Ik snap toch niet zo goed wat een privacytoezichthouder te maken heeft met beveiliging, wellicht dat iemand anders die het wel ziet het mij kan uitleggen..

Dan moeten ze in PCI DSS wel wat veranderen

Nope dat lijkt een vreemd kronkel te zijn, teveel machtslust. Big brothers bij privacy activisten

Daar is ie weer, het “MD5 is onveilig” argument.

Dat slaat op de verificatie van BESTANDEN mbv van een MD5 checksum en heeft niets met een wachtwoord hash te maken.

Een zwak wachtwoord is ZWAK, ongeacht de hash.

https://en.wikipedia.org/wiki/MD5

“MD5 can be used as a checksum to verify data integrity against unintentional corruption.”

Probeer maar eens collision te realiseren tussen een correct wachtwoord en een gemanipuleerd wachtwoord.

https://repo.zenk-security.com/Cryptographie%20.%20Algorithmes%20.%20Steganographie/MD5%20Collisions.pdf

Volgens de GDPR heeft een organisatie de plicht om technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. En wellicht hebben ze door de oorzaken van datalekken te bekijken wel enig inzicht in maatregelen die effectief lijken, maar dat juist niet zijn. Als je de link bekijkt, zie je ook niet zoveel spannends. Gewoon wat standaard zaken die van toepassing zijn op authenticatie.

Dat is niet zo vreemd. Conform de privacywetgeving moet je als houder /verwerker zorg dragen voor een adequate beveiliging van de persoonsgegevens die je onder je hebt. Daarom zijn adequate beveiligingsmaatregelen een voorwaarde die rechtstreeks voortvloeit uit de privacywetgeving.

Jazeker.

Om te beginnen betekent onrechtmatige toegang (door een kwaadwillende) tot een account, bijna altijd een privacyrisico (dat zich niet beperkt tot slechts lezen, maar ook potentieel wijzigen van gegevens en/of identiteitsfraude) voor de eigenaar van dat account. Dus is een sterk wachtwoord (*) bijna altijd ook in het belang van de accounteigenaar.

Echter, aanvallers kunnen, in een deel van de gevallen, ook toegang krijgen tot o.a. persoonsgegevens van anderen dan de accounteigenaar. Niet zelden lukt het criminelen om, via initiële toegang tot één account, diep in bedrijfsnetwerken door te dringen, Gigabytes of meer aan gegevens te kopiejatten om vervolgens data op opslagmedia te versleutelen (ransomware).

Sowieso is het al extreem lastig, zo niet onmogelijk, voor mensen om sterke wachtwoorden te bedenken én te onthouden. Als zij wachtwoorden regelmatig moeten wijzigen, zijn er (ruwweg) twee mogelijkheden:

a) Zij zetten er een cijfer achter en laat dit oplopen (na 9 ga je weer naar 0). De reden voor de cijfers 0 t/m 9 is dat er vaak 10 (hashes van) voormalige wachtwoorden door de server worden onthouden. Zo'n "schema" levert natuurlijk schijnveiligheid op, want als een aanvaller de basis (het deel zonder het extra cijfer) van het wachtwoord kent, bijvoorbeeld omdat de eigenaar het hergebruikt op meerdere sites en één daarvan gehacked is, dan kan de aanvaller die 10 cijfers eenvoudig brute-forcen.

b) Er zouden servers kunnen zijn die significante wijzigingen aan wachtwoorden vereisen (dit betekent bijna altijd dat die servers oudere wachtwoorden (of delen daarvan) onveilig opslaan, namelijk niet of zwak gehashed - wat op zich al onwenselijk is). Dat resulteert er echter in dat mensen helemaal snel hun wachtwoord kunnen vergeten (denk bijv. aan de situatie dat je, de laatste werkdag vóór jouw zomervakantie, jouw wachtwoord radicaal moet wijzigen).

Indien mensen hun wachtwoord zijn vergeten, dient een volgend risico zich aan: meestal moeten zij een helpdesk bellen voor een "wachtwoordreset". Vooral bij grotere bedrijven hoeft een helpdeskmedewerker een bellende medewerker niet te kunnen onderscheiden van een fraudeur (waarbij voice cloning voor elk bedrijf een probleem kan gaan vormen).

Indien de medewerker, zonder werkend wachtwoord, ook geen toegang meer heeft tot diens e-mail, zit het er dik in dat de helpdeskmedewerker een tijdelijk wachtwoord, zoals "Welkom01!" instelt (of iets anders dat minder eenvoudig te raden valt), en dat aan de beller meedeelt. Het lijkt mij duidelijk dat het niet helpt als de helpdeskmedewerker, in zo'n situatie, om een privé e-mailadres (of telefoonnummer voor een SMS of chatapp) vraagt - of als de beller aangeeft dat deze ondertussen een ander e-mailadres en/of telefoonnummer heeft.

Er bestaat nog een probleem: veel mensen haten het als zij telkens opnieuw hun wachtwoord moeten wijzigen (vooral als dat voor méér dan één wachtwoord geldt). Zo'n "verzoek" (verplicht) komt altijd op het moment dat een gebruiker andere plannen had. Zo'n situatie leidt zelden tot sterke wachtwoorden.

Bovendien is het superbelangrijk dat medewerkers gemotiveerd blijven om zelf bij te dragen aan beveiliging, en dat bereik je zelden met zaken die medewerkers als ongewenst of zelfs pesten beschouwen.

(*) Een sterk wachtwoord voldoet aan alle volgende criteria:

1) Geen hergebruik
De user zelf hergebruikt het wachtwoord nergens anders;

2) Weerstand tegen brute force: minimum lengte
Het wachtwoord moet lang genoeg zijn om brute force te voorkómen. De minimale lengte is sterk afhankelijk van de "account lockout" instellingen van de server. Als het om een wachtwoord gaat van "iets dat zichzelf niet kan verdedigen", zoals een versleuteld (zip-) bestand of een versleuteld opslagmedium, moet je, afhankelijk van de waarde (die aanvallers kunnen denken dat de data kan hebben), moet je al snel aan minstens (gokje) 14 random tekens (kleine en grote letters, cijfers, en zoveel mogelijk leestekens);

3) Niet te raden (eisen t.a.v. "randomness")
Het wachtwoord mag niet geraden kunnen worden, ook niet als een aanvaller veel van een user weet of te weten kan komen, of van projectnamen en afkortingen die gangbaar zijn in het bedrijf. Nb. typische woorden en combinaties daarvan kunnen door aanvallers worden toegevoegd aan "dictionaries" (zie het volgende punt);

4) Niet te vinden in dictionaries
Het wachtwoord mag niet vóórkomen in "dictionaries" (zoals RockYou2021.txt) met eerder gelekte wachtwoorden (die kunnen worden aangevuld met te verwachten wachtwoorden).

Nb. deze post wordt écht te lang als ik ga uitleggen waarom dat allemaal zo is, en onder welke omstandigheden.

Belangrijk: als bijv. een wachtwoord is afgekeken, of als er andere concrere risico's bestaan die het rechtvaardigen (zoals een aanvaller die toegang had tot een server), moeten users natuurlijk wél hun wachtwoord wijzigen.

Regelmatig een wachtwoord wijzigen raad ik alleen aan in situaties waarbij meerdere mensen een wachtwoord moeten en/of kunnen kennen, zoals rootwachtwoorden van door meerdere admins beheerde servers (in elk geval bij het veranderen van functie of einde contract).

Maar ook Wifi-wachtwoorden kun je het beste, bijvoorbeeld 1x per jaar, wijzigen. Zie bijv. deze draad [1] waarbij een gezin verdacht werd van het naar Twitter uploaden van kinderporno, maar alle gezinsleden volhielden dat niet gedaan te hebben (dat soort situaties kun je het beste vóórblijven; tienervriendschappen kunnen immers "omslaan").

[1] https://gathering.tweakers.net/forum/list_messages/2218320/0

https://www.privacy-regulation.eu/nl/artikel-32-beveiliging-van-de-verwerking-EU-AVG.htm

Heel erg bedankt Erik voor je prachtige uiteenzetting, dit verklaart een hoop voor mij!