wachtwoord voor een aanvaller ook slechts een middel en geen doel. Overal ntlm hashes en Kerberos-tokens te pas en te onpas ongevraagd automagisch rondstrooien helpt ook niet echt.

Wat ongelofelijk briljant! Dat we daar met z'n allen nog niet aan gedacht hebben! Goed dat je op deze site zit! (notnotnot)

De feiten. Microsoft's SSO stuurt, ongevraagd, jouw en mijn NTLM hash naar elke "server" die het maar weten wil (keywords: o.a PtH, SPNEGO, RFC4559; voorbeeld: https://www.contextis.com/en/blog/downgrade-spnego-authentication). Zo naïef gebruiksgemak vóór beveliging laten gaan is nog veel stommer dan een modem/router met onvoldoende CSRF beveiliging op de beheer-webinterface. Vele - op Microsoft software gebaseerde - bedrijfsnetwerken zijn al en zullen nog worden gepwned door deze (wannacry) "features".

Bespaar ons alsjeblieft dat Redmond de vele wachwoorden, die lusers voor veel te veel websites moeten onthouden, met hun crappy SSO ook nog eens over de muur gaat flikkeren. En nee, als iets een certificaat heeft is het niet per definitie vertrouwd - ActiveX/OCX weet je nog?

Omdat jij, zodra jij jouw gelijk niet krijgt, altijd de schuld geeft aan allesbehalve Microsoft (IBM, Google, Amazon, Facebook, Apple, IoT en niet te vergeten open source), en elke interessante discussie doodslaat met jouw gebral (recentelijk nog jouw reactie boven https://www.security.nl/posting/583038#posting583367), ga ik niet verder met jou in discussie. Tip: reageer niet meer op mijn bijdragen, dat is zonde van ons beider tijd.

Elk interessant onderwerp wordt in een Microsoft bashing onerwerp verdraaid. Dat heeft niets met beveiliging te maken.

De password policy zoals het ncsc nu voor het verplicht bijwerken brengt is eerder door het nist zo gebracht
Het zijn de oude vinkenlijstjesvolgers die daar problemen mee hebben. Saf calls in de basis van een os betreft mvs nu z/os en bestond ook in mvs. Ik heb hierboven geen microsoft genoemd.

Het fraaie in een ander os is die beperking met users passwords. Hard coded opnemen in config standaard installaties. Zelfs een kleine organisatie heeft al snel honderden applicatie die met anderhalve man en paardenkop beheerd moeten worden. Dat ga je echt niet redden met te zeggen dat elke applicatie het zelf moet uitzoeken.

Als toevoeging aan dere discussie, waar nu ook diverse wachtwoord authenticatie systemen genoemd worden, hier deze.

Bovenstaande SSO is goed tot een zeker niveau. Kijk ook eens naar SQRL (https://www.grc.com/sqrl/sqrl.htm). De geestelijk vader van deze variatie biedt het idee aan zoals het is.

Op dit moment zijn er partijen hiermee bezig om dit goed te implementeren, hopelijk gauw met resultaat.

Bij ING.NL hebben ze sinds kort het wachtwoord teruggebracht naar Max 20 karakters.
Hun stelling is dat die 20 maximale zekerheid biedt,en alles daarboven niets toevoegt. Klopt dit ?

Heeft te maken met entropie in wachtwoorden, en de lengte van wachtwoorden welke deze entropie verhogen.
Denk eens aan dictionary attacks. Alle permutaties met wachtwoorden t/m 20 tekens. Dit zijn veel mogelijkheden.

Verder ook op de manier hoe ING haar wachtwoord beleid uitvoert. En de implementatie in haar software.
Slim is wel om dan ook wachtwoorden met 20 tekens te gebruiken. Anders maakt men het aanvallers wel heel makkelijk.

Klopt dit? Nee. De ING kan beweren wat ze wil, maar dat dit maximale zekerheid biedt, is onzin.

Ja. Het staat er echt: https://www.ing.nl/de-ing/veilig-bankieren/5bs-van-veilig-bankieren/bescherm-je-codes/hoe-sterk-is-jouw-wachtwoord.html

Kennelijk zijn de ITers bij ING te dom om een hash te berekenen van een string van meer dan 20 tekens. Toch zuur voor die klanten die graag een pass phrase willen gebruiken.

Het heeft niet met Dom te maken, want was de waarde van een password dat langer is dan 20 karakters als ze misschien de beveiliging zo hebben ingestelde dat ze detecteren dat je een wachtwoord langer dan 20 karakters aan het invoeren bent?

ING heeft 1 van de beste cybersecurity specialisten in huis. Die weten echt wel wat ze aan het doen zijn.

Nou, ik wissel regelmatig mijn wachtwoorden, en dat blijf ik doen.
Als je je wachtwoord niet vaak wijzigd en je hoort soms na jaren over een hack en de website eigenaar heeft brakke beveiliging dan is de ellende niet te overzien.

Als, als alles goed werkt en er zijn goede compenserende maatregelen kun je inderdaad beter niet te vaak je wachtwoord wijzigen.

"best wel veel werk"?
Het is onbegonnen werk om al mijn accounts te koppelen aan een (1) SSO. Je ziet het nu al met websites die SSO aanbieden maar me verplichten wel een account bij Facebook hiervoor aan te maken. Of ze bieden twee opties, Facebook en Twitter. Ik heb er nog geen gezien die een SSO van Microsoft aanbiedt, of je moet LinkedIn als zodanig zien.

Vervolgens zijn al die SSO's natuurlijk weer het perfecte doelwit.
Nee, dan heb ik liever een passwordmanager die de mogelijkheid van synchonisatie biedt op een door mij beheerde omgeving.

Peter

Er zijn andere redenen waarom ze dit stellen. Jaren geleden met ING gewerkt aan het doorvoeren van de wachtwoord policy. Hierin werd gesteld dat de minimale lengte 8 karakters was. Echter waren er toen nog systemen die technisch een wachtwoord van 8 karakters toelaten. Oplossing: maak het wachtwoord minimaal 8 en maximaal 8 karakters... Hoe veilig kan je het maken.Minder combinaties mogelijk dan minimaal 6 en maximaal 8.

Ben het met jou eens, wachtwoorden moet je vaak wijzigen.

Dat mag je best doen natuurlijk. Voor security domeinen waarvan je kwaliteit van de compenserende maatregelen niet kent , of waarvan een breach voor jou erg kostbaar is , is dat nog steeds verstandig.


Het advies is meer dat het *afdwingen* van frequente wijzigingen binnen organisaties qua security niet noodzakelijk is - en al snel contra-productief wordt - als er compenserende maatregelen zijn . Contra-productief omdat gebruikers dan overstappen op simpele schema's .

Wanneer jij als gebruiker wel vaak je password kunt/wilt wijzigen (met behoud van entropie/veilige opslag e.d.) is dat technisch nog steeds 'beter'. Maar _beleid voor een organisatie_ maak je op basis van wat gegeven de hele populatie van gebruikers het beste bereikbare resultaat geeft.
En veel security beleidsmakers spenderen enorm veel krediet en geloofwaardigheid aan onnodig strak zitten op klassieke password procedures.
Soms met de misvatting dat als ze dat maar voor elkaar hebben security 'klaar' is.

- Als iedereen het talent en de reflexen van Max Verstappen had zou de verkeerswetgeving er anders uit kunnen zien...

Het is prettig dat het NCSC dit standpunt (ook) formuleert - gewoon omdat 'NCSC zegt' op een hoop plekken waar de procedures sinds de jaren 80 bevroren zijn meer gewicht heeft dan alle logica of ervaring die een individuele medewerker/security officer kan inbrengen.

Argumenten zijn nodig om nieuw beveiligings beleid te maken,en door te drukken
dus wachtwoorden zijn niet veilig genoeg is hun argument.

Het volk zal het wel weer slikken,
ik heb niets te verbergen,privacy wat is dat?
Oh ja algoritmes het nieuwe werken,nee daar kan je niet zonder meer mee.

Het opschrijven van wachtwoorden op papier is nog altijd beter
dan wachtwoord manager software.