NCSC adviseert samen met FBI tegen periodiek wijzigen wachtwoord
Bedrijven en organisaties die zich tegen ransomware willen beschermen doen er verstandig aan om hun personeel niet te verplichten elke paar maanden een nieuw wachtwoord te kiezen, omdat dit juist de security kan verzwakken, zo adviseren het Nationaal Cyber Security Centrum (NCSC) samen met de FBI en Europol in een 'joint cybersecurity advisory' over de Akira-ransomware (pdf).
Het is de eerste keer dat de Nederlandse overheidsinstantie met de Amerikaanse autoriteiten samenwerkt aan een dergelijke advisory over ransomware. De FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency publiceren geregeld advisories over verschillende ransomwarefamilies en de nieuwste advisory gaat specifiek over de Akira-ransomware, hoe de ransomwaregroep te werk gaat en wat organisaties hier tegen kunnen doen.
Volgens de instanties zijn sinds 1 januari van dit jaar meer dan 250 organisaties door de Akira-ransomware getroffen. Daarbij claimt de groep dat het zo'n 42 miljoen dollar losgeld heeft ontvangen, maar dit is niet onafhankelijk bevestigd. Om toegang tot de netwerken van organisaties en bedrijven te krijgen maakt de ransomwaregroep vooral gebruik van kwetsbare Cisco vpn-servers waarvoor geen multifactorauthenticatie (MFA) is ingesteld.
Andere methodes die groep toepast zijn het aanvallen van RDP-systemen, spearphishing en misbruik van gestolen inloggegevens. Zodra de aanvallers toegang hebben gekregen proberen ze een nieuw domain-account aan te maken. In sommige gevallen wordt er ook een nieuw admin-account genaamd 'itadm' aangemaakt. Verder maakt de groep gebruik van legitieme tools zoals WinRAR, WinSCP, RClone en AnyDesk.
Om aanvallen door de Akira-ransomware te voorkomen wordt onder andere aangeraden om geen periodieke wachtwoordwijzigingen voor het personeel te verplichten, omdat dit security juist kan verzwakken. Personeel zou daarnaast verplicht moeten worden een lang wachtwoord te gebruiken.
Het NCSC adviseert al sinds 2018 tegen het verplicht periodiek veranderen van wachtwoorden. De Britse geheime dienst kwam in 2016 met een dergelijk advies, terwijl beveiligingsexpert Bruce Schneier dit al in 2010 aanraadde. De Amerikaanse autoriteiten hebben dergelijk advies pas één keer eerder in een joint cybersecurity advisory gegeven, dat was eind vorig jaar in een advisory over de groep 'Scattered Spider'.
Dezelfde groep (eind)gebruikers die nu al moeite hebben met een 6-cijferige pincode en overal het wachtwoord welkom2006 gebruiken (als ze de kans krijgen).
Incl op RDP-servers (Hof van Twente).
Is een wachtwoordkluis met gegenereerde hashes als wachtwoorden niet een betere optie? En die dan regelmatig geforceerd wijzigen.
Samen met een consistente vorm van MfA voor toegang tot het netwerk. (sms, soft- of hard-token, keykcard)
In plaats van deze druk op de eindgebruiker te leggen, moeten we eigenlijk de markt sterker aanscherpen. Globale regels waar gebruik van MFA wordt afgedwongen op systemen waar persoonsgegevens etc op staan van de gebruiker (dus bijna alles). Het verplichten dat bedrijven hun tools updaten zodat wachtwoorden nooit meer een beperking hebben in lengte (Ik walg van websites die max X karakter wachtwoord accepteren. Doe je werk, update je troep).
Een betere password policy is: niet complex, geen verplichte wijziging van het wachtwoord en minimaal 20 karakters. Leg de gebruiker uit dat zinnetjes gemakkelijk te onthouden (en in te tikken) zijn. Complexiteit biedt minder veiligheid dan lengte. Complexiteitseisen zorgen er ook voor dat wachtwoorden niet eenvoudig kunnen worden onthouden, waardoor gebruikers het wachtwoord opschrijven (post-it op de monitor).
Je werkt blijkbaar vrij kort ...
Het kan soms heel lang duren voordat oude vuistregels worden aangepast , vooral als ze zo simpel en makkelijk in te vullen en te controleren te is in afvink lijstjes en 'best practices' .
Maar goed - het is wel prettig voor iedereen die dit ook al bedacht had dat het nu door belangrijke instanties gedekt wordt.
En dan vullen ze dezelfde zin in bij elk wachtwoord wat ze moeten intypen, want meerdere zinnen onthouden is lastig.
Elke gebruiker h0eeft meer dan 1 login op het werk. Voor de laptop. en/of het netwerk. De applciaties (meerdere). etc etc.
Heb je die ene wachtwoordzin van zo'n gast te pakken (kijk voor de lol eens hoe goed medewerkers hun informatiebeveiliging-tests maken), dan kom je (voortaan) overal in. Dat hoeft ook niet nog dezelfde dag te gebeuren. Dat kan ook enkele maanden later. Als iedereen de "storing" waarbij een wachtwoord in getypt was maar er niets gebeurde, al weer vergeten is.
:-)
Het idee klinkt leuk (wachtwoorden niet meer verplicht laten wijzigen), maar het zal denk ik weinig oplossen. dezelfde type problemen zullen blijven bestaan.
Beveiligingseisen en de gewoonten van gebruikers zitten nog steeds niet op dezelfde lijn.
Ik zie toch meer in een SSO benandering (als er ooit een werkende standaard ontwikkeld zou kunnen worden en afgedwongen zodat dit voor alle applicaties functioneert) icm een fysiek token/smartcard icm een kort wachtwoord dat regelmatig gewijzigd moet worden.
Maar alle beveiligingsmaatregelen zullen hun problemen hebben.
Gebruikers zitten er namelijk niet op te wachten.
Het is altijd lastig, irritant, en kost tijd en moeite.
Ze hebben er geen interesse in.
Dan is alles al snel te veel.
Ter illustratie:
Stel dat iedereen elk jaar of elke 5 jaar hun rij-examen (theorie en praktijk) opnieuw zou moeten afleggen.
Hoeveel protest zou dat opleveren? En mogelijke sabotage van het proces of waar mogelijk de hakken in het zand.
Maar dan wil ik de wachtwoord-zin die ik in tiep wel kunnen lezen. Teveel kans op tikfouten anders.
Is een wachtwoordkluis met gegenereerde hashes als wachtwoorden niet een betere optie? En die dan regelmatig geforceerd wijzigen.
Samen met een consistente vorm van MfA voor toegang tot het netwerk. (sms, soft- of hard-token, keykcard)[/quote]
Dat is zeker een betere optie, maar het probleem is dan wel je eerste inlog. Die moet gewoon te onthouden zijn. Dan is een lange wachtzin echt een betere optie. Voor alle andere lekker iets laten verzinnen door een KeePass of iets dergelijks.
Aangezien heel veel organisaties en gebruikers niet aan deze eisen voldoen, wordt het lastig.
Daarnaast nog een leuke tegenspraak in dit artikel: wachtwoorden moet je vooral niet wijzigen, maar gelekte credentials zijn een van de meest gebruikte aanvalstechnieken voor ransomware.
Overigens blijft het dubieus als politie en justitie zich met infosec gaan bemoeien, voor het NCSC geldt dat het hetzelfde ministerie is dat voor client-side scanning is bijvoorbeeld. En bij de Britten valt hun NCSC onder de geheime dienst GCHQ en de FBI koopt vrolijk Israelisch spyware als ze dat voor onderzoeken nodig hebben.
Beetje lastig te rijmen met beveiligingsadviezen.
"Een systeem voor wachtwoordbeheer behoort / wijziging van het wachtwoord periodiek en telkens wanneer dat nodig is af te dwingen."
Dus moet je voor je NEN-certificering wel ingaan tegen het NCSC-advies.
Tenzij ik iets heb gemist? (Er is wel een A1:2020 op de NEN-7510)
Dat heeft blijkbaar niet genoeg effect.
Dus nu gaan ze het tegenovergestelde proberen, eens kijken of men dan wel de wachtwoorden wijzigt. :)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
