image

Purism-cso: Microsoft heeft met slecht beleid wachtwoorden kapotgemaakt

woensdag 22 september 2021, 11:48 door Redactie, 19 reacties

Microsoft kondigde vorige week aan dat gebruikers voortaan zonder wachtwoord op hun account kunnen inloggen, mede omdat wachtwoorden kwetsbaar zijn, maar het is juist Microsoft dat wachtwoorden kapot heeft gemaakt, zegt Kyle Rankin, chief security officer (cso) van computer- en smartphonefabrikant Purism.

Rankin stelt dat Microsoft met slecht wachtwoordbeleid voor Active Directory ervoor heeft gezorgd dat gebruikers uiteindelijk slechte wachtwoordkeuzes maakten. Via Active Directory kunnen systeembeheerders werkstations beheren en beleid vanuit een centrale locatie doorvoeren. "Het eerste wachtwoord dat veel mensen moesten onthouden was degene waarmee ze op hun werkstation inlogden, dus Microsofts wachtwoordbeleid werd gauw de gouden standaard voor wachtwoorden overal, niet alleen op werk", stelt Rankin.

Via Active Directory was het eenvoudig voor organisaties om Microsofts aanbeveling om wachtwoorden elke maand of kwartaal te veranderen door te voeren. Deze "best practices" van Microsoft, zoals het periodiek wijzigen van wachtwoorden en eisen voor wachtwoordcomplexiteit, zorgden ervoor dat gebruikers wachtwoorden kozen die eenvoudig door aanvallers zijn te raden, gaat de Purism-cso verder.

"Systeembeheerders volgden Microsofts best practices zonder vragen en gaven gebruikers, niet het beleid, de schuld van slechte wachtwoorden die het gevolg waren", merkt Rankin op. Hij stelt dat veel systeembeheerders dezelfde wachtwoordregels voor Active Directory ook toepasten voor online accounts. Er werd echter niet stilgestaan bij de gevolgen die dit had voor gebruikers en hoe gebruikers deze regels zouden volgen.

Rankin laat weten dat er nog een reden is dat Microsoft voor een wachtwoordloze toekomst kiest. Namelijk dat deze toekomst afhankelijk is van het vertrouwen in de hardware en leverancier van het besturingssysteem. Zo vereist Windows 11 de aanwezigheid van een TPM (Trusted Platform Module). "Deze vereiste legt nog meer controle over je hardware in de handen van Microsoft. Het is een volgende stap richting het net zo beperkt maken van desktops en laptops als telefoons zijn", waarschuwt Rankin. "In de naam van security en gemak zal je computer steeds minder van jou zijn."

Reacties (19)
22-09-2021, 11:58 door Anoniem
ja dat moeten we nou toch wel weten dat we in de toekomst gaan we naar alleen maar een toetsenbord en pc scherm.
Of tablet ....je hdd of ssd .je opslagruimte staat al in Groningen.....weer zo iets wakker worden..alles ga in en naar cloud.. hallo?
22-09-2021, 12:15 door Anoniem
Ach... Moddergooien, maar dan weer vanuit een andere hoek.


Mijn vraag is hier altijd "Wat is de drijfveer hierachter?"

en...
chief security officer (cso) van computer- en smartphonefabrikant Purism..
Het is een volgende stap richting het net zo beperkt maken van desktops en laptops als telefoons zijn...
Koekoek...
22-09-2021, 12:28 door Anoniem
Mja, in grote lijnen heeft hij zeker een punt dat Microsoft via AD heeft bijgedragen aan verkeerde ww beleiden. Maar...

Aan de andere kant negeert hij wel even Novell en andere systemen die indezelfde periode niet veel andere mogelijkheden boden. Verder noemt hij wel de Microsoft best practices, maar verwijst niet naar welke dan specifiek. Hij noemt ook niet de Password Guidance die vanaf 2016 door gepubliceerd zijn (die sterk lijkt op de NIST guidance, met meerdere adviezen die het beste bijelkaar uitgevoerd dienen te worden). Zie PDF: https://www.microsoft.com/en-us/research/wp-content/uploads/2016/06/Microsoft_Password_Guidance-1.pdf
Ook stapt hij heel makkelijk over het feit dat het gros van websites in de begintijd van het internet helemaal geen eisen stelden aan het wachtwoord of MFA aanbieden (toen dat al wél kon in AD). Ook blijft er een eigen verantwoordelijkheid bij beheerders van Microsoft systemen om de omgeving te hardenen.

Dan nog even naschoppen rondom Windows 11 en de verplichte TPM. Wat mij betreft enigzins los staat van passwordless en password removal bij cloud diensten. Mijn Macbook werkt prima met mijn password removed Microsoft account.

Sorry, maar ik vind dit een matig beargumenteerd stuk met een pijnlijk gebrek aan nuance, die volgens mij meer tot doel heeft om Microsoft te bashen, dan echt constructief te werken aan de veiligheid van alle gebruikers.
22-09-2021, 12:45 door Anoniem
Wat een zwak verhaal. Wachtwoorden zijn al decennia lang dood, met of zonder Microsoft. Menselijk gedrag in keuze en onthouden van wachtwoorden, wachtwoorddiefstal, uitlenen van wachtwoorden aan anderen, allemaal niet gerelateerd aan Microsoft. Wordt TPM doorgevoerd voor meer beveiliging, wordt het weer gespind naar evil Microsoft.
22-09-2021, 12:50 door Anoniem
en hij heeft helemaal gelijk!

een leuk detail is dat op een AD de wachtwoorden ook extra opgeslagen zijn in een un-salted md4 hash. zo een hash is met een rainbow table binnen enkele minuten te kraken tegenwoordig. MS heeft zijn langste tijd gehad en loopt nu achter de feiten aan steeds, zie ook die printer ellende en de exchange dramas van het afgelopen jaar!
22-09-2021, 12:52 door Anoniem
Ik wil dit wel beetje nuanceren...

Active Directory en het wachtwoorden beleid komt wel uit een tijdperk van Windows Server 2000.
Met de technologie van toen (bestond heel MFA volgens mij niet), ook met de kennis van toen, vind ik het niet zo gek dat dit toen een soort best practice/standaard was.
Het internet werd pas echt een ding vanaf Windows XP/Windows Server 2003...
Toen der tijd konden ze echt niet inschatten wat het gevolg zou zijn in de huidige tijd.

Makkelijk praten met de huidige kennis en technologie om het nu te bekritiseren...

Kijkend naar huidige situatie heeft Microsoft al een tijd geleden het "wachtwoord beleid" aangepast dat deze niet continue moet veranderen, is ook al tijdje aangepast in de Security Baselines...
22-09-2021, 13:03 door Anoniem
Wachtwoorden die ik op gele post-its op de terminals door de jaren gezien heb: "Welkom123" en "HupHollandHup".
22-09-2021, 13:26 door MathFox
Met de technologie van toen (bestond heel MFA volgens mij niet), ook met de kennis van toen, vind ik het niet zo gek dat dit toen een soort best practice/standaard was.
Multi Factor Authenticatie bestaat al heel lang, het was aanzienlijk duurder (en complexer te implementeren) dan tegenwoordig. Een belangrijke wijziging is dat de tokens goedkoper geworden zijn, USB en RFID hardware standaard in computer of telefoon zit en dat softwareondersteuning nu standaard is. De tijd van de "login" executable binair patchen is voorbij.
22-09-2021, 14:38 door Anoniem
Door Anoniem: Mja, in grote lijnen heeft hij zeker een punt dat Microsoft via AD heeft bijgedragen aan verkeerde ww beleiden. Maar...

Aan de andere kant negeert hij wel even Novell en andere systemen die indezelfde periode niet veel andere mogelijkheden boden. Verder noemt hij wel de Microsoft best practices, maar verwijst niet naar welke dan specifiek. Hij noemt ook niet de Password Guidance die vanaf 2016 door gepubliceerd zijn (die sterk lijkt op de NIST guidance, met meerdere adviezen die het beste bijelkaar uitgevoerd dienen te worden). Zie PDF: https://www.microsoft.com/en-us/research/wp-content/uploads/2016/06/Microsoft_Password_Guidance-1.pdf
Ook stapt hij heel makkelijk over het feit dat het gros van websites in de begintijd van het internet helemaal geen eisen stelden aan het wachtwoord of MFA aanbieden (toen dat al wél kon in AD). Ook blijft er een eigen verantwoordelijkheid bij beheerders van Microsoft systemen om de omgeving te hardenen.

Dan nog even naschoppen rondom Windows 11 en de verplichte TPM. Wat mij betreft enigzins los staat van passwordless en password removal bij cloud diensten. Mijn Macbook werkt prima met mijn password removed Microsoft account.

Sorry, maar ik vind dit een matig beargumenteerd stuk met een pijnlijk gebrek aan nuance, die volgens mij meer tot doel heeft om Microsoft te bashen, dan echt constructief te werken aan de veiligheid van alle gebruikers.
Security.nl doet niet aan Microsoft bashing! Die cso hefet gewoon een punt. Het grote publiek is verkeerd opgevoed door Microsoft door haar idiote default settings. Default settings zouden juist heel strak moeten zijn.
22-09-2021, 14:46 door Anoniem
Mijn vraag is hier altijd "Wat is de drijfveer hierachter?"
Er wordt gewerkt naar Total Control (everybody, anywhere).
22-09-2021, 14:51 door Anoniem
Who the F* is Rankin en waarom zou zijn advies beter zijn dan die van Microsoft?
22-09-2021, 16:30 door Anoniem
Door MathFox:
Met de technologie van toen (bestond heel MFA volgens mij niet), ook met de kennis van toen, vind ik het niet zo gek dat dit toen een soort best practice/standaard was.
Multi Factor Authenticatie bestaat al heel lang, het was aanzienlijk duurder (en complexer te implementeren) dan tegenwoordig. Een belangrijke wijziging is dat de tokens goedkoper geworden zijn, USB en RFID hardware standaard in computer of telefoon zit en dat softwareondersteuning nu standaard is. De tijd van de "login" executable binair patchen is voorbij.

Ja klopt wat je zegt, kan herinneren dat we toen RSA tokens hadden, maar werd alleen voor VPN toen bij mijn bedrijf gebruikt, maar niet voor het inloggen op het werkstation zelf.
22-09-2021, 17:11 door Anoniem
Door Anoniem: Active Directory en het wachtwoorden beleid komt wel uit een tijdperk van Windows Server 2000.
Met de technologie van toen (bestond heel MFA volgens mij niet)
TAN-codes werden in 1986 al gebruikt, in Girotel van de Postbank. Achterhaald als TAN-lijsten op papier zijn, het is wel degelijk een vorm van 2FA. Het is niet zo dat het hele concept toen nog bedacht moest worden, het idee van aanloggen met iets dat hebt naast iets dat je weet is niet nieuw, en iets dat je bent ook niet, al was dat voor praktisch gebruik ongetwijfeld toen nog science fiction.

RFID-toegangspassen op mijn werk heb ik in 1984 voor het eerst meegemaakt, die techniek was er dus ook al, en als je in de jaren '90 was gaan nadenken over hoe je een tweede, fysieke factor aan een inlogproces kon toevoegen, dan was dat een voor de hand liggende kandidaat geweest.

Dus de benodigde concepten voor 2FA én technieken die daar praktisch voor toegepast konden worden bestonden wel degelijk toen al. Het had gekund, als Microsoft erop gericht was geweest om dat soort dingen te ondersteunen.
22-09-2021, 17:33 door walmare - Bijgewerkt: 22-09-2021, 17:34
Door Anoniem: Who the F* is Rankin en waarom zou zijn advies beter zijn dan die van Microsoft?
Omdat Microsoft niet zo veel heeft met security en de user profile implementatie het allerslechtste laat zien wat er bestaat.
Het is ooit begonnen met win98 waar je kon inloggen en ondertussen nog steeds de spullen van een ander kon weggooien.
Men is sterk de mensen te laten denken dat ze iets hebben wat niet waar is. Marketing is belangrijker dan kwaliteit.
Momenteel besmeuren al die ransomware aanvallen de naam windows enorm. Daarom wilt marketing ook af van de naam windows. Je kan dus beter naar die Rankin luisteren, want hij levert systemen met security en privacy in mind.
22-09-2021, 18:22 door Anoniem
Tja als je net 20000 werkstations hebt uitgerold en naderhand er achter komt dat MFA een vereiste wordt door de groeiende cybercrime dan is zo'n token lastig in te voeren want dan praat je over additionele "kosten".

En even zo'n project er door heen duwen is tamelijk lastig voor velen. Je praat over een heel scala van additionele zaken zoals bewustwording, budgettering, verantwoording, procedures, onderhoud opvolging, controles, distributie etc.

En probeer dat maar eens er door heen te krijgen wanneer je te maken hebt met niet meewerkende managers die het gevoel hebben dat het allemaal wel meevalt.

Ook als proactief voorstel..want wie gaat het dan betalen? Want wat zijn de voordelen als er nog geen ramp is gebeurt?

Dat weten wij wel maar ...probeer het maar eens aan hun verstand te brengen. Een servicemanager heeft daar direct de handen vol aan,...inclusief de security officer en specialisten.

EN JA IK WEET HET. maar het gaat om de rest.


Maar met al die randsomware gaat het nu misschien wat makkelijker?


.


.
22-09-2021, 19:30 door karma4 - Bijgewerkt: 22-09-2021, 19:33
Door Anoniem: Ik wil dit wel beetje nuanceren...
Ik ook.
Het internet werd pas echt een ding vanaf Windows XP/Windows Server 2003...
Toen der tijd konden ze echt niet inschatten wat het gevolg zou zijn in de huidige tijd.

Makkelijk praten met de huidige kennis en technologie om het nu te bekritiseren...
..
Tot de begin jaren 80 waren de computers en terminal via touwtjes direct verbonden. De locatie was ook de betreffende persoon. Userid/password was maar een versiering met weinig waarde. Dat veranderde pas eind jaren 80 met de massale uitrol van pc's en Windows, maar enkel in bedrijfsomgevingen. Voor thuis was het nog lang vrijheid blijheid.
Inderdaad was internet de volgende stap, Helaas geheel ontbrekend ingezet met het onderdeel beveiliging / sessies (stateless). Dat is nooit meer goed gekomen. Het zal lang duren voor die fouten weg zijn.

Door Anoniem: Security.nl doet niet aan Microsoft bashing! Die cso hefet gewoon een punt. Het grote publiek is verkeerd opgevoed door Microsoft door haar idiote default settings. Default settings zouden juist heel strak moeten zijn.
Veekeerde constetering als je zo de aandacht legt op bashing van een merknaam. Je gaat nog een keer de mist in.
De default settings zij hard nodig als grootste gemene deler om de meesten goed te laten werken..
De keren dat default strak ingesteld waren werd het als een probleem en fout gezien.
23-09-2021, 07:55 door Anoniem
Door Anoniem: Het internet werd pas echt een ding vanaf Windows XP/Windows Server 2003...
Toen der tijd konden ze echt niet inschatten wat het gevolg zou zijn in de huidige tijd.
Internet werd een ding in 1995 toen Microsoft met veel tamtam Windows '95 de huiskamers in bracht en daar ook nadrukkelijk verbinding met de buitenwereld deel van uit liet maken. Ze hebben met MSN in de eerste instantie nog geprobeerd te concurreren met het open internet maar dat lukte niet.
23-09-2021, 10:48 door Anoniem
Door walmare:
Omdat Microsoft niet zo veel heeft met security en de user profile implementatie het allerslechtste laat zien wat er bestaat.
Het is ooit begonnen met win98 waar je kon inloggen en ondertussen nog steeds de spullen van een ander kon weggooien.
Men is sterk de mensen te laten denken dat ze iets hebben wat niet waar is. Marketing is belangrijker dan kwaliteit.
Momenteel besmeuren al die ransomware aanvallen de naam windows enorm. Daarom wilt marketing ook af van de naam windows. Je kan dus beter naar die Rankin luisteren, want hij levert systemen met security en privacy in mind.

Microsoft heeft wel degelijk iets met security, gezien onder andere de shift dankzij de Trustworthy Computing memo van Bill Gates en zeker de afgelopen jaren. Dat het niet perfect is, ontken ik niet. Maar een deel komt ook door een grote legacy die men wil blijven ondersteunen, waarbij er default instellingen worden gekozen die minder veilig zijn. Dat beheerders en organisaties onbekend zijn met het hardening is IMHO ook een gedeelde verantwoordelijkheid met hun en Microsoft (die het makkelijker moet maken etc.). Het is een keus geweest waarbij compatibility (non-breaking fixes) vaker won dan security (met breaking fixes).

Maar jouw voorbeeld van Win98 met dat gebruikers elkaars data konden verwijderen; ja, niet goed, maar het is ook een consumer OS. WinNT, Win2000 waren de multi-user enterprise gerichte OSsen, dus je maakt hier toch wel een valse vergelijking. Uiteraard hebben thuis gebruikers rechten opdezelfde beveiliging als bedrijven, maar het is wel een belangrijke context. Pas met XP werd de NT kernel in beide lijnen gebruikt en overige protocollen die de veiligheid verhoogden.

Tja, en het *kritiekloos* luisteren naar Rankin vind ik onverstandig. Immers hun bedrijf heeft er belang bij om Microsoft er minder goed uit te laten zien. Wat dat betreft kan ik mijzelf niet van mijn indruk ontrekken dat dit grotendeels meeliften is op de marketing en media storm die Microsoft met het nieuws, om zelf ook in die spotlight te komen in de hoop hun producten te verkopen.

Niet echt iets mis mee, maar het verhaal waar men mee kwam lijkt wel heel erg gehaast geschreven en meer gericht op ophef (en dat is schijnbaar hier wel gelukt) en de eigen branding dan daadwerkelijk goede inhoudelijk argumenten met als doel de veiligheid van een ieder te verhogen. Ik zie daar wel een bepaalde mentaliteit in die nu niet echt een positieve bijdrage levert aan IT security.
23-09-2021, 15:43 door walmare
Door Anoniem:
Door walmare:
Omdat Microsoft niet zo veel heeft met security en de user profile implementatie het allerslechtste laat zien wat er bestaat.
Het is ooit begonnen met win98 waar je kon inloggen en ondertussen nog steeds de spullen van een ander kon weggooien.
Men is sterk de mensen te laten denken dat ze iets hebben wat niet waar is. Marketing is belangrijker dan kwaliteit.
Momenteel besmeuren al die ransomware aanvallen de naam windows enorm. Daarom wilt marketing ook af van de naam windows. Je kan dus beter naar die Rankin luisteren, want hij levert systemen met security en privacy in mind.

Microsoft heeft wel degelijk iets met security, gezien onder andere de shift dankzij de Trustworthy Computing memo van Bill Gates en zeker de afgelopen jaren. Dat het niet perfect is, ontken ik niet. Maar een deel komt ook door een grote legacy die men wil blijven ondersteunen, waarbij er default instellingen worden gekozen die minder veilig zijn. Dat beheerders en organisaties onbekend zijn met het hardening is IMHO ook een gedeelde verantwoordelijkheid met hun en Microsoft (die het makkelijker moet maken etc.). Het is een keus geweest waarbij compatibility (non-breaking fixes) vaker won dan security (met breaking fixes).

Maar jouw voorbeeld van Win98 met dat gebruikers elkaars data konden verwijderen; ja, niet goed, maar het is ook een consumer OS. WinNT, Win2000 waren de multi-user enterprise gerichte OSsen, dus je maakt hier toch wel een valse vergelijking. Uiteraard hebben thuis gebruikers rechten opdezelfde beveiliging als bedrijven, maar het is wel een belangrijke context. Pas met XP werd de NT kernel in beide lijnen gebruikt en overige protocollen die de veiligheid verhoogden.

Tja, en het *kritiekloos* luisteren naar Rankin vind ik onverstandig. Immers hun bedrijf heeft er belang bij om Microsoft er minder goed uit te laten zien. Wat dat betreft kan ik mijzelf niet van mijn indruk ontrekken dat dit grotendeels meeliften is op de marketing en media storm die Microsoft met het nieuws, om zelf ook in die spotlight te komen in de hoop hun producten te verkopen.

Niet echt iets mis mee, maar het verhaal waar men mee kwam lijkt wel heel erg gehaast geschreven en meer gericht op ophef (en dat is schijnbaar hier wel gelukt) en de eigen branding dan daadwerkelijk goede inhoudelijk argumenten met als doel de veiligheid van een ieder te verhogen. Ik zie daar wel een bepaalde mentaliteit in die nu niet echt een positieve bijdrage levert aan IT security.
WinNT was pas multiuser in NT4 nadat Citrix de source in licentie had aangepast en het is een slechte security implementatie blijkt. Ook niet ontworpen met multi user in mind zoals UNIX. Aan de user profiles zie je dat het er duidelijk bij is gebouwd. Er zijn mensen met GB aan profiles! (omdat het default niet is beperkt) en hebben er van alles in zitten. Die mensen klagen ook steen en been omdat zo'n (roaming) profile eerst moet worden gedownload voordat ze kunnen werken. In UNIX mount je alles als $HOME en download je alleen wat nodig is. In windows kan dat niet. En wie heeft het niet meegemaakt dat zo iets blijft hangen. Zo'n roaming profile was trouwens ook niet beveiligd maar toegegeven dat was NFS ook niet
Daarnaast heeft windows ook 2 shell profiles, een voor powershell and een voor de command prompt en tegenwoordig voor WSL. Het is een schizofrene ratjetoe.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.