image

NCSC raadt periodiek vervangen van wachtwoorden af

maandag 22 oktober 2018, 17:37 door Redactie, 24 reacties

Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid adviseert organisaties om het periodiek veranderen van wachtwoorden niet langer te verplichten voor hun medewerkers of klanten, en deze maatregel te vervangen door compenserende maatregelen.

Het advies staat in een nieuwe versie van een factsheet over het gebruik van tweefactorauthenticatie (pdf). "Het periodiek vervangen van wachtwoorden, wat vaak als niet gebruiksvriendelijk wordt ervaren, is niet noodzakelijk als er compenserende maatregelen worden getroffen", zo laat het NCSC weten. De organisatie staat daarmee niet alleen. Experts waarschuwen al langer tegen het verplicht wijzigen van wachtwoorden, omdat gebruikers hierdoor zwakke wachtwoorden kiezen en vaker hun wachtwoorden opschrijven.

Aanbieders van internetdiensten en werkgevers kunnen als aanvullende maatregel monitoring en logging toepassen om zo onverwacht gebruik te detecteren. Ook kunnen gebruikers worden gewaarschuwd wanneer er een succesvolle of mislukte poging tot inloggen heeft plaatsgevonden. De gebruiker kan hierop reageren en eventueel maatregelen nemen, zoals het beëindigen van alle inlogsessies en het wijzigen van het wachtwoord.

Verder adviseert de vernieuwde factsheet om naar de relatieve sterkte van authenticatiemiddelen te kijken. Via een risicoanalyse kunnen organisaties vaststellen welk authenticatiemiddel het beste bij hen en hun dienstverlening past. "Authenticatiemiddelen verschillen in sterkte en daarmee de weerstand die zij tegen dreigingen bieden", aldus het NCSC.

Als laatste nieuwe toevoeging in de factsheet worden organisaties en gebruikers aangeraden om te onderzoeken wat Web Authentication (WebAuthn) voor hen kan betekenen. Deze open authenticatiestandaard biedt manieren om zonder wachtwoord in te loggen, bijvoorbeeld via biometrische kenmerken, tokens of andere hardware.

Reacties (24)
22-10-2018, 17:42 door Anoniem
Dit kan een systeembeheerder heel gemakkelijk via microsoft SCCM doen.
Waarschuw ook jullie gebruikers dat ze geen wachtwoorden op papier gaan schrijven van de Schoonmakers kunnen voor de Russen werken.
22-10-2018, 18:16 door Anoniem
Vandaag ook een stukje op nos.nl over het hele overal maar wachtwoorden dillemma.

De trend is duidelijk. Met name de sites die totale absolute eerlijkheid eisten van gebruikers hebben de markt goed verklooid met hoeveel vertrouwen zij zelf eigenlijk waard waren. Zeg maar rustig niks. Hihi en Haha en zit me stropdas recht. Ze hebben niet eens door hoe hele verkiezingen worden gemanipuleerd of zelfs landen en culturen tegen elkaar opgezet worden. Via hun jij-gebruiker-mag-niet-liegen-sites. Doe maar nu meteen een selfie sturen met je vinger in je neus, dat we even kijken of je het wel écht bent.

Wel eens een verhuisdoos in de regen laten staan? Pak je die op, lazert heel je wijnverzameling door de natte bodem. Ja, stom.

Dat zien we nu gebeuren. En ook zorgen. Want je vingerafdruk of je irisscan kan ook gepikt en gekopieerd. (En die vervelende processors kopieren nog steeds elk jaar weer zeker twee keer sneller als het jaar ervoor. ga daar maar tegen vechten....)

Het is niet de techniek die faalt. maar de het zijn de gebruikers. En nee, beste sekjoerietievriendjes, niet de user, maar de host. Die heeft ernstig gefaald. Die is begonnen met een leugen wereld te verkopen. En in sommige gevallen ook nog extra aandacht heeft besteed aan de "verslavende werking". Goed gelukt, want ik kan geen restaurant meer inlopen, en hele tafels zitten te facebooken. Zonder nog een woord met elkaar te wisselen. Wat dat betreft zouden de overheden best eens kunnen overwegen om accijnzen te heffen op degelijke duidelijk massaal verslavende produkten. Ik zie meer mobiele facebookers om me heen dan mensen met een jointje. Bijvoorbeeld.

Affijn. Donderdag de kwartaalcijfers van Google. Ik verwacht dat die mee gaan vallen, maar ook geen revolutie zullen zijn. Volgende week dinsdag de kwartaalcijfers van Facebook. Ik verwacht dat die de hele Nasdaq weer meer naar beneden gaan trekken en weer menig miljard aan waarde in hun eigen rook zal opgaan. Ofwel, zoek je een baantje in the IT? Bedenk wat nieuws! Ik, gebruiker, wil ook wel eens van die passwords af. Me duidelijk kunnen identificeren. Maar ook weer volledig anoniem, en als ik wil, elke dag een andere digitale identiteit. (Want genoeg verziekt door die lieg-firma's.) Vooral voor de puristen: achter elk IP zit een mens. Probeer je daar eens in te verdiepen. Dan kan er zomaar een plannetje uitkomen waarvan je niet had gedacht dat het zo simpel zou zijn.

Inloggen met mijn telefoondata als uniek gegeven is voor mij trouwens geen optie. Op mijn Android heet ik al een jaar AnitaGDPR. En ik doe er niks meer mee wat privacygevoelig is. Maar ik ben dus een man. Aan inloggen met mijn eigen 1984 apparaat ga ik dus niks meer hebben. Ook al verziekt door die snuffel apps. En maar naar de muur lopen om hem weer op te laden. Het zou nog veel eenvoudiger moeten kunnen, dat eeuwige password. Maar hoe?
22-10-2018, 19:31 door Bitwiper
Spuit 11 geeft ook modder - maar beter laat dan nooit.

Als fossiel beheer bij een klant het vereist zet ik er steeds een opvolgend cijfer 0..9 achter (meer dan 9 historische hashes bewaren ze nooit).

Overigens vind ik het schandalig dat er nog besturingssystemen worden uitgeleverd zonder fatsoenlijke wachtwoordmanager aan boord. En dan bedoel ik niet die in webbrowsers ingebouwde krengen die CSRF en andere wachtwoordlek-aanvallen een peuleschil maken.
22-10-2018, 19:40 door Anoniem
Ze worden wakker. Niet te geloven. Nooit gedacht dat ik dit nog zou meemaken...
22-10-2018, 19:54 door Anoniem
Met al dat gewachtwoordengelek, met tientallen en honderden miljoenen tegelijk, kun je tegenwoordig natuurlijk wel vrij gemakkelijk aannemelijk maken (ook voor de rechter) dat als er iets met of onder "jouw" account gebeurd is, het zekers niet uit te sluiten is dat het iemand anders was. Dus dan is er geen bewijs.

Dat is natuurlijk wel vervelend zijn voor overheden. Maar ja, dat zijn per definitie late instappers. Een leuk herinnering aan Wim Kok zaliger (ik denk de laatste echt integere premier die we gezien hebben) is dat filmpje waarbij iemand zegt: "beweeg de muis naar boven", en hij dus braaf die muis in de lucht steekt.

Daarentegen mogen we wel wat meedenken met die overheid, want als straks je AOW of je pensioen gehackt is, en er staat saldo nul, dan moet je ook weer langzaam gaan denken aan dat je dementerende familie dan maar weer in huis moet nemen. Wat dan mogelijk weer ten koste kan gaan van je arbeidsproductiviteit. Of je innovatievermogen!

Op dat gebied mag de IT wereld ook wel eens wat klantgerichter gaan denken ten opzichte van de overheid. In plaats van mooie geldezel voor het zoveelste mislukte project want die ambtenaren waren ongelofelijk stom.
22-10-2018, 20:08 door [Account Verwijderd]
Een wachtwoordmanager met inlogzin en een USB authenticatie en dan binnen de wachtwoordmanager de wachtwoorden laten genereren van minimaal 128 Bit en elke login een eigen wachtwoord en 2FA wanneer mogelijk. Vervolgens elk jaar op de eerste werkdag de wachtwoorden wijzigen. Kost je een halfuurtje per jaar maximaal en het risico is vrijwel naar nul gereduceerd.
22-10-2018, 21:09 door karma4
Door Bitwiper: …..
Overigens vind ik het schandalig dat er nog besturingssystemen worden uitgeleverd zonder fatsoenlijke wachtwoordmanager aan boord. En dan bedoel ik niet die in webbrowsers ingebouwde krengen die CSRF en andere wachtwoordlek-aanvallen een peuleschil maken.
SSO maakt elke wachtwoordmanager overbodig. Het is best veel meer werk om dat op de achtergrond ingeregeld te krijgen. Niet elke technische opzet leent zich daarvoor. Sommige OS omgevingen hebben het als standaard als applicatieve richtlijn andere missen een daarvoor de basis in de architectuur waardoor er een lappendeken onstaat.
22-10-2018, 23:40 door Anoniem
SSO verhelpt het probleem ook niet helemaal, uiteindelijk is een wachtwoord voor een aanvaller ook slechts een middel en geen doel. Overal ntlm hashes en Kerberos-tokens te pas en te onpas ongevraagd automagisch rondstrooien helpt ook niet echt.
23-10-2018, 01:30 door Bitwiper
Door karma4:
Door Bitwiper: …..
Overigens vind ik het schandalig dat er nog besturingssystemen worden uitgeleverd zonder fatsoenlijke wachtwoordmanager aan boord. En dan bedoel ik niet die in webbrowsers ingebouwde krengen die CSRF en andere wachtwoordlek-aanvallen een peuleschil maken.
SSO maakt elke wachtwoordmanager overbodig.
Wat ongelofelijk briljant! Dat we daar met z'n allen nog niet aan gedacht hebben! Goed dat je op deze site zit! (notnotnot)

De feiten. Microsoft's SSO stuurt, ongevraagd, jouw en mijn NTLM hash naar elke "server" die het maar weten wil (keywords: o.a PtH, SPNEGO, RFC4559; voorbeeld: https://www.contextis.com/en/blog/downgrade-spnego-authentication). Zo naïef gebruiksgemak vóór beveliging laten gaan is nog veel stommer dan een modem/router met onvoldoende CSRF beveiliging op de beheer-webinterface. Vele - op Microsoft software gebaseerde - bedrijfsnetwerken zijn al en zullen nog worden gepwned door deze (wannacry) "features".

Bespaar ons alsjeblieft dat Redmond de vele wachwoorden, die lusers voor veel te veel websites moeten onthouden, met hun crappy SSO ook nog eens over de muur gaat flikkeren. En nee, als iets een certificaat heeft is het niet per definitie vertrouwd - ActiveX/OCX weet je nog?

Omdat jij, zodra jij jouw gelijk niet krijgt, altijd de schuld geeft aan allesbehalve Microsoft (IBM, Google, Amazon, Facebook, Apple, IoT en niet te vergeten open source), en elke interessante discussie doodslaat met jouw gebral (recentelijk nog jouw reactie boven https://www.security.nl/posting/583038#posting583367), ga ik niet verder met jou in discussie. Tip: reageer niet meer op mijn bijdragen, dat is zonde van ons beider tijd.
23-10-2018, 06:23 door [Account Verwijderd]
[Verwijderd door moderator]
23-10-2018, 07:34 door karma4
Door Bitwiper: ....
Omdat jij, zodra jij jouw gelijk niet krijgt, altijd de schuld geeft aan allesbehalve Microsoft (IBM, Google, Amazon, Facebook, Apple, IoT en niet te vergeten open source), en elke interessante discussie doodslaat met jouw gebral (recentelijk nog jouw reactie boven https://www.security.nl/posting/583038#posting583367), ga ik niet verder met jou in discussie. Tip: reageer niet meer op mijn bijdragen, dat is zonde van ons beider tijd.
Elk interessant onderwerp wordt in een Microsoft bashing onerwerp verdraaid. Dat heeft niets met beveiliging te maken.

De password policy zoals het ncsc nu voor het verplicht bijwerken brengt is eerder door het nist zo gebracht
Het zijn de oude vinkenlijstjesvolgers die daar problemen mee hebben. Saf calls in de basis van een os betreft mvs nu z/os en bestond ook in mvs. Ik heb hierboven geen microsoft genoemd.

Het fraaie in een ander os is die beperking met users passwords. Hard coded opnemen in config standaard installaties. Zelfs een kleine organisatie heeft al snel honderden applicatie die met anderhalve man en paardenkop beheerd moeten worden. Dat ga je echt niet redden met te zeggen dat elke applicatie het zelf moet uitzoeken.
23-10-2018, 08:42 door Anoniem
Als toevoeging aan dere discussie, waar nu ook diverse wachtwoord authenticatie systemen genoemd worden, hier deze.

Bovenstaande SSO is goed tot een zeker niveau. Kijk ook eens naar SQRL (https://www.grc.com/sqrl/sqrl.htm). De geestelijk vader van deze variatie biedt het idee aan zoals het is.

Op dit moment zijn er partijen hiermee bezig om dit goed te implementeren, hopelijk gauw met resultaat.
23-10-2018, 08:52 door Anoniem
Bij ING.NL hebben ze sinds kort het wachtwoord teruggebracht naar Max 20 karakters.
Hun stelling is dat die 20 maximale zekerheid biedt,en alles daarboven niets toevoegt. Klopt dit ?
23-10-2018, 10:12 door Anoniem
Door Anoniem: Bij ING.NL hebben ze sinds kort het wachtwoord teruggebracht naar Max 20 karakters.
Hun stelling is dat die 20 maximale zekerheid biedt,en alles daarboven niets toevoegt. Klopt dit ?

Heeft te maken met entropie in wachtwoorden, en de lengte van wachtwoorden welke deze entropie verhogen.
Denk eens aan dictionary attacks. Alle permutaties met wachtwoorden t/m 20 tekens. Dit zijn veel mogelijkheden.

Verder ook op de manier hoe ING haar wachtwoord beleid uitvoert. En de implementatie in haar software.
Slim is wel om dan ook wachtwoorden met 20 tekens te gebruiken. Anders maakt men het aanvallers wel heel makkelijk.
23-10-2018, 10:16 door Anoniem
Door Anoniem: Bij ING.NL hebben ze sinds kort het wachtwoord teruggebracht naar Max 20 karakters.
Hun stelling is dat die 20 maximale zekerheid biedt,en alles daarboven niets toevoegt. Klopt dit ?

Klopt dit? Nee. De ING kan beweren wat ze wil, maar dat dit maximale zekerheid biedt, is onzin.
23-10-2018, 10:29 door buttonius - Bijgewerkt: 23-10-2018, 10:30
Door Anoniem: Bij ING.NL hebben ze sinds kort het wachtwoord teruggebracht naar Max 20 karakters.
Hun stelling is dat die 20 maximale zekerheid biedt,en alles daarboven niets toevoegt. Klopt dit ?
Ja. Het staat er echt: https://www.ing.nl/de-ing/veilig-bankieren/5bs-van-veilig-bankieren/bescherm-je-codes/hoe-sterk-is-jouw-wachtwoord.html

Kennelijk zijn de ITers bij ING te dom om een hash te berekenen van een string van meer dan 20 tekens. Toch zuur voor die klanten die graag een pass phrase willen gebruiken.
23-10-2018, 11:07 door Anoniem
Door buttonius:
Door Anoniem: Bij ING.NL hebben ze sinds kort het wachtwoord teruggebracht naar Max 20 karakters.
Hun stelling is dat die 20 maximale zekerheid biedt,en alles daarboven niets toevoegt. Klopt dit ?
Ja. Het staat er echt: https://www.ing.nl/de-ing/veilig-bankieren/5bs-van-veilig-bankieren/bescherm-je-codes/hoe-sterk-is-jouw-wachtwoord.html

Kennelijk zijn de ITers bij ING te dom om een hash te berekenen van een string van meer dan 20 tekens. Toch zuur voor die klanten die graag een pass phrase willen gebruiken.

Het heeft niet met Dom te maken, want was de waarde van een password dat langer is dan 20 karakters als ze misschien de beveiliging zo hebben ingestelde dat ze detecteren dat je een wachtwoord langer dan 20 karakters aan het invoeren bent?
23-10-2018, 11:08 door Anoniem
Door Anoniem:

Klopt dit? Nee. De ING kan beweren wat ze wil, maar dat dit maximale zekerheid biedt, is onzin.

ING heeft 1 van de beste cybersecurity specialisten in huis. Die weten echt wel wat ze aan het doen zijn.
23-10-2018, 12:58 door Anoniem
Nou, ik wissel regelmatig mijn wachtwoorden, en dat blijf ik doen.
Als je je wachtwoord niet vaak wijzigd en je hoort soms na jaren over een hack en de website eigenaar heeft brakke beveiliging dan is de ellende niet te overzien.

Als, als alles goed werkt en er zijn goede compenserende maatregelen kun je inderdaad beter niet te vaak je wachtwoord wijzigen.
23-10-2018, 13:01 door Anoniem
Door karma4:
Door Bitwiper: …..
Overigens vind ik het schandalig dat er nog besturingssystemen worden uitgeleverd zonder fatsoenlijke wachtwoordmanager aan boord. En dan bedoel ik niet die in webbrowsers ingebouwde krengen die CSRF en andere wachtwoordlek-aanvallen een peuleschil maken.
SSO maakt elke wachtwoordmanager overbodig. Het is best veel meer werk om dat op de achtergrond ingeregeld te krijgen. Niet elke technische opzet leent zich daarvoor. Sommige OS omgevingen hebben het als standaard als applicatieve richtlijn andere missen een daarvoor de basis in de architectuur waardoor er een lappendeken onstaat.

"best wel veel werk"?
Het is onbegonnen werk om al mijn accounts te koppelen aan een (1) SSO. Je ziet het nu al met websites die SSO aanbieden maar me verplichten wel een account bij Facebook hiervoor aan te maken. Of ze bieden twee opties, Facebook en Twitter. Ik heb er nog geen gezien die een SSO van Microsoft aanbiedt, of je moet LinkedIn als zodanig zien.

Vervolgens zijn al die SSO's natuurlijk weer het perfecte doelwit.
Nee, dan heb ik liever een passwordmanager die de mogelijkheid van synchonisatie biedt op een door mij beheerde omgeving.

Peter
23-10-2018, 14:12 door Anoniem
Door buttonius:
Door Anoniem: Bij ING.NL hebben ze sinds kort het wachtwoord teruggebracht naar Max 20 karakters.
Hun stelling is dat die 20 maximale zekerheid biedt,en alles daarboven niets toevoegt. Klopt dit ?
Ja. Het staat er echt: https://www.ing.nl/de-ing/veilig-bankieren/5bs-van-veilig-bankieren/bescherm-je-codes/hoe-sterk-is-jouw-wachtwoord.html

Kennelijk zijn de ITers bij ING te dom om een hash te berekenen van een string van meer dan 20 tekens. Toch zuur voor die klanten die graag een pass phrase willen gebruiken.

Er zijn andere redenen waarom ze dit stellen. Jaren geleden met ING gewerkt aan het doorvoeren van de wachtwoord policy. Hierin werd gesteld dat de minimale lengte 8 karakters was. Echter waren er toen nog systemen die technisch een wachtwoord van 8 karakters toelaten. Oplossing: maak het wachtwoord minimaal 8 en maximaal 8 karakters... Hoe veilig kan je het maken.Minder combinaties mogelijk dan minimaal 6 en maximaal 8.
23-10-2018, 14:16 door Anoniem
Door Anoniem: Nou, ik wissel regelmatig mijn wachtwoorden, en dat blijf ik doen.
Als je je wachtwoord niet vaak wijzigd en je hoort soms na jaren over een hack en de website eigenaar heeft brakke beveiliging dan is de ellende niet te overzien.

Als, als alles goed werkt en er zijn goede compenserende maatregelen kun je inderdaad beter niet te vaak je wachtwoord wijzigen.

Ben het met jou eens, wachtwoorden moet je vaak wijzigen.
23-10-2018, 15:46 door Anoniem
Door Anoniem: Nou, ik wissel regelmatig mijn wachtwoorden, en dat blijf ik doen.
Als je je wachtwoord niet vaak wijzigd en je hoort soms na jaren over een hack en de website eigenaar heeft brakke beveiliging dan is de ellende niet te overzien.

Dat mag je best doen natuurlijk. Voor security domeinen waarvan je kwaliteit van de compenserende maatregelen niet kent , of waarvan een breach voor jou erg kostbaar is , is dat nog steeds verstandig.


Als, als alles goed werkt en er zijn goede compenserende maatregelen kun je inderdaad beter niet te vaak je wachtwoord wijzigen.

Het advies is meer dat het *afdwingen* van frequente wijzigingen binnen organisaties qua security niet noodzakelijk is - en al snel contra-productief wordt - als er compenserende maatregelen zijn . Contra-productief omdat gebruikers dan overstappen op simpele schema's .

Wanneer jij als gebruiker wel vaak je password kunt/wilt wijzigen (met behoud van entropie/veilige opslag e.d.) is dat technisch nog steeds 'beter'. Maar _beleid voor een organisatie_ maak je op basis van wat gegeven de hele populatie van gebruikers het beste bereikbare resultaat geeft.
En veel security beleidsmakers spenderen enorm veel krediet en geloofwaardigheid aan onnodig strak zitten op klassieke password procedures.
Soms met de misvatting dat als ze dat maar voor elkaar hebben security 'klaar' is.

- Als iedereen het talent en de reflexen van Max Verstappen had zou de verkeerswetgeving er anders uit kunnen zien...

Het is prettig dat het NCSC dit standpunt (ook) formuleert - gewoon omdat 'NCSC zegt' op een hoop plekken waar de procedures sinds de jaren 80 bevroren zijn meer gewicht heeft dan alle logica of ervaring die een individuele medewerker/security officer kan inbrengen.
24-10-2018, 01:37 door Anoniem
Argumenten zijn nodig om nieuw beveiligings beleid te maken,en door te drukken
dus wachtwoorden zijn niet veilig genoeg is hun argument.

Het volk zal het wel weer slikken,
ik heb niets te verbergen,privacy wat is dat?
Oh ja algoritmes het nieuwe werken,nee daar kan je niet zonder meer mee.

Het opschrijven van wachtwoorden op papier is nog altijd beter
dan wachtwoord manager software.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.