Ze gaan ook meteen over tot twee factor authenticatie of komt dat later wanneer die dit ritueel zich gaat herhalen?

En dan maar hopen dat er geen passwords hergebruikt worden.

nou, lekker dan.
Dan zijn ze wel even een paar maanden mee bezig.

Wel een mooie cleanup van stale accounts ...

Als je genoeg reset-station plekken inricht moet je er wel sneller doorheen kunnen gaan.

Zeg, 10 minuten doorloop tijd per persoon (binnenkom, id check, terminal hokje ) - Doe je dagen van 10 uur , 60 personen per terminal per dag.
Met 500 terminals ben je in een dag klaar.
Met 50 terminals in 10 dagen .

Je hebt wat ploegen van reset-password medewerkers nodig, en setje locaties.

Het zou misschien handig zijn om mensen niet zelf het PW te laten kiezen, maar een toegewezen pw mee te geven in een envelop .
Dan heb je ook hogere throughput,betere passwords en is het vooral een live her-authenticatie van de persoon .


Speculatie : waarom moeten ze dit doen ?

Het zou nodig kunnen zijn als je niet meer kunt vertrouwen op je "trusted source" van accounts/werknemers.
Oftewel - stel dat de hackers spook-personeel hebben aangemaakt .

Als je dan je 'source of trust' moet gaan "re-builden" zit je inderdaad vast aan een 'kom maar langs met je ID kaart" model.
Dat is een behoorlijk worst-case scenario .

Ietsje minder rigoureus - maar als 'slechts' de IT accounts onbetrouwbaar zijn (maar het HR systeem nog wel) en er alleen geen bruikbare koppeling is heeft men wellicht "never waste a good crisis" dit aangegrepen voor een heel botte opschoning van de IT accounts om allerlei slapende (of gepensioneerde, of vertrokken) personen eruit te vegen .

De informatie is nogal summier, en het is gissen wat er precies gebeurd is.

Eerste gissing

Ik kan mij 1 geval herinneren waarbij aanvallers niet alleen toegang hadden gekregen tot het ICT-systeem, maar ook de helpdesk. Zodra als er een wachtwoord reset werd doorgevoerd en nieuwe wachtwoorden werden gegenereerd, vielen die ook in de handen van de aanvallers. Nu beweer ik niet dat dit ook bij TfL is gebeurd, maar zo te zien willen ze een dergelijke situatie voor zijn.

Tweede gissing
Mogelijk zijn aanvallers erin geslaagd via de helpdesk een wachtwoord te bemachtigen en het systeem zijn binnengedrongen (de Kevin Mitnick methode van bellen naar de helpdesk: "ik weet mijn wachtwoord niet meer")

Om te voorkomen dat dit gebeurt, moet iedere werknemer zich nu persoonlijk melden en identificeren of hij/zij werkelijke werknemers van het bedrijf zijn. Dan is deze maatregel - gezien het bovenstaande - wel te begrijpen.

Of iedereen een mini cursus sterke wachtwoorden + MFA/OTP/FIDO plus key overhandigen.

Ik heb (14 sep 15:28) een schatting gedaan van doorloop tijd van 30.000 mensen vs aantal password-reset stations.

Doe jij eens een schatting hoe veel tijd je per persoon je wilt besteden aan je MINI cursus passwords - en hoe lang je dan bezig bent met reset ?

Of bedoel je 2 A4'tjes geven en zeggen "lees ze goed en doe dat" ?

Zinloos als je niet heel zeker weet dat de aanvallers:

• Geen plain text wachtwoorden hebben gelogd op de server toen ze werden ingevoerd vanaf clients;

• Geen TOTP shared secrets opgeslagen (noodzakelijkerwijs onversleuteld en ongehashed) op de server hebben gekopieerd;

• Geen WebAuthn (FIDO2 hardware keys of passkeys) public keys hebben vervangen of hebben toegevoegd (aan account-records).

M.b.t. dat laatste punt: "om" zo'n public key zit namelijk geen certificaat (digitaal ondertekend, dus lastig te vervalsen indien de private key dáárvoor niet tevens gekopiejat is) waarin tevens de uniek identificerende informatie van de eigenaar zou zijn opgenomen. Certificaten die je dan ook nog eens had kunnen intrekken.

Nb. VZIW bestaat er geen standaard systeem voor het intrekken van WebAuthn public keys - en is zo'n systeem dus óók niet beschikbaar voor mensen die hun smartphone en/of Yubikey(s) kwijtraken (dat zo'n revocatiesysteem óók niet bestaat voor andere authenticatiemethodes lijkt mij geen rechtvaardiging om dit dan ook maar te "vergeten" bij het ontwerpen van het, naar verluidt zeer sterke, WebAuthn protocol).

Zie je maar eens te herinneren voor welke accounts allemaal je credentials op zo'n (niet te backuppen) verloren of gestolen FIDO2 hardware key had opgeslagen. Duimen dan maar dat criminelen https://www.security.nl/posting/856694/YubiKeys+kwetsbaar+voor+aanval+waardoor+private+keys+zijn+te+stelen niet lezen en/of dat de aanval niet eenvoudiger uitvoerbaar is dan het lijkt - of dat het geen Yubikey (of andere hardware key met dezelfde of een andere kwetsbaarheid) was.

"Meteen"? Weet je hoe complex dat soort implementaties zijn?
Lost dat ook iets op voor interne systemen?

Wonderlijk dat alle wachtwoorden gereset moeten worden alsof de openbare dienstregeling een af te schermen iets is.
Hiet klopt iets niet met segmentatie van de gegevens.