Word-password veilig ???
Er heerst bij onze organisatie een verwoede strijd over hoe om te gaan met privacygevoelige gegevens (wij zijn een jeugdhulpverleningsinstelling). Nu komt een extern adviesbureau met het advies voor de thuiswerkers om de dossiers van cliënten (in Word-formaat) te beveiligen met het Word-password en daarmee te waarborgen dat daarmee de zeer privacygevoelige gegevens voor "vreemden" ontoegankelijk zijn, als onze gebruikers maar minimaal 6 posities gebruiken. Volgens zijn gegevens is een systeem hier minimaal 5 dagen mee bezig om dit te kraken, en dat vindt hij acceptabel. Ik niet ! Het is mij bekend dat voor het kraken van dit soort wachtwoorden programmatuur op de markt is, echter deze is slechts in demo-variant verkrijgbaar, en aangezien ik de oplossing ver van mij werp wens ik hier niet voor te betalen. Zijn er hier mensen die met dit soort programmatuur ervaring hebben, en zoja klopt zijn stelling ? Hoe gaan jullie met dit soort zaken om ?
Bij voorbaat dank voor jullie reactie,
met vriendelijke groet,
Denis de Vries
Hoofd ICT
GSJ Lindenhout
Nu komt een extern adviesbureau met het advies voor de thuiswerkers om de dossiers van cliënten (in Word-formaat) te beveiligen met het Word-password en daarmee te waarborgen dat daarmee de zeer privacygevoelige gegevens voor "vreemden" ontoegankelijk zijn, als onze gebruikers maar minimaal 6 posities gebruiken. Volgens zijn gegevens is een systeem hier minimaal 5 dagen mee bezig om dit te kraken, en dat vindt hij acceptabel. Ik niet !
Ik weet niet wat voor een extern "adviesburo" je daarvoor ter hand hebt genomen. Dat bureau werkt waarschijnlijk nog met een 8086 XT computer uit 1980 omdat dergelijke wachtwoorden tegenwoordig in enkele -seconden- zijn te kraken. Dit is niet zozeer mijn eigen conclusie maar is dat de trend dat in zo'n 1.800.000 pagina's staat te lezen via een gemiddelde searchengine (word AND password).
Het feit dat zoveel pagina's zijn te vinden omtrent MS-Word en het kraken van z'n wachtwoorden geeft al aan hoe onveilig het Microsoft-product ook op dat gebied is.
Zodoende kan gerechtvaardigd worden geconcludeerd dat zo'n Wordpassword alles behalve veilig is voor vertrouwelijke documenten.
Thuiswerkers vallen buiten het bereik van een bekwame ICT en/of security beheerder, er is immers geen controle. Zegt genoeg over de "veiligheid" van zulks vertrouwelijke documenten.
Wanneer dergelijke documenten worden uitgewisseld tussen de thuiswerkers en uw instantie via het internet over e-mail zouden dergelijke documenten versleuteld moeten worden verzonden (een sterkte van 1024 bit is momenteel gangbaar, 2048 bit of hoger is beter afhankelijk van de inhoud) waar u PGP (Pretty Good Privacy) voor kunt gebruiken dat ook direct kan worden ingezet voor verificatie (of de afzender inderdaad correct is, en of het document onaangetast is).
Verder kan ik er op afstand weinig van zeggen, e.e.a. is afhankelijk van het exacte gebruik, de aanwezige technologie en de mate van gewenste veiligheid.
6 tekens is inderdaad wat weinig, maar bedenk wel dat sommige wachtwoorden van 6 tekens misschien minder snel te kraken zijn dan een ander wachtwoord van 8 tekens. Het is bij word waarschijnlijk moeilijk om te zorgen dat users zich aan richtlijnen voor goede wachtwoorden houden omdat je (voor zover ik weet) geen regels daarvoor kunt opstellen, je hebt dus kans dat gebruikers straks het wachtwoord 'password' kiezen en dat wordt dan ook dmv een simpele woordenlijst in enkele seconden gekraakt.
ThunderStore
Ant. van der Heydenstraat 2
5527 BV HAPERT
The Netherlands
Tel: +31 (0)497 383505
Fax: +31 (0)497 388440
Office Wijchen
Saltshof 10-06
6604 EA WIJCHEN
The Netherlands
Web: http://www.thunderstore.com
Email: [email]sales@thunderstore.com[/email]
========================
Groeten,
Pierpanda.
En de beveiliging van MS,..... inderdaad niet echt een degelijk verhaal dus ik zou dat niet gaan gebruiken.
SUNTAC
Pierpanda
Als jullie een AD (w2k) server draaien en de thuiswerkers maken gebruik van pc's van de werk gever (laptops) en daar draaid w2k prof op en in ze hangen in het domain, dan zou je het beste EFS kunnen gebruiken, standaard 56bit en dat is opzich voldoende tenzijn het een kwestie van leven of dood is. Dan kun je de highencryptie pack van de MS site downloaden (128bit).
Vanaf Service Pack 2 is Windows 2000 altijd 128-bit, dus hoef je niet meer moeilijk te doen met encryption packs.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.