image

96% werknemers slordig met wachtwoorden

donderdag 15 oktober 2009, 12:05 door Redactie, 4 reacties

Slechts 4% van het personeel houdt zich aan het wachtwoordbeleid dat bedrijven stellen, zo blijkt uit onthutsend onderzoek van Amerikaanse en Noorse onderzoekers. De overige werknemers gebruiken hetzelfde wachtwoord voor verschillende systemen, gebruiken woorden die in woordenboeken voorkomen of schrijven hun wachtwoorden op papiertjes die ze naast hun computer leggen. "Door het afwijken van best practices, kunnen eindgebruikers zelfs de best beveiligde computersystemen kwetsbaar maken", zo laten de onderzoekers in hun rapport weten. "Problemen met het gebruik van alfanumerieke wachtwoorden zijn al meer dan 20 jaar bekend, maar helaas hebben we sindsdien weinig voortgang geboekt."

Opschrijven
Gemiddeld hadden de onderzochte werknemers 4,1 verschillende wachtwoorden om op verschillende systemen in te loggen. Werden de wachtwoorden van thuis meegerekend, dan waren het er 9. Verder bleek dat 18% altijd hetzelfde wachtwoord op verschillende systemen gebruikt, terwijl de helft dit soms doet. 31% gebruikt altijd een ander wachtwoord.

63% van de mensen met meer dan één wachtwoord maakt een verschil tussen systemen die betere beveiliging vereisen en systemen die met een eenvoudig wachtwoord afkunnen. Gemiddeld wijzigden werknemers hun wachtwoord zeven keer per jaar, wat in 96% van de gevallen door de automatiseringsafdeling wordt verplicht. Als gebruikers hun wachtwoord moeten wijzigen, hergebruikt men in 68% het vorige wachtwoord. Verder schrijft 56% zijn of haar wachtwoord op.

Grafisch wachtwoord
Om systemen en informatie te beveiligen heeft de nadruk vooral gelegen op software- en hardwarematige oplossingen. Mensen zijn daarbij vergeten, terwijl uit verschillende onderzoeken blijkt dat mensen en de manier waarop ze met systemen omgaan, de zwakste schakel in computer- en informatiebeveiliging zijn, zo stellen de onderzoekers. Een mogelijke oplossing is het gebruik van afbeeldingen. "Mensen lijken geen specifieke beperking te hebben in hoeveel afbeeldingen ze in het langetermijngeheugen kunnen opslaan en afbeeldingen zijn eenvoudig te herinneren." Toch zijn ook grafische wachtwoorden geen 'silver bullet' die alle problemen oplossen, maar een mogelijk alternatief voor veilige authenticatie.

Reacties (4)
15-10-2009, 12:30 door Syzygy
Mijn idee zijn (alleen) wachtwoorden is een beetje uit de tijd mede door de bovengenoemde slordigheden.
Er zijn veilgere oplossingen waaronder biometrisch, challenge-response via een token, o.i.d .
Naast wachtwoorden kunnen deze als extra authenticatie middel ingezet worden echter zijn deze (extra) oplossingen zijn over het algemeen prijzig.
Het is dus altijd een kwestie van kosten baten.
Vaak moet het echt een keer goed mis gaan voor dat beslissingnemers de noodzaak van deze maatregelen inzien.
15-10-2009, 12:39 door Anoniem
"63% van de mensen met meer dan één wachtwoord maakt een verschil tussen systemen die betere beveiliging vereisen en systemen die met een eenvoudig wachtwoord afkunnen."

Moeten medewerkers risk assessments gaan maken bij het kiezen van een wachtwoord ? Het lijkt mij dat het niet aan de gebruikers is om te bepalen of een systeem een complex wachtwoord nodig heeft. Daarnaast kunnen zaken voor een werknemer onschuldig lijken, terwijl ze bijvoorbeeld een goudmijn aan informatie opleveren t.b.v. een social engineering attack.

"Slechts 4% van het personeel houdt zich aan het wachtwoordbeleid dat bedrijven stellen, zo blijkt uit onthutsend onderzoek van Amerikaanse en Noorse onderzoekers."

"Als gebruikers hun wachtwoord moeten wijzigen, hergebruikt men in 68% het vorige wachtwoord. "

Niet verbazingwekkend wanneer wachtwoordbeleid niet technisch wordt afgedwongen.

"De overige werknemers gebruiken hetzelfde wachtwoord voor verschillende systemen"

Niet verbazingwekkend wanneer het management in organisaties concepten als Single Sign-On predikt.

"Verder schrijft 56% zijn of haar wachtwoord op. "

Op zich geen probleem, wanneer dit op een veilige manier gedaan wordt (ik heb mijn passwords ook 'opgeschreven', maar de passworddatabase is wel encrypted, en niet toegankelijk voor derden). Het gaat er niet om of je de wachtwoorden 'opschrijft', maar of andere mensen bij deze informatie kunnen komen.

"Mensen zijn daarbij vergeten, terwijl uit verschillende onderzoeken blijkt dat mensen en de manier waarop ze met systemen omgaan, de zwakste schakel in computer- en informatiebeveiliging zijn, zo stellen de onderzoekers."

Jammer genoeg komen deze onderzoekers met geen enkel zinnig voorstel om dit probleem te verhelpen, zoals het technisch afdwingen van het naleven van beveiligingspolicies.
15-10-2009, 12:43 door Anoniem
Dus: wachtwoorden afschaffen. Inloggen met een One Time Password generator, en daarna Single Sign On.

A.
15-10-2009, 14:10 door Anoniem
"Dus: wachtwoorden afschaffen. Inloggen met een One Time Password generator, en daarna Single Sign On."

Heel leuk, totdat een hacker het lukt om een account te kraken. Immers heeft deze dan meteen toegang tot een hele hoop systemen. Wat dat betreft is SSO een beveiligingsrisico, ook al verhelpt het problemen met password management voor de gebruikers.

Indien een hacker weet binnen te komen op een systeem waarop iemand met SSO is ingelogd, en zijn rechten weet te misbruiken, dan kan de hacker vervolgens bij allerlij resources. Ook wordt er vaak een 'emergency access' geboden voor het geval mensen hun token vergeten, waardoor de token niet nodig is en de beveiliging verder wordt ondermijnt.

Overigens heb je bij SSO wel degelijk nog een wachtwoord nodig wanneer dit goed wordt geimplementeerd, omdat je anders geen gebruik maakt van multi-factorauthenticatie. Je moet niet alleen iets bieden wat je hebt (code van je token) maar ook iets wat je weet (je wachtwoord), eventueel aangevuld met iets wat je bent (i.e. biometrische check).

Wanneer je SSO zonder wachtwoord gebruikt kunnen mensen die je token weten te bemachtigen en je account naam weten immers doodleuk onder jouw account inloggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.