Gebruikers vergeten wachtwoorden - Waar gaat het fout?

Verwijderd schreef op woensdag 2 mei 2018 @ 09:27:
[...]

Het kijken of gehashte wachtwoorden voorkomen in leaks lijkt mij voor de beveiliging een dringende eigen noodzaak. Immers als een wachtwoord gelekt is, dan heb je een potentieel lek, waar de economische en AVG gevolgen ernstig van kunnen zijn.

En met 250 sites en 2000+ werknemers heb je als je het fatsoenlijk doet een afdeling inkoop, je laat niet 2000+ man zelf aankopen doen.

Uiteraard doen er geen 2000 man aankopen, daar gaat het niet om
Wat jij schrijft is gewoon niet haalbaar voor veel organisaties. Ik heb geen zin om hier verder over te blijven zeuren, dus dat ga ik wijselijk niet meer doen

Predator schreef op woensdag 2 mei 2018 @ 09:32:
[...]

Uiteraard doen er geen 2000 man aankopen, daar gaat het niet om
Wat jij schrijft is gewoon niet haalbaar voor veel organisaties. Ik heb geen zin om hier verder over te blijven zeuren, dus dat ga ik wijselijk niet meer doen

Wat is niet haalbaar? Ik heb het letterlijk over praktijk voorbeelden die ik ben tegengekomen.
En het is echt niet zo moeilijk om alle passwords uit leaks met je eigen hashfunctie en de salts uit je database te hashen om te kijken of die voorkomen in je database. Op zijn minst zou je dat met de meest gebruikte passwords moeten doen. Natuurlijk kan toevallig iemand in een leak zitten die ook 'Vn3k;67:,p$a' als password had (wat is de kans!), de kans is echter groter dat een werknemer een password heeft herbruikt (wachtwoord gegenereerd met rules die 3x10^12 keer meer passwords oplevert dan dat er mensen op de aarde zijn)


Uiteraard is er geen 'one size fits all' oplossing, maar elk onderzoek is het er over eens dat frequent wisselen van wachtwoorden de beveiliging verlaagt.

En dan hebben we het nog niet eens over de andere stompzinnige regels. Verplicht een letter, hoofdletter, cijfer en een bijzonder teken moeten gebruiken, verkleint de set van toegestane passwords juist. Ik heb een tijd lang een onzin zin als wachtwoord gebruikt: 32+ karakters, hoofdletters, leestekens, maar geen cijfers.

Krijg je te horen dat het niet veilig is omdat er geen cijfers gebruikt zijn.(
of nog erger: langer dan 12 character mocht niet!
Of nog erger er is een woord uit woordenboek gedetecteerd, mag niet. Maar zolang er meer woorden in het woordenboek staan dan dat er cijfers, letter en bijzondere leestekens zijn, is een 8 woord password veiliger dan 8 'willekeurige' tekens, die ook nog eens door regels beperkt worden.

[ Voor 16% gewijzigd door Verwijderd op 02-05-2018 09:54 ]

Ik heb net even voor je in AD gekeken en dit is onze password policy:

Policy Setting:

Enforce password history 24 passwords remembered
Maximum password age 180 days
Minimum password age 1 days
Minimum password length 8 characters
Password must meet complexity requirements Enabled
Store passwords using reversible encryption Disabled

En:

Account lockout duration 15 minutes
Account lockout threshold 5 invalid logon attempts
Reset account lockout counter after 15 minutes

[ Voor 3% gewijzigd door Verwijderd op 02-05-2018 10:19 ]

Om een simpel antwoord te geven op de openingsvraag: het interesseert mensen niet.

Wij zijn bezig de laatste systemen in een aantal vestigingen in Europa toe te voegen aan het NL-domain, waardoor de gebruikers dus een nieuw profiel krijgen en plotseling onderworpen zijn aan een pasword GPO

Werkelijk ontstellend hoe vaak ik nu gebeld word door gebruikers die lopen te stuntelen met hun wachtwoord: vergeten; niet snappen dat ze nu één wachtwoord hebben voor VPN, Windows, Outlook, RDP, etc.; en het niet voor mekaar krijgen hun nieuwe wachtwoord te laten voldoen aan de complexity requirements.

En dat terwijl alles van tevoren tot in detail gecommuniceerd is. How-To met uitgebreide beschrijvingen en screenshots, hun lokale management wat ze achter de broek zit, noem maar op. Maar de meeste nemen in het geheel niet de moeite het te lezen, laat staan onthouden. Ik ken talloze voorbeelden van collega's die mail van ICT per definitie naar de prullenbak verplaatsen (ze hebben er nog net geen Outlook-rule voor aangemaakt...) want "geen tijd", "niet boeiend", etc.

Hoewel ik een tegenstander ben van wachtwoordbeleid kom ik het volgende soms tegen:

Zorg dat het "manager" veld binnen AD gevuld is en wanneer een gebruiker verzoekt dat het wachtwoord gereset wordt stuurt de supportmedewerker het nieuw ingestelde wachtwoord door naar eindgebruikers manager. De gebruiker kan het nieuw ingestelde wachtwoord ophalen bij de manager. Uiteraard moet de gebruiker het wachtwoord geforceerd wijzigen bij inlog.

Dit zorg voor twee zaken:

1. Betere security. De directe manager zal de persoon kennen terwijl anders iedereen kan bellen en zich voordoen als een medewerker.
2. Minder password reset verzoeken. Wanneer men 3 weken achter elkaar naar de manager moet om het wachtwoord weer op te halen begint het te irriteren bij eindgebruiker en manager. Ze gaan automatisch beter hun best doen om dit te voorkomen.

Nadeel is uiteraard dat sommige gebruikers gewoon zo dom als het achtereind van een varken zijn en zij zullen wachtwoord briefjes gaan maken. Het is daarom ook zaak van de betreffende manager deze persoon daarop aan te spreken. Security is niet een ICT ding.

Ik ben trouwens een tegenstander van wachtwoorden (beleid) omdat we dit nooit gaan oplossen wanneer we afhankelijk zijn van menselijk geheugen. Biometrie zoals Windows Hello, TouchID en FaceID gaan deze problemen echt oplossen maar zijn nog niet volwassen genoeg.

Verwijderd schreef op woensdag 2 mei 2018 @ 12:00:
Hoewel ik een tegenstander ben van wachtwoordbeleid kom ik het volgende soms tegen:

Zorg dat het "manager" veld binnen AD gevuld is en wanneer een gebruiker verzoekt dat het wachtwoord gereset wordt stuurt de supportmedewerker het nieuw ingestelde wachtwoord door naar eindgebruikers manager. De gebruiker kan het nieuw ingestelde wachtwoord ophalen bij de manager. Uiteraard moet de gebruiker het wachtwoord geforceerd wijzigen bij inlog.

Dit zorg voor twee zaken:

1. Betere security. De directe manager zal de persoon kennen terwijl anders iedereen kan bellen en zich voordoen als een medewerker.
2. Minder password reset verzoeken. Wanneer men 3 weken achter elkaar naar de manager moet om het wachtwoord weer op te halen begint het te irriteren bij eindgebruiker en manager. Ze gaan automatisch beter hun best doen om dit te voorkomen.

Nadeel is uiteraard dat sommige gebruikers gewoon zo dom als het achtereind van een varken zijn en zij zullen wachtwoord briefjes gaan maken. Het is daarom ook zaak van de betreffende manager deze persoon daarop aan te spreken. Security is niet een ICT ding.

Ik ben trouwens een tegenstander van wachtwoorden (beleid) omdat we dit nooit gaan oplossen wanneer we afhankelijk zijn van menselijk geheugen. Biometrie zoals Windows Hello, TouchID en FaceID gaan deze problemen echt oplossen maar zijn nog niet volwassen genoeg.

Biometrische gegevens zijn een vervanging voor de login naam (identificatie) niet voor een wachtwoord. Wat natuurlijk niet weg neemt dat het een beter alternatief is als een login naam. Mooi voorbeeld daarvan: de Amerikaanse politie die met telefoon naar de lijkschouwer gaat om die te ontgrendelen met de vinger van het lijk.

Verder eens, ik krijg wel eens verzoeken om password reset te doen van onze gebruikers. Wij hebben echter ingebouwd dat alleen hun eigen managers dat kunnen doen en wij alleen de passwords van de managers kunnen resetten.

[ Voor 5% gewijzigd door Verwijderd op 02-05-2018 12:11 ]

Bor schreef op woensdag 2 mei 2018 @ 08:25:

In het geval van een klassieke hacker / cracker heb je gelijk echter is dat niet het enige waar je je tegen wilt beschermen. Denk ook aan de collega die "even meeleest" bij het intypen van het wachtwoord en andere zaken.

Veel van de dingen die ik hier lees gaan uit van puur en alleen hackers / crackers lijkt het. Wederom; het blijft een risico afweging. Simpelweg alleen maar uitgaan van de NIST guideline is te kort door de bocht en imho is de guideline daar ook niet voor bedoeld. Deze beschrijft veel meer en meer genuanceerdere zaken dan je in sommige samenvattingen op andere websites leest.

Klopt, maar een collega die even meeleest en misbruik maakt van de situatie verdiend het naar mijn mening om op staande voet ontslagen te worden. Ook hiervoor geldt dat een password veranderen meestal te laat komt.

Wat een betere oplossing is om dit soort dingen te voorkomen is 2fa/mfa authenticatie forceren. Dit geeft je ook direct een duidelijke monitorings optie, en op basis daarvan een wachtwoord eerder geforceerd te laten wijzigen door de gebruikers.