image

Britse geheime dienst hekelt regelmatig aanpassen wachtwoord

donderdag 28 april 2016, 14:55 door Redactie, 20 reacties

Organisaties die regelmatig het personeel verplichten om een nieuw wachtwoord in te stellen zijn niet goed bezig, zo stelt de Communications and Electronics Security Group (CESG), onderdeel van de Britse geheime dienst GCHQ. Het is een algemeen beveiligingsadvies om regelmatig wachtwoorden te wijzigen.

Vorig jaar publiceerde de CESG echter wachtwoordadvies waarin dit juist werd afgeraden. Het regelmatig aanpassen van wachtwoorden zou werknemers juist dwingen om wachtwoorden te kiezen die op het vorige wachtwoord lijken of zwak zijn. Daarnaast is de kans aanwezig dat gebruikers een wachtwoord kiezen dat ze ook ergens anders gebruiken of besluiten ze het wachtwoord op te schrijven omdat ze het niet kunnen onthouden.

De kans om nieuwe wachtwoorden te vergeten is daarnaast veel groter, wat weer invloed op de productiviteitskosten heeft als mensen hun wachtwoord vergeten en de helpdesk dit moet resetten. De Britse geheime dienst adviseert organisaties dan ook om personeel niet te verplichten regelmatig hun wachtwoorden te wijzigen. Dat zou de kans moeten verkleinen dat gebruikers zwakke wachtwoorden kiezen.

Volgens de CESG zijn er juist efficiëntere verdedigingsmaatregelen om misbruik van accountgegevens te detecteren en te voorkomen, zoals het gebruik van monitoringtools die gebruikers informatie over hun laatste inlogpoging laten zien. In dit geval kan de gebruiker zien of hij voor mislukte inlogpogingen verantwoordelijk was en in het geval van onregelmatigheden aan de bel trekken. "Dit soort initiatieven helpen waarschijnlijk veel meer bij het beschermen van systemen en zijn veel beter voor de gebruiker te behappen", aldus de Britse geheime dienst. Onlangs stelde ook een Amerikaanse professor dat het regelmatig wijzigen van wachtwoorden onverstandig is.

Reacties (20)
28-04-2016, 15:00 door User2048
Gebruik een goede password tool. Dan kun je je wachtwoorden regelmatig verversen en ze toch onthouden.
28-04-2016, 15:45 door Anoniem
Door User2048: Gebruik een goede password tool. Dan kun je je wachtwoorden regelmatig verversen en ze toch onthouden.
Jammer dat die nog niet bruikbaar is voordat je op je user-account bent ingelogd ....
28-04-2016, 15:47 door Anoniem
Door User2048: Gebruik een goede password tool. Dan kun je je wachtwoorden regelmatig verversen en ze toch onthouden.

Het gaat vooral om het inlog wachtwoord. Dan helpt een password tool nog niet. Wat wel helpt is 2FA.
28-04-2016, 15:56 door Anoniem
Door User2048: Gebruik een goede password tool. Dan kun je je wachtwoorden regelmatig verversen en ze toch onthouden.
En je hebt er meteen een nieuwe single-point-of-failure bij...
28-04-2016, 16:05 door Anoniem
Gebruik biometrie.
28-04-2016, 16:23 door Anoniem
Je moet ervoor zorgen dat je een sterk wachtwoord gebruikt waar dat nodig is en verder NOOIT eenzelfde wachtwoord op meerdere plaatsen gebruiken. En inderdaad, een goede wachtwoordtool is dan onontbeerlijk. Regelmatig wijzigen voegt helemaal niets toe.
28-04-2016, 17:02 door Anoniem
Wat is tegenwoordig een "goede" wachtwoord tool?

:-)
28-04-2016, 17:27 door Anoniem
Klopt allemaal precies wat ze daar schrijven.
En ik vond dit 15 jaar geleden ook al.
Maar ja, als er dure omes allerlei beveiligingsadviezen van elkaar overschrijven, wat doe je daar dan tegen?
28-04-2016, 17:44 door Anoniem
Eens in de paar jaar komt er een student op het idee om dit advies nieuw leven in te blazen.

En biometrie, alstublieft niet. Ik wil toch geen biometrische gegevens afstaan aan mijn werkgever waarvan ik niet weet of ik er morgen nog werk.
28-04-2016, 19:02 door Anoniem
Er is technisch en psychologisch geen reden om aan te nemen dat het ene 12 letterige wachtwoord beter is dan een ander.
Wanneer je inlog faciliteit geen accounting heeft hoort het niet zo belangrijk te zijn dat je elke maand nieuwe wachtwoorden nodig hebt. Heb je wel accounting op je inlog faciliteit, dan moet deze simpelweg detecteren dat er foutieve inlogpogingen zijn, van waar die pogingen komen en hierop passende actie op ondernemen en direct IT Security en de persoon waarschuwen.

Het wachtwoord wat 1 week oud is, het wachtwoord wat 1 jaar oud is, dat maakt dan geen bal uit.
28-04-2016, 19:36 door karma4 - Bijgewerkt: 29-04-2016, 17:57
(-dubbel-)
28-04-2016, 19:36 door karma4
Door Anoniem:
Maar ja, als er dure omes allerlei beveiligingsadviezen van elkaar overschrijven, wat doe je daar dan tegen?

Eens met je. Als je er goed over nadenkt is die gedwongen verandering eerder een bedreiging dan dat het iets oplost.
Dat managers en "specialisten" zich verschuilen achter best practices met vinkenlijstjes is de goedkope benadering g.
Service account high privileged accounts combineren met normaal gebruik en dat onderbrengen in een password manager... Hoe makkelijk wil je het de Black hatter maken.
Het zou een nieuwe good practice moeten zijn. Dump password managers aangezien het symptoombestrijders zijn en ga de security gedegen ontwerpen en invullen.
28-04-2016, 20:23 door Anoniem
Het vervangen van een passwoord is toch juist wel veilig eens in de zoveel tijd.
Als je een wachtwoord nooit zou veranderen,dan heeft een wachtwoord geen zin want dan is het makkelijker voor buitenstaanders te achterhalen.
28-04-2016, 22:23 door Anoniem
Door Anoniem: Het vervangen van een passwoord is toch juist wel veilig eens in de zoveel tijd.
Als je een wachtwoord nooit zou veranderen,dan heeft een wachtwoord geen zin want dan is het makkelijker voor buitenstaanders te achterhalen.

Huh? Is een sleutel van een jaar oud onveiliger dan die van een week oud?

Een voordeel van een vers WW is dat indien men een oudere database in handen heeft gekregen men minder tijd heeft om deze te brute forcen. Dan heeft de feitelijke 'hack' dus al plaatsgevonden.
29-04-2016, 08:33 door Anoniem
Door Anoniem: Het vervangen van een passwoord is toch juist wel veilig eens in de zoveel tijd.
Als je een wachtwoord nooit zou veranderen,dan heeft een wachtwoord geen zin want dan is het makkelijker voor buitenstaanders te achterhalen.

Waarom is het dan makkelijker te achterhalen? Ik heb al dertien jaar dezelfde huissleutels, maar pas als er eentje zoek is zie ik reden om te denken dat hij in andermans handen is gevallen.

Als mijn wachtwoord veilig opgeslagen is en ik hoef het niet op te schrijven omdat ik het kan onthouden, dan is dat veilig genoeg. Als ik het steeds moet wijzigen zodat ik het de volgende dag weer vergeten ben (want je mag het niet opschrijven, en na het wijzigen doe ik nog vele andere acties met mijn geheugen, tot de volgende werkdag begint) dan is de verleiding inderdaad groot om iets simpels te kiezen, een raadbare systeem te bedenken of het gewoon maar op te schrijven.
Of stomweg te wachten tot ik weer op kantoor ben en om een reset te vragen omdat ik het weer eens vergeten ben, en het niet remote gereset kan worden. Dat kost inderdaad nogal wat productiviteit.

Een wachtwoord is niet in eerste instantie bedoeld om anderen buiten te sluiten, maar om de juiste persoon binnen te laten. Regelmatig moeten wijzigen schiet daarmee zijn doel voorbij.
29-04-2016, 09:54 door Anoniem
Wat is er nou onveilig aan "April2016!"?
Moet hem maandag maar weer aanpassen op kantoor, zal "Mei2016!" worden.
Braaf elke 30 dagen, niet omdat het kan, maar omdat het moet :)
29-04-2016, 10:36 door Anoniem
Ik snap het niet er zijn genoeg Enterprise grade tools die op verschillende veilige manieren een wachtwoord periodiek, bij raadpleging of wat voor trigger dan ook automatisch kunnen veranderen.. zoals Secret Server ;)
29-04-2016, 15:10 door Anoniem
Door Anoniem:
Door User2048: Gebruik een goede password tool. Dan kun je je wachtwoorden regelmatig verversen en ze toch onthouden.
Jammer dat die nog niet bruikbaar is voordat je op je user-account bent ingelogd ....

Onee?

Die van mij draait op mijn PC en op mijn telefoon en synchroniseert dat, indien nodig, via een eigen server. Als ik op de PC wil inloggen, kan ik op mijn telefoon kijken naar het wachtwoord. Maar ik gebruik dat wachtwoord zo vaak, dat ik dat na een dag wel uit mijn hoofd weet.

Peter
29-04-2016, 15:20 door Anoniem
Door Anoniem:Het wachtwoord wat 1 week oud is, het wachtwoord wat 1 jaar oud is, dat maakt dan geen bal uit.

Als wachtwoord database is gelekt, biedt een wachtwoord dat na een jaar nog niet is gekraakt een betere bescherming dan een wachtwoord dat een cracker na een minuut heeft gevonden.

Door karma4:
Door Anoniem:Dump password managers aangezien het symptoombestrijders zijn en ga de security gedegen ontwerpen en invullen.

Bedenk dat je als organisatie niet kunt voorkomen dat gebruikers dom doen met wachtwoorden. Hoe vaak andere specialisten het ook zeggen, ik praat ze na als ze adviseren om voor verschillende systemen verschillende wachtwoorden te gebruiken. Een normaal persoon onthoudt al die wachtwoorden niet. Ik dacht dat ik het kon, maar nu zit ik op ruim 100 sites en systemen waar ik op in moet loggen en ik garandeer je dat ik die wachtwoorden niet allemaal kan onthouden.

Door Anoniem:Dan heeft de feitelijke 'hack' dus al plaatsgevonden.

Die kan best ergens anders hebben plaatsgevonden. Zeker omdat nog steeds veel mensen overal hetzelfde wachtwoord gebruiken en je vaak bij webshops e.d. in moet loggen met een e-mail adres. Dan heb je snel de koppeling gemaakt tussen het bedrijf en het wachtwoord, zonder dat het bedrijf er zelf van op de hoogte is of de zaken slecht voor elkaar heeft.

Daarom heb ik dan ook bij pastebin een trigger gezet op ons domein. Als er ergens een database publiek komt met een e-mail adres van een van onze medewerkers, krijg ik een mail.

Door Anoniem:Een wachtwoord is niet in eerste instantie bedoeld om anderen buiten te sluiten, maar om de juiste persoon binnen te laten. Regelmatig moeten wijzigen schiet daarmee zijn doel voorbij.

Een wachtwoord is niet bedoeld om de juiste persoon te identificeren. Daar zorgt de gebruikersnaam voor. Het wachtwoord is om te voorkomen dat iemand zich voordoet als iemand anders.

Peter
29-04-2016, 18:05 door karma4
Peter,
Bedenk dat je als organisatie niet kunt voorkomen dat gebruikers dom doen met wachtwoorden. Hoe vaak andere specialisten het ook zeggen, ik praat ze na als ze adviseren om voor verschillende systemen verschillende wachtwoorden te gebruiken. Een normaal persoon onthoudt al die wachtwoorden niet. Ik dacht dat ik het kon, maar nu zit ik op ruim 100 sites en systemen waar ik op in moet loggen en ik garandeer je dat ik die wachtwoorden niet allemaal kan onthouden.
Eens met SSO (Single Sign On) kun je veel oplossen voor de meeste gebruikers. AD (niet LDAP) is het verst daarin met de opzet en beheer. Sorry OSS mensen op dat vlak moet er echt nog veel verbeterd worden, GOSA is het niet.
Eén keer éém ser password volstaat. Moet je niet doen voor high privileged / service account met admins. Helaas door het dogma dat een gebruiker maar 1 account mag hebben gebeurt het toch. Dat is een niet zo maar een klein foutje het is de blunder/achilleshiel. Maar waarom zijn er 100 sites jan-klaassen en katrijn?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.