Security Professionals - ipfw add deny all from eindgebruikers to any

Nieuw password aan gebruiker doorgeven

28-12-2011, 17:07 door Anoniem, 21 reacties
Heeft iemand advies / tips hoe op een veilige en efficiënte manier een nieuw password aan een eindgebruiker doorgegeven kan worden. Dus niet per e-mail, maar op een andere manier.
Alvast bedankt voor jullie hulp.
Reacties (21)
29-12-2011, 09:52 door [Account Verwijderd]
[Verwijderd]
29-12-2011, 10:59 door Anoniem
Wachtwoorden worden nog wel eens doorgegeven vian SMS.
Er naartoe lopen met een wachtwoord op een briefje is een andere optie.
29-12-2011, 11:19 door SirDice
Vraag de naam van die gebruiker en bel 'm terug op een van te voren afgesproken telefoonnummer.
29-12-2011, 12:57 door Anoniem
Door Anoniem: Wachtwoorden worden nog wel eens doorgegeven vian SMS.
Er naartoe lopen met een wachtwoord op een briefje is een andere optie.
Wordt een beetje moeilijk in een gedecentraliseerd of internationaal bedrijf.
Als je de persoon wiens wachtwoord je dient te resetten zelf opbelt is telefonisch doorgeven een goede optie.
29-12-2011, 13:16 door Anoniem
installeer zoiets als Secway simp Pro, adviseer je eindgebruikers dit ook te installeren.
ga op Msn en verstuur een versleutelde boodschap, Secway zal dit bericht decrypten voor de eindgebruiker alleen.

Mvg
29-12-2011, 13:27 door Anoniem
Verstuur het wachtwoord in een versleutelde e-mail.

Peter
29-12-2011, 13:35 door Victor69
Door SirDice: Vraag de naam van die gebruiker en bel 'm terug op een van te voren afgesproken telefoonnummer.


Yupz, en doe een eventuele check en vraag hem naar zijn personeelsnummer, geb datum of iets anders wat alleen de persoon in kwestie weet....
29-12-2011, 14:03 door Anoniem
Wat ik doe is er met ZabGrab een deel van het scherm capturen en dan in de mail versturen. Het kan dan niet normaal gelezen worden. Alleen als je de volledige mail hebt.
Niet 100% foolproof maar op zich beter dan User: Pietje password: iHJGhgH81 in een e-mail versturen.
Natuurlijk gaat het hierbij niet om mission critical wachtwoorden en moet de gebruiker bij eerste gebruik al zijn wachtwoord wijzigen.
29-12-2011, 14:21 door Anoniem
"Als je de persoon wiens wachtwoord je dient te resetten zelf opbelt is telefonisch doorgeven een goede optie."

Zodat iedereen om je heen het wachtwoord ook kan horen. Als de ander het ter verificatie herhaalt, dan luisteren daar ook nog mensen mee. Is telefonisch werkelijk veiliger ?

"Ik ben namelijk benieuwd waarom je het per se niet per e-mail"

Misschien omdat de nieuwe gebruiker nog geen email heeft om de informatie op te ontvangen, indien je hem de gegevens van zijn accounts moet verstrekken - waaronder email ?

"Yupz, en doe een eventuele check en vraag hem naar zijn personeelsnummer, geb datum of iets anders wat alleen de persoon in kwestie weet...."

Niet een eventuele check, maar altijd een check. Wat je moet vragen moet je in procedures vastleggen. Overigens is het achterhalen van een geboortedatum, zeker in de tijd van social networking, een fluitje van een cent. Ook een personeel nummer is niet iets wat je collega's niet zouden kunnen achterhalen.

Een persoonlijk gegeven is niet per definitie een goed "geheim" voor identificatie.
29-12-2011, 15:08 door Anoniem
Door Anoniem: "Als je de persoon wiens wachtwoord je dient te resetten zelf opbelt is telefonisch doorgeven een goede optie."

Zodat iedereen om je heen het wachtwoord ook kan horen. Als de ander het ter verificatie herhaalt, dan luisteren daar ook nog mensen mee. Is telefonisch werkelijk veiliger ?
Een wachtwoord is pas interessant als je weet bij welk userID het hoort. Als men mij een passwoord hoort spellen, moet men nog weten met wie ik aan de lijn ben.
Aan de andere kant van de lijn is idd een reëel risico, maar aangezien users zelf hun paswoord dienen te resetten (en in vele gevallen wordt dat ook afgedwongen) na het voor de eerste keer aanloggen (of na wijziging van paswoord door een helpdesk ofzo) is de tijdspanne waarin dat paswoord misbruikt kan worden nogal klein.
Risico armere alternatieven zie ik trouwens niet direct.
29-12-2011, 15:26 door SirDice
Door Anoniem: "Als je de persoon wiens wachtwoord je dient te resetten zelf opbelt is telefonisch doorgeven een goede optie."

Zodat iedereen om je heen het wachtwoord ook kan horen. Als de ander het ter verificatie herhaalt, dan luisteren daar ook nog mensen mee. Is telefonisch werkelijk veiliger ?

Simpele oplossing, vinkje zetten bij "User must change password at next logon" en even wachten met ophangen tot de gebruiker in heeft kunnen loggen en het verzoek voor een nieuw wachtwoord voor z'n neus heeft staan.
29-12-2011, 16:49 door [Account Verwijderd]
[Verwijderd]
29-12-2011, 18:00 door Anoniem
Als het gaat om bedrijfs pw's, is het misschien een mogelijkheid om het aan de afd.manager, -secretariaat of ander bekende vaste contactpersoon door te geven.
Vooropgesteld natuurlijk dat dit in procedures is vastgelegd.
Die personen ken jij en ook degene waar het om gaat.

Bij ons op de helpdesk wordt o.a. het BSN gevraagd (ook niet altijd even veilig maar beter dan niets).
30-12-2011, 02:54 door Anoniem
Voor nieuwe medewerkers is het per email doorgeven van de account gegevens aan een leidingevende or secretaresse een redelijk optie, natuurlijk het wachtwoord meteen laten veranderen. Een andere optie is langsgaan bij een servicebalie waar iemand na vertoning van zijn ID zelf een nieuwe password moet invoeren.

Hoe je met dit soort zaken omgaat hangt in natuurlijk ook af van hoe ernstige de schade als een ongeauthoriseerde toegang krijgt en hoe ernstig het is als iemand zijn werk tijdelijk niet kan doen. Dat zal per bedrijf en per functie verschillen.
30-12-2011, 11:49 door Anoniem
Bij wachtwoord aanvraag gelijk in browser het wachtwoord laten zien.
Dit moet natuurlijk wel via SSL gaan.
30-12-2011, 12:20 door SirDice
Door Anoniem: Bij ons op de helpdesk wordt o.a. het BSN gevraagd (ook niet altijd even veilig maar beter dan niets).
En dat mag volgens mij niet. Een 'helpdesk' behoort geen toegang te hebben tot de BSN nummers van personeelsleden. Alleen HR zou bij die gegevens mogen. Van mij had ze het nooit gekregen in ieder geval. Dan maar geen nieuw wachtwoord.
30-12-2011, 12:23 door SirDice
Door Anoniem: Bij wachtwoord aanvraag gelijk in browser het wachtwoord laten zien.
Dit moet natuurlijk wel via SSL gaan.
En hoe verifieer je dat die gebruiker ook daadwerkelijk is wie hij/zij zegt te zijn?
30-12-2011, 13:50 door Anoniem
Je kan een versleutelde programma gebruiken om de WW aan de men te brengen. bijv http://cypherix.nl/ de gratis versie is goed voor een container/ruimte van 25MB.

1. Bedenkt een WW voeg aan deze echte WW nog een paar extra letters/symbolen van je zelf
2. Versleutel een deel van WW en stuur per e-mail aan de klant gebruikt bijv. software van cypherix.nl
3. Bel de klant en vertel dat welke letters/symbool moet hij weg halen. nu heeft de klant een deel
4. De tweede deel vertel aan de klant per tel en dat moet niet een GSM zijn.
5. De derde deel stuur per SMS
6. Laat de klant bij de eerste aanmelding de WW wijzigen en de beleid van je server moet niet de makkelijke wachtwoord combinatie accepteren
7. En nu maar hopen dat de klant van je hebt een up to date PC met een goede AV en heeft ook niet alle rare gratis programma's op zijn PC geïnstalleerd.
Anders alles is voor niks geweest.
8. Als je klant is een zakelijke, dan kunnen je de services die je aan hem bied te beveiligen bijv. naar zijn vaste IP te openen en in de Firewall ook de tijd aangeven van hoe laat tot hoe laat mag het open zijn.
9. Je beleid van je server moet gelijk de gebruiker blokkeren als bijv. 3 x de onjuiste WW getypt en ook niet voor 15min maar voorgoed tot je het onderzoek of de klant je belt.
10. Koop een Firewall plaats voor je server dat heeft optie tegen DDos aanvallen, IDP, AV
11. Als echt goede services aan je klant bieden koop een Token Authenticiteit systeem waar je klant behalve WW moet ook eenmalige WW extra op te geven.

Succes.
31-12-2011, 01:46 door Zeus
Er zijn tools die steganography en crypting combineren.....password locked...
dus info wordt in foto geplaatst, de ontvanger weet welke password er gebruikt moet worden, en kan zo de info uit de foto halen...
misschien een idee...
31-12-2011, 14:15 door Anoniem
Wel eens van "post" gehoord, erg handig en niemand kan meelezen via internet;)
31-12-2011, 16:04 door Anoniem
Per post natuurlijk
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.