Security Professionals
- ipfw add deny all from eindgebruikers to any
(self service) password reset
Hoe gaan jullie (in een professionele omgeving) om met password resets voor gebruikers?
Intern gebruiken we persoonlijke identificatie maar men wil nu graag ook vergeten wachtwoorden resetten voor gebruikers die buiten de deur zijn. Voor toegang van buitenaf gebruiken we normaal al 2-factor authenticatie, dus als je die gebruikt om de identiteit te bevestigen voor een wachtwoord reset dan is het ineens geen 2-factor authenticatie meer. De standaard vragen naar de achternaam van je moeder of je lagere school zijn door het uitgebreide gebruik van social media ook niet echt veilig meer. We zoeken een oplossing waarbij er zo weinig mogelijk actie vooraf van gebruikers nodig is maar die toch veilig is.
Hebben jullie suggesties, Hoe werkt het bij jullie?
Intern gebruiken we persoonlijke identificatie maar men wil nu graag ook vergeten wachtwoorden resetten voor gebruikers die buiten de deur zijn. Voor toegang van buitenaf gebruiken we normaal al 2-factor authenticatie, dus als je die gebruikt om de identiteit te bevestigen voor een wachtwoord reset dan is het ineens geen 2-factor authenticatie meer. De standaard vragen naar de achternaam van je moeder of je lagere school zijn door het uitgebreide gebruik van social media ook niet echt veilig meer. We zoeken een oplossing waarbij er zo weinig mogelijk actie vooraf van gebruikers nodig is maar die toch veilig is.
Hebben jullie suggesties, Hoe werkt het bij jullie?
Reacties (7)
05-06-2013, 15:02 door
CSO.
Er zijn ook kant&klare 'voice authentication' oplossingen voor het zelf resetten van wachtworden. Klinkt op zich veelbelovend en is lastig te misbruiken.
/EDIT: met een linkje uit eigen doosch: https://www.security.nl/artikel/28253/1/Stemherkenning%3A_biometrie_op_afstand_.html].
/EDIT: met een linkje uit eigen doosch: https://www.security.nl/artikel/28253/1/Stemherkenning%3A_biometrie_op_afstand_.html].
05-06-2013, 15:37 door
AcidBurn
Allereerst hanteren wij standaarden;
- Password reset moet altijd komen van iemand die bij ons op de "clear" lijst staat. Dat kan de manager zijn, of een directeur van de betreffende klant. Vervelend voor ze; maar verplicht
- Wachtwoorden moeten iedere 60 dagen worden aangepast
- 5 maal fout inloggen, account blokkade. Na een uur is de account weer vrij.
Als een user belt met een blokkade melding (5x fout) doen we niets - dit zoeken ze zelf maar uit. Dit behoort tot een stukje opvoeding.
Een password reset moet bij ons altijd via e-mail worden aangevraagd door iemand op de CLEAR lijst en word ook aan die persoon terugbevestigd. Wij genereren een password en zetten het vinkje " gebruiker moet wachtwoord wijzigen " aan. Het is aan die persoon dat te communiceren.
Hiernaast heeft iedere gebruiker een RSA token, zonder pincode kun je er niets mee.
- Password reset moet altijd komen van iemand die bij ons op de "clear" lijst staat. Dat kan de manager zijn, of een directeur van de betreffende klant. Vervelend voor ze; maar verplicht
- Wachtwoorden moeten iedere 60 dagen worden aangepast
- 5 maal fout inloggen, account blokkade. Na een uur is de account weer vrij.
Als een user belt met een blokkade melding (5x fout) doen we niets - dit zoeken ze zelf maar uit. Dit behoort tot een stukje opvoeding.
Een password reset moet bij ons altijd via e-mail worden aangevraagd door iemand op de CLEAR lijst en word ook aan die persoon terugbevestigd. Wij genereren een password en zetten het vinkje " gebruiker moet wachtwoord wijzigen " aan. Het is aan die persoon dat te communiceren.
Hiernaast heeft iedere gebruiker een RSA token, zonder pincode kun je er niets mee.
06-06-2013, 09:03 door
SecOff
@CSO Dit soort oplossingen vergt wel veel interactie door de gebruiker met het systeem vooraf.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
06-06-2013, 09:16 door
CSO.
@SecOff: volgens mij valt dat reuze mee, maar je zult natuurlijk wel eenmalig een voiceprint moeten vastleggen. Dat kan voor de gebruiker ongemerkt gebeuren zodra hij telefonisch contact heeft met de helpdesk. Uitdaging is om die eerste keer de identiteit daadwerkelijk vast te stellen. De technieken zijn soms zelfs zo intelligent dat bij ieder spraakcontact de voiceprint nauwkeuriger kan worden.
Heb jij (praktijk)ervaringen om 'veel interactie' verder toe te lichten?
Heb jij (praktijk)ervaringen om 'veel interactie' verder toe te lichten?
06-06-2013, 10:50 door
AcidBurn
Door SecOff: @CSO Dit soort oplossingen vergt wel veel interactie door de gebruiker met het systeem vooraf.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
De methode die wij hanteren zorgt er juist voor dat de gebruiker, ook als hij/zij niet op kantoor is, een nieuw wachtwoord kan ontvangen zonder hiervoor de security te laten vervallen. Hij/zij moet contact zoeken (telefonische) met de betreffende medewerker op de white-list die ons een verzoek stuurt, het nieuwe wachtwoord krijgen ze dan via die persoon te horen en hiermee is het klaar. Dit kan zowel op locatie als vanaf huis en waarborgt de veiligheid van de accounts.
06-06-2013, 11:35 door
johanw
@AcidBurn, dit klinkt als de klassieke BOFH opstelling. Voegt niks toe aan beveiliging maar leert gebruikers dat beveiliging vooral lastig i.p.v. nuttig is. Als het je collega's genoeg gaat vervelen loop je het risico dat men je gaat uitbesteden aan Capgemini...
Verder schijnen mensen het vreemde idee te hebben dat je op dat soort controlevragen altijd eerlijk moet antwoorden. Spreek af dat je als naam van je moeder een heel andere naam opgeeft, of kom met bedrijfs specifieke vragen die waarschijnlijk niet op social media staan als "op welke verdieping zit de kantine", "wie is je collega die 2 deuren verder zit", etc. etc.
Verder schijnen mensen het vreemde idee te hebben dat je op dat soort controlevragen altijd eerlijk moet antwoorden. Spreek af dat je als naam van je moeder een heel andere naam opgeeft, of kom met bedrijfs specifieke vragen die waarschijnlijk niet op social media staan als "op welke verdieping zit de kantine", "wie is je collega die 2 deuren verder zit", etc. etc.
Door AcidBurn:
De methode die wij hanteren zorgt er juist voor dat de gebruiker, ook als hij/zij niet op kantoor is, een nieuw wachtwoord kan ontvangen zonder hiervoor de security te laten vervallen. Hij/zij moet contact zoeken (telefonische) met de betreffende medewerker op de white-list die ons een verzoek stuurt, het nieuwe wachtwoord krijgen ze dan via die persoon te horen en hiermee is het klaar. Dit kan zowel op locatie als vanaf huis en waarborgt de veiligheid van de accounts.
Het is slechts het verschuiven van verantwoordelijkheid en dat maakt het niet per definitie veiliger.Door SecOff: @CSO Dit soort oplossingen vergt wel veel interactie door de gebruiker met het systeem vooraf.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
@AcidBurn Dank je, dat is vergelijkbaar met wat wij nu hanteren. Er is echter een vraag vanuit de organisatie om ook als mensen thuis of onderweg zijn een wachtwoord reset te kunnen laten uitvoeren. We willen ook voor deze password resets nog steeds 2-factor authenticatie gebruiken.
De methode die wij hanteren zorgt er juist voor dat de gebruiker, ook als hij/zij niet op kantoor is, een nieuw wachtwoord kan ontvangen zonder hiervoor de security te laten vervallen. Hij/zij moet contact zoeken (telefonische) met de betreffende medewerker op de white-list die ons een verzoek stuurt, het nieuwe wachtwoord krijgen ze dan via die persoon te horen en hiermee is het klaar. Dit kan zowel op locatie als vanaf huis en waarborgt de veiligheid van de accounts.
Het feit dat een medewerker, of iemand die zich voordoet als deze medewerker, naar een manager belt, om z'n wachtwoord te laten resetten, is imho niet veiliger dan dat deze zelf belt naar de Servicedesk.
Door johanw: @AcidBurn, dit klinkt als de klassieke BOFH opstelling. Voegt niks toe aan beveiliging maar leert gebruikers dat beveiliging vooral lastig i.p.v. nuttig is. Als het je collega's genoeg gaat vervelen loop je het risico dat men je gaat uitbesteden aan Capgemini...
Verder schijnen mensen het vreemde idee te hebben dat je op dat soort controlevragen altijd eerlijk moet antwoorden. Spreek af dat je als naam van je moeder een heel andere naam opgeeft, of kom met bedrijfs specifieke vragen die waarschijnlijk niet op social media staan als "op welke verdieping zit de kantine", "wie is je collega die 2 deuren verder zit", etc. etc.
Verder schijnen mensen het vreemde idee te hebben dat je op dat soort controlevragen altijd eerlijk moet antwoorden. Spreek af dat je als naam van je moeder een heel andere naam opgeeft, of kom met bedrijfs specifieke vragen die waarschijnlijk niet op social media staan als "op welke verdieping zit de kantine", "wie is je collega die 2 deuren verder zit", etc. etc.
Check, dat is een vorm die ik in het verleden ook toegepast heb. Een andere vorm is wellicht van wachtwoorden af te stappen en biometrische authenticatievormen icm tokens oid toe te passen, maar dat is in deze buiten scope.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.