Nieuws
image

Wachtwoordsterkte meetlat voor veiligheid bedrijven

maandag 29 november 2010, 12:28 door Redactie, 12 reacties

De sterkte van wachtwoorden is een goede indicatie van de veiligheid van een organisatie, dat zegt beveiligingsexpert Mark Hofman van Shearwater Solutions. "De gebruikersid en wachtwoordcombinatie is in veel gevallen de eerste en laatste verdedigingslinie. Het is belangrijk om goed te doen." Hofman merkt op dat het inschakelen van complexe wachtwoorden in Windows geen garantie is dat een gebruiker een fatsoenlijk wachtwoord kiest.

Passw0rd is een wachtwoord van acht cijfers, dat de complexiteitstest van Windows gewoon doorstaat. Om fatsoenlijke wachtwoorden te krijgen is daarom bewustzijn bij gebruikers nodig. "Als je wachtwoorden analyseert kun je identificeren of er redelijke wachtwoorden in gebruik zijn en zo bepalen of de bewustzijnstraining heeft gewerkt", laat de expert weten.

Patronen
Door het kraken van wachtwoorden is het ook mogelijk om gebruikerspatronen in kaart te brengen. "Allemaal bruikbare informatie in bepalen van de securitypostuur." Hofman adviseert om de gebruikersnamen en bijbehorende wachtwoordhashes uit de Active Directory te halen om daar vervolgens verschillende soorten aanvallen op uit te voeren, waarvan hij op deze pagina verschillende voorbeelden geeft.

"De test is relatief eenvoudig uit te voeren en geeft een mooie grafiek om aan het management te laten zien, waaruit blijkt dat je harde werk met betrekking tot wachtwoorden zich uitbetaalt." Daarnaast geeft het nog veel meer informatie om de beveiliging te verbeteren, besluit Hofman.

Reacties (12)
29-11-2010, 12:39 door Anoniem
Aardig om een mooie grafiek aan het management te kunnen laten zien, maar wat zegt dat als je deze grafiek ook niet hebt gemaakt voordat je een bewustzijnstraining doorzet.
29-11-2010, 12:52 door ej__
Er zijn zat bedrijven waar gewoon een RSA key wordt gebruikt. Meetlat niet bruikbaar.
29-11-2010, 13:14 door Anoniem
Een RSA key wordt toch ook beveiligd met een passphrase?
29-11-2010, 13:20 door N4ppy
Door ej__: Er zijn zat bedrijven waar gewoon een RSA key wordt gebruikt. Meetlat niet bruikbaar.

Daar kun je weer een andere meetlat gebruiken. Hoe vaak wordt een temp key gegeven omdat iemand zijn token thuis heeft laten liggen. Hoeveel tokens raak je kwijt. Hoeveel tokens kom je tegen op buros.
29-11-2010, 14:21 door Anoniem
RSA is two factor, username + password + tokencode of softcertificaat.
29-11-2010, 14:46 door ej__
Door N4ppy:
Door ej__: Er zijn zat bedrijven waar gewoon een RSA key wordt gebruikt. Meetlat niet bruikbaar.

Daar kun je weer een andere meetlat gebruiken. Hoe vaak wordt een temp key gegeven omdat iemand zijn token thuis heeft laten liggen. Hoeveel tokens raak je kwijt. Hoeveel tokens kom je tegen op buros.

Bij ons moet je even een politierapport laten zien als hij verdwenen is. Ga maar even naar huis als je hem vergeten bent. Meetlat werkt niet.
29-11-2010, 15:05 door Anoniem
Bij ons kun je aan de CEO de knelpunten aangeven en ze doen er niets mee.

Het is alleen lullig dat ze het beheer voeren over de meeste bedrijven in Nederland.

1 groot financieel spel.
29-11-2010, 15:57 door sjonniev
Als je versleuteling wenst toe te passen is het m.i. een giller om nog wachtwoordregels te hebben. Verplichte 2-factor authenticatie, en PIN-regels zouden dan de norm moeten zijn.

En als je geen versleuteling toepast, kun je net zo goed geen wachtwoord gebruiken.
29-11-2010, 19:08 door N4ppy
Door ej__:
Door N4ppy:
Door ej__: Er zijn zat bedrijven waar gewoon een RSA key wordt gebruikt. Meetlat niet bruikbaar.

Daar kun je weer een andere meetlat gebruiken. Hoe vaak wordt een temp key gegeven omdat iemand zijn token thuis heeft laten liggen. Hoeveel tokens raak je kwijt. Hoeveel tokens kom je tegen op buros.

Bij ons moet je even een politierapport laten zien als hij verdwenen is. Ga maar even naar huis als je hem vergeten bent. Meetlat werkt niet.
Dan kun je aantal politierapporten per jaar tellen en de gemiste uren omdat mensen retour huis gaan.
Er is altijd wel een lat te verzinnen, of het zinvolle data oplevert is deel twee.

Overigens geen idee of het slimmer is om gelijk een rainbow table op te zetten en hoe ga je om met de onderzoeker. Die weet dus ineens alle/veel passwords.
Ach des te meer reden om 2 factor te gaan.
30-11-2010, 09:08 door Prlzwitsnovski
Volgens deze beveiliger zou de veiligste situatie zijn dat een secretaris een wachtwoord als Djf@jE2Fiug33jer?5WE47!78 zou hebben.

Wedden dat hij het nooit zal onthouden en op een post-it'je schrijven?
Iedereen die achter zijn computer zit kan dus zomaar inloggen.
30-11-2010, 11:18 door Anoniem
Door Prlzwitsnovski: Volgens deze beveiliger zou de veiligste situatie zijn dat een secretaris een wachtwoord als Djf@jE2Fiug33jer?5WE47!78 zou hebben.

Wedden dat hij het nooit zal onthouden en op een post-it'je schrijven?
Iedereen die achter zijn computer zit kan dus zomaar inloggen.
[Echt meegemaakt modus]Nou die secretaris weet inmiddel ook wel dat hij het niet mag opschrijven dus slaat hij het op in een versleutelde password database en gebruikt daarvoor als password.......... Banaan2010
Lekker makkelijk, hoeft hij ook nog maar eens één password te onthouden.... [/Echt meegemaakt modus]
30-11-2010, 14:29 door Anoniem
Door Anoniem: Bij ons kun je aan de CEO de knelpunten aangeven en ze doen er niets mee.

Het is alleen lullig dat ze het beheer voeren over de meeste bedrijven in Nederland.

Je kunt in plaats van de knelpunten ook aangeven dat ze verantwoordelijk kunnen worden gesteld voor wanbeheer en nalatigheid. Het helpt natuurlijk als je ze een lijstjes van CEO's die al hebben moeten boeten. De imago schade door slechte beveiliging is enorm.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search