Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Password veranderen

26-02-2021, 14:53 door Anoniem, 9 reacties
Wij hebben een policy dat medewerkers op hun laptop eens om de drie maanden hun windows wachtwoord moeten veranderen op hun laptop.
Nu kunnen ze hun wachtwoord op de laptop alleen wijzigen als ze fysiek bij ons op locatie zijn. Nu met Corona lijkt dat ons niet zo handig.

Hoe kunnen gebruikers toch hun wachtwoord veranderen op een veilige manier en dat dit ook in onze AD wordt aangepast? (Iets met multifactor authenticatie bijvoorbeeld?)

Hoe gaan jullie om met wachtwoorden veranderen in Corona tijd op WIndows machines?
Reacties (9)
26-02-2021, 16:55 door Anoniem
Door Anoniem: Wij hebben een policy dat medewerkers op hun laptop eens om de drie maanden hun windows wachtwoord moeten veranderen op hun laptop.
Nu kunnen ze hun wachtwoord op de laptop alleen wijzigen als ze fysiek bij ons op locatie zijn. Nu met Corona lijkt dat ons niet zo handig.

Hoe kunnen gebruikers toch hun wachtwoord veranderen op een veilige manier en dat dit ook in onze AD wordt aangepast? (Iets met multifactor authenticatie bijvoorbeeld?)

Hoe gaan jullie om met wachtwoorden veranderen in Corona tijd op WIndows machines?

Hangt van je omgeving af ...

Ik ken de backends van Windows omgevingen niet zo goed , maar blijkbaar is er in jullie opzet iets dat niet synchroniseert tussen lokaal/off-line password en AD ?

Waar ik de laatste tijd werkte werd Office 365 gebruikt, en password wijzigingen daar syncten ook naar AD.
(en vice versa).

Min of meer hetzelfde, maar als bij jullie Outlook web access gebruikt wordt en je daarin wijzigt is dat direct een wijziging in AD.

Ik zou denken/verwachten dat zolang de laptop in het domein hangt en daar zo af en toe in komt (VPN ?) zo'n wijziging dan ook doorkomt op de laptop en de off-line password cache.

Dus ja , het kan gewoon - mits de omgeving handig ingericht is.

Wat je wilt voorkomen is dat AD en lokaal password gaan verschillen terwijl het voor de gebruiker heel onduidelijk is welke gebruikt moet worden.
Misschien kun je afdwingen dat "laptop" passwords alleen gewijzigd kunnen worden als er een verbinding met AD is (vpn actief) .

Of is je omgeving klein genoeg (<10 ?) dat je het met uitleg en educatie kunt oplossen.

Maar als nu je laptops totaal offline werken tenzij de fysiek op kantoor zijn moet je alsnog een VPN of iets dergelijks gaan inrichten.
Of gewoon accepteren dat het "laptop password" en het "kantoor password" twee dingen zijn.
Als mensen ook herkenbaar anders inloggen KA_DOMAIN\jansen en jansen kan je daar misschien gewoon mee leven.

Verder - als mensen helemaal offline werken en gewoon niet remote op kantoor kunnen, waarom is het dan nog belangrijk om hun AD-kantoor-password op drie maans basis te wijzigen ?
26-02-2021, 17:26 door Anoniem
Het ligt inderdaad aan hoe het is ingeregeld.

Wij hebben meerdere manieren een hiervan is dat de VPN opstart tijdens het inladen van de OS, op die manier logt men al in op het domein voordat de laptop wordt ontgrendeld.

Alternatief die we hebben is dat men inlogt via de webmail en daar het wachtwoord aanpast daar dit gelijk is aan de AD gegevens, indien hij is verlopen (wat wij bij sommige klanten hebben ingesteld) dan kan dit worden gecontroleerd en aangepast via de webmail.

Bij verlopen krijg je daar namelijk meteen de prompt dat hij is verlopen en je een nieuw WW moet opgeven.
26-02-2021, 19:27 door Anoniem
Door Anoniem: Wij hebben een policy dat medewerkers op hun laptop eens om de drie maanden hun windows wachtwoord moeten veranderen op hun laptop.

Waarom? Dit gaat direct in tegen het best-practise advies dat al zeker 5 jaar door het NIST wordt uitgebracht.


Nu kunnen ze hun wachtwoord op de laptop alleen wijzigen als ze fysiek bij ons op locatie zijn. Nu met Corona lijkt dat ons niet zo handig.

Hoe kunnen gebruikers toch hun wachtwoord veranderen op een veilige manier en dat dit ook in onze AD wordt aangepast? (Iets met multifactor authenticatie bijvoorbeeld?)

Hoe gaan jullie om met wachtwoorden veranderen in Corona tijd op WIndows machines?

Inloggen met 2 factor (bv. wachtwoord slechts geldig op 1 fysieke laptop) kan een middel zijn. Kijk anders eens naar Windows Hello, zonder je omgeving te kennen valt er weinig over te zeggen.
26-02-2021, 19:32 door Anoniem
Wij hebben een policy dat medewerkers op hun laptop eens om de drie maanden hun windows wachtwoord moeten veranderen op hun laptop. Nu kunnen ze hun wachtwoord op de laptop alleen wijzigen als ze fysiek bij ons op locatie zijn.

Dus de policy is eigenlijk:
Wij hebben een policy dat medewerkers op hun laptop eens om de drie maanden hun windows wachtwoord moeten veranderen op hun laptop, als ze bij ons op locatie zijn.

Als je die policy wilt uitdragen, maak het de gebruiker dan ook gemakkelijk en laat ze één dag in 3 maanden op kantoor werken. Dit is effectief (1 persoon in 90 dagen) 1% van de medewerkers die op locatie aanwezig is. Neem aan dat dit wel valt binnen de Corona-maatregelen.
14-03-2021, 14:40 door Anoniem
Bij ons moet je IT bellen, die gaan dan een nieuw wachtwoord voor je bedenken en via SMS naar je telefoonnummer toesturen die je aan ze doorgeeft....
14-03-2021, 15:56 door Anoniem
Wij hebben een policy dat medewerkers op hun laptop eens om de drie maanden hun windows wachtwoord moeten veranderen op hun laptop.
Het Nederlands Cyber Security Center (NCSC) adviseert periodiek wijzigen van wachtwoorden niet,
omdat het hooguit maar een marginale verbetering geeft, en mensen hierdoor juist vaker gemakkelijke wachtwoorden gaan gebruiken. (namelijk omdat elke keer wéér een ander ingewikkeld (sterk) wachtwoord onthouden te lastig is)
Het NCSC adviseert daarom het gebruik van twee-factor.

Zie:
https://www.ncsc.nl/onderwerpen/authenticatie
https://www.ncsc.nl/binaries/ncsc/documenten/factsheets/2019/juni/01/factsheet-gebruik-tweefactorauthenticatie/20181022+Factsheet-Gebruik-tweefactorauthenticatie.pdf
Zie kader "Advies voor werkplekhouders".
Citaat:
"Tot slot adviseert het NCSC werkgevers om gebruikers niet te dwingen hun wachtwoord periodiek te veranderen. Deze maatregel wordt namelijk vaak als belastend ervaren. Om dit veilig te doen, zijn compenserende maatregelen nodig. Deze staan opgesomd in het kader ‘Advies voor aanbieders van internetdiensten’.
14-03-2021, 15:57 door Anoniem
Door Anoniem: Bij ons moet je IT bellen, die gaan dan een nieuw wachtwoord voor je bedenken en via SMS naar je telefoonnummer toesturen die je aan ze doorgeeft....

Dit kan niet waar zijn!!
14-03-2021, 17:06 door Anoniem
Door Anoniem: Bij ons moet je IT bellen, die gaan dan een nieuw wachtwoord voor je bedenken en via SMS naar je telefoonnummer toesturen die je aan ze doorgeeft....
[X] Ongeschikt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.