image

Microsoft: periodiek wijzigen wachtwoorden zo goed als zinloos

donderdag 25 april 2019, 10:07 door Redactie, 24 reacties

Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zo goed als zinloos is, aldus Microsoft. De softwaregigant heeft dan ook besloten om het wachtwoordverloopbeleid waardoor Windows-gebruikers periodiek gedwongen kunnen worden om hun wachtwoord te wijzigen uit de security baseline van Windows 10 versie 1809 en Windows Server 2019 te verwijderen.

"Als mensen gedwongen worden om hun wachtwoorden te wijzigen, maken ze te vaak kleine en voorspelbare aanpassingen aan hun bestaande wachtwoorden en/of vergeten hun nieuwe wachtwoorden", zegt Microsofts Aaron Margosis. Hij wijst naar onderzoek waaruit blijkt dat er betere alternatieven zijn voor het periodiek wijzigen van wachtwoorden, zoals het handhaven van een lijst met verboden wachtwoorden en het gebruik van multifactorauthenticatie.

Om organisaties te helpen bij hun beveiliging biedt Microsoft een zogeheten "security baseline" met aanbevolen instellingen. Het gaat dan onder andere om allerlei group policies. De group policy voor het periodiek wijzigen van wachtwoorden is in de nieuwste versie van de baseline verwijderd. Volgens Margosis heeft deze functie nauwelijks enige waarde. Het biedt namelijk alleen bescherming als een wachtwoord of wachtwoordhash is gestolen tijdens de periode dat die geldig is en vervolgens door een aanvaller wordt gebruikt.

Als een wachtwoord echter nooit gestolen wordt is er ook geen reden om het verplicht te laten vervangen. En als blijkt dat een wachtwoord wel is gestolen, dan zullen de meeste organisaties of gebruikers meteen in actie komen en het veranderen, in plaats van te wachten tot de ingestelde periode verloopt. Het is dan ook de vraag hoeveel bescherming het periodiek wijzigen van wachtwoorden biedt.

"Het periodiek wijzigen van wachtwoorden is een verouderde en overbodige maatregel die zeer weinig waarde heeft, en we denken dat het niet zinvol is voor onze baseline om een bepaalde waarde te handhaven. Door het van onze baseline te verwijderen in plaats van een bepaalde waarde of helemaal geen expiratie aan te bevelen, kunnen organisaties kiezen wat het beste aan hun beoogde wensen tegemoet komt zonder dat het tegenstrijdig met ons advies is", aldus Margosis.

Eind vorig jaar adviseerde het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid ook al om het periodiek wijzigen van wachtwoorden niet langer te verplichten en deze maatregel te vervangen door compenserende maatregelen.

Reacties (24)
25-04-2019, 10:15 door Anoniem
Dat klinkt heel logisch, maar hoeveel mensen komen op tijd te weten dat hun wachtwoord gestolen werd?
Het is een vangnet-principe: als je weet dat je wachtwoord gelekt is; verander het dan meteen. Maar omdat je gewoon niet altijd opde hoogte kan zijn: verander het toch 'regelmatig'. En al is dat jaarlijks of 2x per jaar, zelfs dat helpt voorkomen dat je gehackt wordt met een wachtwoord dat al jaren meegaat.
Daarnaast zie ik ook weinig problemen met kleine aanpassingen aan een wachtwoord. Als iemand actief je wachtwoord wilt gaan misbruiken, dan gaan ze daar snel doorkijken. Maar als het om passwordstuffing gaat, helpt die ene kleine wijziging wel degelijk.
100% veilig gaat niet, maar je moet wel je best doen om de risico's te beperken.

Elke maand vervangen lijkt me voor de doorsnee gebruiker inderdaad overbodig, 2x/jaar zou niet slecht zijn.
25-04-2019, 10:38 door Anoniem
Hier wordt uitgegaan van 2 aannames
- De gebruiker weet dat zijn wachtwoord is gestolen
- De gebruiker weet dat zijn wachtwoord niet is gestolen
Maar er wordt hier niet gesproken over als de gebruiker het NIET weet.
Dan maak ik toch liever gebruik van een verouderde en overbodig maatregel.
25-04-2019, 11:21 door Anoniem
Wat zegt Microsoft nou eigenlijk wakker Nederland?

-------------- ALS een wachtwoord echter NOOIT gestolen wordt is er ook geen reden om het verplicht te laten vervangen. --------------
Huh ?
Hoe weet je dat dat nooit GAAT gebeuren??
Heeft iedereen een kristallen bol volgens Microsoft??

--------- Het is dan ook de vraag HOEVEEL bescherming het PERIODIEK wijzigen van wachtwoorden biedt. --------------
Hoeveel is periodiek?
En ja, hoe goed zijn je gegevens eigenlijk beschermd door Microsoft?


Dus vertrouw ze nou maar gewoon. En geef toch vooral maar meer gegevens aan ze af. Toch?
25-04-2019, 12:14 door Anoniem
Als je de herziene security baseline doorneemt, dan wordt aangegeven dat de baseline slechts een onderdeel is van een grotere set aan maatregelen. Het vervallen van het periodiek veranderen van wachtwoorden zal aangevuld moeten worden met bv. sterke langere wachtwoorden met MFA.
25-04-2019, 13:07 door karma4
Kritische nadenkers:
- Een wacht veranderen is een kritisch moment. Dat willen afdwingen zal altijd op een ongunstig moment komen.
Dat ongunstige moment is het moment voor kwaadwillenden. Oplossing: voorkom dat moment.
- Een wachtwoord is hoe dan ook ergens bekend tussen stoel toetsenbord en de verwerking.
Zou het niet bekend zijn dan zou je het ook niet kunnen controleren.
- Het massaal afdwingen van iets op een vinkenlijstje zonder het doel te weten werkt gewoonlijk averechts.
Het argument omdat dan een verouderde overbodige maatregel in te zetten omdat je nooit zeker weet , toont de weerstand tegen het gezond bijleren van oa NCSC NIST en anderen
https://pages.nist.gov/800-63-3/sp800-63b.html 10.2.1. Let op er is een nieuwe belangrijke standaard. Inlogpogingen hebben een minimum vereiste vertraging tot de volgende poging.

Door Anoniem: Wat zegt Microsoft nou eigenlijk wakker Nederland?
..
En ja, hoe goed zijn je gegevens eigenlijk beschermd door Microsoft?
...
Als jet NIST en de gehele security gemeenschap hoofdstuk 11.1 als een Microsoft gebeuren zit ben je gehackt door linus of heb je last van een nare bug. In ieder geval kloppen de gelegde verbindingen van geen kant..Tijd voor een revisie.
25-04-2019, 13:11 door [Account Verwijderd]
Door karma4: Als jet NIST en de gehele security gemeenschap hoofdstuk 11.1 als een Microsoft gebeuren zit ben je gehackt door linus of heb je last van een nare bug. In ieder geval kloppen de gelegde verbindingen van geen kant..Tijd voor een revisie.

Leg dit schrijfsel eens uit? Ik lees het als wartaal maar misschien mis ik iets.
25-04-2019, 13:24 door Anoniem
Door karma4: Kritische nadenkers:

Als jet NIST en de gehele security gemeenschap hoofdstuk 11.1 als een Microsoft gebeuren zit ben je gehackt door linus of heb je last van een nare bug. In ieder geval kloppen de gelegde verbindingen van geen kant..Tijd voor een revisie.

Hmm, het eerste deel van de zin is totaal onleesbaar. Hoofdstuk 11.1 is alelen een lijst met referenties, moet ik die artikelen eerst allemaal gaan lezen?

Beste karma4, ga nu eens in duidelijke taal schrijven zonder spelling- en grammatica fouten, dat scheelt echt enorm. Nu zorg je enkel voor irritatie.
25-04-2019, 14:00 door karma4 - Bijgewerkt: 25-04-2019, 14:01
Door Kapitein Haddock:
Door karma4: Als jet NIST en de gehele security gemeenschap hoofdstuk 11.1 als een Microsoft gebeuren zit ben je gehackt door linus of heb je last van een nare bug. In ieder geval kloppen de gelegde verbindingen van geen kant..Tijd voor een revisie.
Leg dit schrijfsel eens uit? Ik lees het als wartaal maar misschien mis ik iets.
Er bestaan Linux evangelisten die bij elk berichtje waar het bedrijf Microsoft compleet doorslaan.
Als we Geeks gaan praten dan lijkt het er op dat:
- ze bezeten zijn door andere personen na te lopen, Torvald / Stallman
- er een rare konkel in hun algoritme redenering zit. Veroorzaakt door malware of een bug.
Als er een rare kronkel in een algoritme zit moet je dat terugnemen en verbeteren ofwel reviseren.
Zoiets zou je met je auto of een machine ook doen. Werkt het niet goed dan naar de reparatie - revisie.

Meer terzake: Heb je dat Nist verhaal al doorgewerkt?
25-04-2019, 14:04 door Anoniem
Door Anoniem: Hier wordt uitgegaan van 2 aannames
Maar er wordt hier niet gesproken over als de gebruiker het NIET weet.
Dan maak ik toch liever gebruik van een verouderde en overbodig maatregel.
Vandaar dat Microsoft multifactor aanbeveeldt, daar heb je meer aan dan verplicht wijzigen.
Stel je hebt een keylogger op je bak: dan kun je het wel periodiek wijzigen (zoals jij dus liever blijft doen), maar dan hebben ze doodleuk dat wachtwoord opnieuw buitgemaakt.
Bij multifactor maakt dat niet uit, aangezien de aanvaller niet over jouw mobiel beschikt.
Dat is dis precies wat Microsoft bedoelt: het verplicht periodiek wijzigen van een wachtwoord heeft vrijwel geen nut.
25-04-2019, 14:07 door Anoniem
Door Anoniem:Daarnaast zie ik ook weinig problemen met kleine aanpassingen aan een wachtwoord.
Oneens, hoeveel mensen gebruiken [naamhuisdier | kind | maand] + 01, 02 etc.
Met een bruteforce of table makkelijk te scripten.
25-04-2019, 14:09 door [Account Verwijderd] - Bijgewerkt: 25-04-2019, 14:10
Door karma4:
Door Kapitein Haddock:
Door karma4: Als jet NIST en de gehele security gemeenschap hoofdstuk 11.1 als een Microsoft gebeuren zit ben je gehackt door linus of heb je last van een nare bug. In ieder geval kloppen de gelegde verbindingen van geen kant..Tijd voor een revisie.
Leg dit schrijfsel eens uit? Ik lees het als wartaal maar misschien mis ik iets.
Er bestaan Linux evangelisten die bij elk berichtje waar het bedrijf Microsoft compleet doorslaan.

JIJ begint in een Microsoft thread over Linux.

Door karma4: Als we Geeks gaan praten dan lijkt het er op dat:
- ze bezeten zijn door andere personen na te lopen, Torvald / Stallman
- er een rare konkel in hun algoritme redenering zit. Veroorzaakt door malware of een bug.
Als er een rare kronkel in een algoritme zit moet je dat terugnemen en verbeteren ofwel reviseren.
Zoiets zou je met je auto of een machine ook doen. Werkt het niet goed dan naar de reparatie - revisie.

Er is duidelijk iets mis met jou (in de paranoia en wanen hoek).

Door karma4: Meer terzake: Heb je dat Nist verhaal al doorgewerkt?

Nee.
25-04-2019, 14:56 door Anoniem
Ach, als je wachtwoord of mail-account niet voorkomt op haveibeenpawned.com dan kun je met aan zekerheid grenzende waarschijnlijkheid wel aannemen dat je wachtwoord niet gecompromiteerd is. In dat licht bezien kan ik me wel vinden in deze policy.
25-04-2019, 17:45 door karma4
Door Kapitein Haddock:
Er is duidelijk iets mis met jou (in de paranoia en wanen hoek).
Door karma4: Meer terzake: Heb je dat Nist verhaal al doorgewerkt?
Nee.
Met mij is niets mis ofwel ik kan er mee leven. Overigens bedankt voor je antwoord dat je niet naar dat NIST document gekeken hebt. Het geeft een duidelijk antwoord waar je belangstelling ligt. Dat is niet bij security - informatieveiligheid.
25-04-2019, 19:17 door [Account Verwijderd] - Bijgewerkt: 25-04-2019, 19:18
Door karma4:
Door Kapitein Haddock:
Er is duidelijk iets mis met jou (in de paranoia en wanen hoek).
Door karma4: Meer terzake: Heb je dat Nist verhaal al doorgewerkt?
Nee.
Met mij is niets mis ofwel ik kan er mee leven. Overigens bedankt voor je antwoord dat je niet naar dat NIST document gekeken hebt. Het geeft een duidelijk antwoord waar je belangstelling ligt. Dat is niet bij security - informatieveiligheid.

Jij leeft zo in je eigen waan dat je denkt dat alles wat je aandraagt in een discussie voor anderen meteen relevant genoeg is om alles te laten vallen om erop in te gaan. Nou, de realiteit is dat het op zich een interessant document is (wat ik ook heb opgeslagen) maar in de context van deze discussie is het irrelevant. Want het is Microsoft die bepaalde wijzigingen zal doorvoeren (of niet) en niet wij, de gebruikers.
25-04-2019, 20:05 door karma4
Door Kapitein Haddock:
Jij leeft zo in je eigen waan dat je denkt dat alles wat je aandraagt in een discussie voor anderen meteen relevant genoeg is om alles te laten vallen om erop in te gaan. Nou, de realiteit is dat het op zich een interessant document is (wat ik ook heb opgeslagen) maar in de context van deze discussie is het irrelevant. Want het is Microsoft die bepaalde wijzigingen zal doorvoeren (of niet) en niet wij, de gebruikers.
Nou nee Microsoft is geen leider in dat soort beleid, ze alten de keuzes open en zullen standaard instellingen voor nieuwe anders gaan insteken. Het is overigens net zo'n verhaal waar ik genoeg ellende van meegemaakt heb.
Beleidsmakers (nist) hebben het gebruik van de shell (ja Linux) als gevaarlijk bestempeld. Iets wat je volledig moet dichttimmeren voor eindgebruikers. Toen kwam het big data gebruik op met analisten als eindgebruikers . Iedereen staat naar een ander te wijzen dat het niet mag. Het zelfde heb ik meegemaakt met html web, vreselijk gevaarlijk elk gebruik moest onmogelijk gemaakt worden. Achteraf ziet iedereen hoe onzinnig het is met dat soort vinkenlijstjes …. mag niet..

O ja, een jaarlijks gebruik met user-wachtwoord, daar moest een password change policy op van elke 2 maanden.
Het wijzigen kon een week of twee duren maar op het moment dat het nodig was moest jet het binnen een week doen.
Mooi dat soort policies, complete pesterijtjes.
25-04-2019, 21:26 door Anoniem
Door karma4: Er bestaan Linux evangelisten die bij elk berichtje waar het bedrijf Microsoft compleet doorslaan.
Je legt iets onbegrijpelijks uit en dan kom je nog steeds met rammelende zinnen. Volgens mij ontbreekt er iets tussen de woorden "Microsoft" en "compleet". Je vermogen om goed Nederlands te produceren fluctueert nogal. Is het probleem misschien dat je dit gepost hebt terwijl je daar eigenlijk te veel voor gedronken had?

Volkomen duidelijk is dat jij heel vaak doorslaat als Microsoft wordt genoemd en dan over Linuxevangelisten (dat schrijf je aan elkaar in het Nederlands) begint te zeiken. Je wacht niet eens tot die evangelisten beginnen te preken maar je kan niet wachten om daar zelf met jouw gepreek te beginnen. Je vertoont zelf evangelistengedrag.

Karma4, je bent geen haar beter dan de mensen op wie je kritiek hebt.
25-04-2019, 21:30 door Anoniem
Wat ik een beetje mis in het verhaal (en de hele discussie die er op volgt) is dat mensen elkaar uit gemaks overwegingen nog wel eens vrijwillig wachtwoordgegevens geven. De kans daarop is vele malen groter dan wachtwoord diefstal, maar er ontstaat daardoor ook zowel een beveiligings- als een authorisatie lek. En de enige vuurvaste methode die daar dan weer tegen helpt, is een periodieke wachtwoordwijziging. (waarna de hele dans weer overnieuw begint)

Ik ben het trouwens er verder wel mee eens dat het niet zoveel bijdraagt verder voor de rest.
25-04-2019, 21:55 door Anoniem
Dit roep ik al jaren. Als je een sterk wachtwoord gebruikt/afgedwongen wordt is het onzin om dat te wijzigen. Als je het wel moet wijzigen is het per defintie geen sterk wachtwoord. Kies maar.
26-04-2019, 08:33 door [Account Verwijderd]
Door Anoniem: Dit roep ik al jaren. Als je een sterk wachtwoord gebruikt/afgedwongen wordt is het onzin om dat te wijzigen. Als je het wel moet wijzigen is het per defintie geen sterk wachtwoord. Kies maar.

Dat plus een goede voorziening om gebruik van dat wachtwoord (bv. voor inloggen) te registreren. Zodat je het kan zien als er iets mis is (waarop je het wachtwoord zou moeten wijzigen).
26-04-2019, 09:19 door Anoniem
Door Anoniem: Hier wordt uitgegaan van 2 aannames
- De gebruiker weet dat zijn wachtwoord is gestolen
- De gebruiker weet dat zijn wachtwoord niet is gestolen
Maar er wordt hier niet gesproken over als de gebruiker het NIET weet.
Dan maak ik toch liever gebruik van een verouderde en overbodig maatregel.

compleet irrelevant.
als jij elke maand je wachtwoord moet vervangen en op dag 1 wordt je wachtwoord gestolen, dan weet je dan ook 27-30 dagen niet en is er NULL bescherming.
Zolang je niet inlogt wordt deze 'bs-bescherming' ook niet geactiveerd, dus log 1 x per jaar in, ben ik 364 dagen onbeschermd.
26-04-2019, 10:35 door karma4
Door Anoniem: [Je legt iets onbegrijpelijks uit en dan kom je nog steeds met rammelende zinnen. Volgens mij ontbreekt er iets tussen de woorden "Microsoft" en "compleet".

Karma4, je bent geen haar beter dan de mensen op wie je kritiek hebt.
Nee er ontbreekt niets. Het woord Microsoft dan wel Windows lijkt bij bepaalde figuren tot compleet doorslaan te leiden.
Gezien je persoonlijke aanval is de conclusie dat ik het bij het rechte eind heb. Ook daar ontbreekt niets.
26-04-2019, 16:51 door Anoniem
Door karma4:
Door Anoniem: [Je legt iets onbegrijpelijks uit en dan kom je nog steeds met rammelende zinnen. Volgens mij ontbreekt er iets tussen de woorden "Microsoft" en "compleet".

Karma4, je bent geen haar beter dan de mensen op wie je kritiek hebt.
Nee er ontbreekt niets.
Wat dacht je van zoiets als "in genoemd wordt"? Je zin zou dan worden:
Er bestaan Linux evangelisten die bij elk berichtje waar het bedrijf Microsoft in genoemd wordt compleet doorslaan.
Er kunnen ook andere dingen ingevuld worden, maar het is volstrekt duidelijk dat er op die plek in de zin iets ontbreekt, het is grammaticaal geen goede zin zonder iets op die plaats. Is je Nederlands zo abominabel slecht dat je dat niet kan onderscheiden?
Het woord Microsoft dan wel Windows lijkt bij bepaalde figuren tot compleet doorslaan te leiden.
Gezien je persoonlijke aanval is de conclusie dat ik het bij het rechte eind heb. Ook daar ontbreekt niets.
Ik reageerde niet op het woord Microsoft of Windows, ik reageerde op jou.
26-04-2019, 19:43 door karma4
Door Anoniem:...Ik reageerde niet op het woord Microsoft of Windows, ik reageerde op jou.
Er ontbreekt niets de letters Microsoft of Windows leidt al tot een allergische reactie. Als ze zouden kunnen bedenken dat het om een bedrijf gaat is er met die allergie iets raars aan de hand. Intussen heb ik bij die personen nog een extra allergie gekweekt door er op te reageren dat ze een allergie hebben.
Dan krijg je de persoonlijke aanvallen. Ik heb je in dat hokje gezet.
26-04-2019, 20:27 door Anoniem
Door karma4: Er ontbreekt niets de letters Microsoft of Windows leidt al tot een allergische reactie.
Jij bent degene die nu compleet aan het doorslaan is. Er ontbreekt werkelijk wat in die zin, en in vele andere zinnen die je schrijft (soms is het een totale warboel), en ik reageerde werkelijk op jou.

Fijn dat je me in een hokje hebt gezet, maar je bent stekeblind voor het hokje waar je zelf in vast zit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.