image

NCSC adviseert samen met FBI tegen periodiek wijzigen wachtwoord

vrijdag 19 april 2024, 10:04 door Redactie, 15 reacties
Laatst bijgewerkt: 19-04-2024, 11:36

Bedrijven en organisaties die zich tegen ransomware willen beschermen doen er verstandig aan om hun personeel niet te verplichten elke paar maanden een nieuw wachtwoord te kiezen, omdat dit juist de security kan verzwakken, zo adviseren het Nationaal Cyber Security Centrum (NCSC) samen met de FBI en Europol in een 'joint cybersecurity advisory' over de Akira-ransomware (pdf).

Het is de eerste keer dat de Nederlandse overheidsinstantie met de Amerikaanse autoriteiten samenwerkt aan een dergelijke advisory over ransomware. De FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency publiceren geregeld advisories over verschillende ransomwarefamilies en de nieuwste advisory gaat specifiek over de Akira-ransomware, hoe de ransomwaregroep te werk gaat en wat organisaties hier tegen kunnen doen.

Volgens de instanties zijn sinds 1 januari van dit jaar meer dan 250 organisaties door de Akira-ransomware getroffen. Daarbij claimt de groep dat het zo'n 42 miljoen dollar losgeld heeft ontvangen, maar dit is niet onafhankelijk bevestigd. Om toegang tot de netwerken van organisaties en bedrijven te krijgen maakt de ransomwaregroep vooral gebruik van kwetsbare Cisco vpn-servers waarvoor geen multifactorauthenticatie (MFA) is ingesteld.

Andere methodes die groep toepast zijn het aanvallen van RDP-systemen, spearphishing en misbruik van gestolen inloggegevens. Zodra de aanvallers toegang hebben gekregen proberen ze een nieuw domain-account aan te maken. In sommige gevallen wordt er ook een nieuw admin-account genaamd 'itadm' aangemaakt. Verder maakt de groep gebruik van legitieme tools zoals WinRAR, WinSCP, RClone en AnyDesk.

Om aanvallen door de Akira-ransomware te voorkomen wordt onder andere aangeraden om geen periodieke wachtwoordwijzigingen voor het personeel te verplichten, omdat dit security juist kan verzwakken. Personeel zou daarnaast verplicht moeten worden een lang wachtwoord te gebruiken.

Het NCSC adviseert al sinds 2018 tegen het verplicht periodiek veranderen van wachtwoorden. De Britse geheime dienst kwam in 2016 met een dergelijk advies, terwijl beveiligingsexpert Bruce Schneier dit al in 2010 aanraadde. De Amerikaanse autoriteiten hebben dergelijk advies pas één keer eerder in een joint cybersecurity advisory gegeven, dat was eind vorig jaar in een advisory over de groep 'Scattered Spider'.

Reacties (15)
19-04-2024, 10:32 door Anoniem
En geldt dit alleen voor bedrijven en organisaties of is het voor iedereen verstandig om niet regelmatig wachtwoorden te wijzigen?
19-04-2024, 10:52 door Anoniem
Dit artikel en de bronnen gaat linea reacta naar mijn leidinggevenden en een kopie wordt bewaard voor de accountant die z’n neus in zaken steekt die hem niets aan gaan!
19-04-2024, 10:56 door Anoniem
En de hoop is dat mensen dan langere complexere wachtwoorden gaan gebruiken?
Dezelfde groep (eind)gebruikers die nu al moeite hebben met een 6-cijferige pincode en overal het wachtwoord welkom2006 gebruiken (als ze de kans krijgen).
Incl op RDP-servers (Hof van Twente).

Is een wachtwoordkluis met gegenereerde hashes als wachtwoorden niet een betere optie? En die dan regelmatig geforceerd wijzigen.
Samen met een consistente vorm van MfA voor toegang tot het netwerk. (sms, soft- of hard-token, keykcard)
19-04-2024, 11:09 door Anoniem
Ik vind dit twijfelachtig omdat véél gebruikers wachtwoorden nog steeds hergebruiken, zowel prive als zakelijk, en dat niet overal een goede MFA methode wordt toegepast. Mocht je dan een keer vulnerable zijn doordat een wachtwoord gelekt is van een gebruiker, dan is het risico op een succesvolle breach ook vrij groot. Het is dan wachten tot iemand het wachtwoord correleert met een corporate account voor de rapen gaar zijn.

In plaats van deze druk op de eindgebruiker te leggen, moeten we eigenlijk de markt sterker aanscherpen. Globale regels waar gebruik van MFA wordt afgedwongen op systemen waar persoonsgegevens etc op staan van de gebruiker (dus bijna alles). Het verplichten dat bedrijven hun tools updaten zodat wachtwoorden nooit meer een beperking hebben in lengte (Ik walg van websites die max X karakter wachtwoord accepteren. Doe je werk, update je troep).
19-04-2024, 11:32 door musiman
NIST heeft in 2017 ook al in de nieuwe advisory aangegeven dat wachtwoorden niet hoeven te worden vernieuwd. En jij en ik weten toch hoe gebruikers (en wijzelf???) het nieuwe wachtwoord bedenken? Welkom01, Welkom02, 03, 04, etc. Dat biedt geen extra security. Het moment dat de gebruiker een wachtwoord moet wijzigen komt voor die gebruiker altijd op een verkeerd moment, ook al geef je dagen vantevoren aan dat dit moet gebeuren.
Een betere password policy is: niet complex, geen verplichte wijziging van het wachtwoord en minimaal 20 karakters. Leg de gebruiker uit dat zinnetjes gemakkelijk te onthouden (en in te tikken) zijn. Complexiteit biedt minder veiligheid dan lengte. Complexiteitseisen zorgen er ook voor dat wachtwoorden niet eenvoudig kunnen worden onthouden, waardoor gebruikers het wachtwoord opschrijven (post-it op de monitor).
19-04-2024, 12:27 door Anoniem
passkey of yubikey
19-04-2024, 12:44 door Anoniem
Door Anoniem: Dit artikel en de bronnen gaat linea reacta naar mijn leidinggevenden en een kopie wordt bewaard voor de accountant die z’n neus in zaken steekt die hem niets aan gaan!

Je werkt blijkbaar vrij kort ...

Het NCSC adviseert al sinds 2018 tegen het verplicht periodiek veranderen van wachtwoorden. De Britse geheime dienst kwam in 2016 met een dergelijk advies, terwijl beveiligingsexpert Bruce Schneier dit al in 2010 aanraadde.

Het kan soms heel lang duren voordat oude vuistregels worden aangepast , vooral als ze zo simpel en makkelijk in te vullen en te controleren te is in afvink lijstjes en 'best practices' .

Maar goed - het is wel prettig voor iedereen die dit ook al bedacht had dat het nu door belangrijke instanties gedekt wordt.
19-04-2024, 14:04 door Anoniem
Door musiman:Een betere password policy is: niet complex, geen verplichte wijziging van het wachtwoord en minimaal 20 karakters. Leg de gebruiker uit dat zinnetjes gemakkelijk te onthouden (en in te tikken) zijn. Complexiteit biedt minder veiligheid dan lengte.

En dan vullen ze dezelfde zin in bij elk wachtwoord wat ze moeten intypen, want meerdere zinnen onthouden is lastig.
Elke gebruiker h0eeft meer dan 1 login op het werk. Voor de laptop. en/of het netwerk. De applciaties (meerdere). etc etc.

Heb je die ene wachtwoordzin van zo'n gast te pakken (kijk voor de lol eens hoe goed medewerkers hun informatiebeveiliging-tests maken), dan kom je (voortaan) overal in. Dat hoeft ook niet nog dezelfde dag te gebeuren. Dat kan ook enkele maanden later. Als iedereen de "storing" waarbij een wachtwoord in getypt was maar er niets gebeurde, al weer vergeten is.
:-)

Het idee klinkt leuk (wachtwoorden niet meer verplicht laten wijzigen), maar het zal denk ik weinig oplossen. dezelfde type problemen zullen blijven bestaan.
Beveiligingseisen en de gewoonten van gebruikers zitten nog steeds niet op dezelfde lijn.

Ik zie toch meer in een SSO benandering (als er ooit een werkende standaard ontwikkeld zou kunnen worden en afgedwongen zodat dit voor alle applicaties functioneert) icm een fysiek token/smartcard icm een kort wachtwoord dat regelmatig gewijzigd moet worden.

Maar alle beveiligingsmaatregelen zullen hun problemen hebben.
Gebruikers zitten er namelijk niet op te wachten.
Het is altijd lastig, irritant, en kost tijd en moeite.
Ze hebben er geen interesse in.
Dan is alles al snel te veel.

Ter illustratie:
Stel dat iedereen elk jaar of elke 5 jaar hun rij-examen (theorie en praktijk) opnieuw zou moeten afleggen.
Hoeveel protest zou dat opleveren? En mogelijke sabotage van het proces of waar mogelijk de hakken in het zand.
19-04-2024, 14:07 door Anoniem
Door musiman: Een betere password policy is: niet complex, geen verplichte wijziging van het wachtwoord en minimaal 20 karakters. Leg de gebruiker uit dat zinnetjes gemakkelijk te onthouden (en in te tikken) zijn.

Maar dan wil ik de wachtwoord-zin die ik in tiep wel kunnen lezen. Teveel kans op tikfouten anders.
19-04-2024, 14:51 door Happy Linux User - Bijgewerkt: 19-04-2024, 14:55

Is een wachtwoordkluis met gegenereerde hashes als wachtwoorden niet een betere optie? En die dan regelmatig geforceerd wijzigen.
Samen met een consistente vorm van MfA voor toegang tot het netwerk. (sms, soft- of hard-token, keykcard)[/quote]

Dat is zeker een betere optie, maar het probleem is dan wel je eerste inlog. Die moet gewoon te onthouden zijn. Dan is een lange wachtzin echt een betere optie. Voor alle andere lekker iets laten verzinnen door een KeePass of iets dergelijks.
Inderdaad, de adviezen zijn er al heel lang. Maar er zijn wel eisen aan verbonden zoals wachtwoorden die lang genoeg zijn, zinnen zijn inderdaad nog beter, volledig geen hergebruik en vatsoenlijke MFA implementaties.
Aangezien heel veel organisaties en gebruikers niet aan deze eisen voldoen, wordt het lastig.
Daarnaast nog een leuke tegenspraak in dit artikel: wachtwoorden moet je vooral niet wijzigen, maar gelekte credentials zijn een van de meest gebruikte aanvalstechnieken voor ransomware.
Overigens blijft het dubieus als politie en justitie zich met infosec gaan bemoeien, voor het NCSC geldt dat het hetzelfde ministerie is dat voor client-side scanning is bijvoorbeeld. En bij de Britten valt hun NCSC onder de geheime dienst GCHQ en de FBI koopt vrolijk Israelisch spyware als ze dat voor onderzoeken nodig hebben.
Beetje lastig te rijmen met beveiligingsadviezen.
19-04-2024, 20:05 door Anoniem
Ik heb de nieuwste NEN-7510 richtlijn even niet bij de hand, maar de NEN-7510-2:2017 bepaalt onder 9.4.3.e:
"Een systeem voor wachtwoordbeheer behoort / wijziging van het wachtwoord periodiek en telkens wanneer dat nodig is af te dwingen."

Dus moet je voor je NEN-certificering wel ingaan tegen het NCSC-advies.
Tenzij ik iets heb gemist? (Er is wel een A1:2020 op de NEN-7510)
19-04-2024, 23:26 door Anoniem
Zie ook de VS standaard NIST SP 800-63 Digital Identity Guidelines waarin het verplicht wijzigen van wachtwoorden al een aantal jaren wordt afgeraden.
20-04-2024, 09:20 door Anoniem
Het is een test, ze geven altijd aan dat je regelmatig je wachtwoorden moet wijzigen.
Dat heeft blijkbaar niet genoeg effect.
Dus nu gaan ze het tegenovergestelde proberen, eens kijken of men dan wel de wachtwoorden wijzigt. :)
13-05-2024, 09:57 door Anoniem
Probleem met het verplichten van wachtwoord veranderen is dat er over het algemeen het oude wordt gebruikt met een kleine verandering. Bijvoorbeeld van Welkom01 naar Welkom02. Dit leid niet echt tot veel betere wachtwoorden. Zoals hier al genoemd verplichten van lang wachtwoord en MFA zet echt veel meer zoden aan de dijk.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.