Gebruikers vergeten wachtwoorden - Waar gaat het fout?

Tens schreef op dinsdag 1 mei 2018 @ 09:52:
Wachtwoord kwijt? -> PC weghalen, en typemachine bij gebruiker op het bureau zetten

Zou wel lekker rustig in onze organisatie worden.

Wij hebben meerdere wachtwoorden; eentje voor de thinclient, een andere voor het EPD, nog een voor de email, nog eentje voor het draadloos internet en dan vergeet ik waarschijnlijk nog wel een paar voor externe diensten. Daarbij alles om de enkele weken wijzigen, mag niet op vorig wachtwoord lijken, moet minimaal een cijfer, een letter, een bijzonder teken en een offer aan een hoge macht bevatten.

Er zijn wel eens dagen dat ik een wachtwoord hier of daar moet laten resetten.

Edit: oh ja, bij het EPD heb je 3 inlogpogingen anders gaat je account op slot. Superhandig als je een client voor je hebt zitten

[ Voor 8% gewijzigd door Timorad op 01-05-2018 10:00 ]

Laat gebruikers passphrases gebruiken, bijvoorbeeld: "IkhouvanTweakers.net". Deze zijn veel makkelijker te onthouden en moeilijker voor een computer te ontcijferen dan "W4ch!w00rd".

Op elke werkplek werken met vingerscanners?

Of leer je gebruikers de truck van het opvolgende cijfertje. Goed wachtwoord zou dan Tweakers01! zijn. Wachtwoord vervangen wordt dan simpelweg Tweakers02!, gewoon het nummertje ophogen. Dan hoef je enkel nog een geeltje op je bureau te hebben met het nummer waar je nu aan zit.

Na het verlopen gebruikers gewoon een prompt geven de eerste keer dat ze inloggen. En een optie voor het zelf handmatig unlocken van het account of automatisch unlocken na 5 minuten. Dat scheelt ook een hoop tijd, dan gaan ze wel even koffie drinken en proberen ze het nog een keer.

[ Voor 33% gewijzigd door Tsurany op 01-05-2018 10:01 ]

Maar dan kan je ook gewoon je wachtwoord niet vervangen, volgens mij is de tweede niet moeilijker te kraken dan de eerste.

WeHoDo schreef op dinsdag 1 mei 2018 @ 09:59:
Op elke werkplek werken met vingerscanners?

Betere beveiliging is er niet en ook niet te vergeten. Top idee!

zoals eerder gezegd ga voor lange gemakkelijk te onthouden wachtwoorden:

"pluk van de petteflet is een kinderboek"

Dit is een prima wachtwoord, petteflet komt niet voor in het woordenboek dus zal nooit uit een rainbow table bruteforce aanval komen.

en kijk of je kan monitoren wat er met een account gebeurt, dus track de login sessies etc om te zien of een account gehacked is. Zoja dan blokkeren en gebruiker het weer opnieuw laten activeren. Dit is ook wat een Google/Microsoft/Facebook doen.

WeHoDo schreef op dinsdag 1 mei 2018 @ 09:59:
Op elke werkplek werken met vingerscanners?

Dit, waarom wordt dit niet algemeen in het bedrijfsleven ingevoerd ? Bij ons ook, we moeten 3 wachtwoorden onthouden waarvan 1 elke 3 maanden verloopt en de andere elke 6 maanden. gebruikers proberen altijd dit op zo'n makkelijke manier mogelijk te onthouden. Dus krijg je wachtwoorden als Pietsnot12 en de volgende keer Pietsnot13. Dat wordt echt niet veiliger als je dat elke 45 dagen of 3 maanden verandert.

Ernemmer schreef op dinsdag 1 mei 2018 @ 10:02:
Maar dan kan je ook gewoon je wachtwoord niet vervangen, volgens mij is de tweede niet moeilijker te kraken dan de eerste.

Klopt, wachtwoord vervangen is dan ook eigenlijk onzin aangezien het in de praktijk toch leid tot dit soort wachtwoorden. Echter veel organisaties willen dat niet geloven dus dan moet het op deze manier.

TTLCrazy schreef op dinsdag 1 mei 2018 @ 10:04:
[...]

Dit, waarom wordt dit niet algemeen in het bedrijfsleven ingevoerd ? Bij ons ook, we moeten 3 wachtwoorden onthouden waarvan 1 elke 3 maanden verloopt en de andere elke 6 maanden. gebruikers proberen altijd dit op zo'n makkelijke manier mogelijk te onthouden. Dus krijg je wachtwoorden als Pietsnot12 en de volgende keer Pietsnot13. Dat wordt echt niet veiliger als je dat elke 45 dagen of 3 maanden verandert.

Vaak is integratie een probleem en is de kwaliteit van een vingerafdrukscanner zo slecht dat ze eenvoudig te omzeilen zijn. Vergeet ook niet dat indien een vingerafdruk eenmaal bekend is deze niet zomaar te vervangen is.

[ Voor 46% gewijzigd door Tsurany op 01-05-2018 10:10 ]

Tsurany schreef op dinsdag 1 mei 2018 @ 10:08:
[...]

Klopt, wachtwoord vervangen is dan ook eigenlijk onzin aangezien het in de praktijk toch leid tot dit soort wachtwoorden. Echter veel organisaties willen dat niet geloven dus dan moet het op deze manier.

Je kunt ook instellen dat het nieuwe wachtwoord niet voor 75% of meer mag overeenkomen met het oude wachtwoord.

WeHoDo schreef op dinsdag 1 mei 2018 @ 10:10:
[...]


Je kunt ook instellen dat het nieuwe wachtwoord niet voor 75% of meer mag overeenkomen met het oude wachtwoord.

Dat kan, is een goede optie als je graag de hele dag aan de telefoon hangt

MrAelon schreef op dinsdag 1 mei 2018 @ 10:11:
De 45 dagen wordt door veel gebruikers als 'kort' ervaren, persoonlijk zie ik dat niet zo maar dus wel een veel gehoorde opmerking. Ik vraag mij wel af in hoe verre het rekken van deze termijn een gevaar voor je beveiliging zou kunnen zijn.

Het is geen 45 maar 45 - 7 voor “er weer wordt gezeurd”. De 7 dagen inkorten (!) zou al een beetje helpen. Nu train je de mensen slechts om de waarschuwing te negeren omdat díe “volgende week” toch al weer terugkomt.
Post-its en simpele wachtwoorden (Geheim!05 voor mei) zijn een groter beveiligingsrisico dan “zelfs” eens per jaar wijzigen. IMHO dan.

Edit: sms icm korte code is een voor de gebruiker mooi simpele manier. Kost je wel wat per login.

En check vooraf eventueel geldende standaarden ne best practice. Let wel op of die nog courant zijn, dus niet vele jaren oud.

[ Voor 13% gewijzigd door F_J_K op 01-05-2018 10:17 ]

MrAelon schreef op dinsdag 1 mei 2018 @ 10:11:
[...]


De 45 dagen wordt door veel gebruikers als 'kort' ervaren, persoonlijk zie ik dat niet zo maar dus wel een veel gehoorde opmerking. Ik vraag mij wel af in hoe verre het rekken van deze termijn een gevaar voor je beveiliging zou kunnen zijn.

Wij zitten op 3 maanden op het werk, en zelfs dat vind ik nog te kort

Het wachtwoord is in principe veilig tot het uitgelekt geraakt... Dan moet je jezelf afvragen: wat is de kans dat het wachtwoord van een gebruiker uitlekt, en hoe veel "schade" kan er berokkend worden als dat wachtwoord uitlekt?

Sowieso, als je elke 45 dagen een nieuw ww afdwingt, dan is er veel kans dat mensen er een systeempje in steken (bijv. de maand erin verwerken), waardoor het voor een aanvaller niet veel moeilijker is om NA het uitlekken van het ww een paar maanden te wachten en dan zijn slag te slaan...

@MrAelon En hoe vaak moet jij je wachtwoord van je wachtwoordmanager wijzigen? Waar vervolgens alle andere toegang tot jouw systemen in staan? De toegang tot het netwerk voor de gebruiker is hetzelfde als jouw wachtwoordmanager. Die moet je niet elke 45 dagen willen wijzigen. Die moet lang, sterk en te onthouden zijn. Niet kort, zwak en makkelijk te onthouden.

Yubikey om Windows te unlocken :-)

Waar het fout gaat is steeds een nieuw password moeten gebruiken. Een sterk en uniek password kan makkelijk een jaar mee, zo niet langer. Als je als onderneming je daar (onterecht) niet prettig bij voelt,. bedenk dan dat bij vaak wisselen mensen makkelijk te onthouden - en daardoor vaak makkelijk te raden - wachtwoorden gaan gebruiken.

Bij windows 10 kan je de login ook aan een specifiek apparaat koppelen in feite heb je dan 2FA, wachtwoord is factor 1, de PC is factor 2.

Je kan ook full disk encryption met een RSA token gebruiken om de harddisk te unlocken en dan een wachtwoord. Heb je effectief ook 2FA. En je kan dan de wachtwoorden veel langer behouden met veel minder drama.

MrAelon schreef op dinsdag 1 mei 2018 @ 10:21:
[...]


Het probleem bij onze locaties is dat er veel op verschillende locaties, machines wordt gewerkt. De harde koppeling aan een machine zou voor ons daardoor geen optie zijn.

Ah, maar dan zou er ook nooit iets op een lokale machine opgeslagen mogen worden. En dan kan je met een hardware token of een app 2FA in kunnen voeren voor je single sign on in combinatie met een langere levensduur voor je wachtwoorden.

lolgast schreef op dinsdag 1 mei 2018 @ 10:17:
@MrAelon En hoe vaak moet jij je wachtwoord van je wachtwoordmanager wijzigen? Waar vervolgens alle andere toegang tot jouw systemen in staan? De toegang tot het netwerk voor de gebruiker is hetzelfde als jouw wachtwoordmanager. Die moet je niet elke 45 dagen willen wijzigen. Die moet lang, sterk en te onthouden zijn. Niet kort, zwak en makkelijk te onthouden.

De gouden opmerking. Ga bij jezelf maar na hoe vaak je het wachtwoord van je passwordmanager wijzigt. Ik weet het antwoord waarschijnlijk al

45 dagen, of welke hoeveelheid dan ook, is gigantisch achterhaald, het levert enkel zwakkere wachtwoorden op en een hoop hoofdpijn voor gebruikers.

Wat gaat regelmatig fout
- Gebruiker wijzigt wel het wachtwoord maar vergeet deze voor de volgende keer inloggen opnieuw;
Daarom zijn 3 inlogpogingen te weinig. Je hebt er al 3 nodig: 1) je typt je oude wachtwoord in, 2) je krijgt een melding dat die fout is waarbij je denkt aan een typo, je typt het oude wachtwoord nogmaals in. 3) je bedenkt dat je je wachtwoord net heb moeten wijzigen; nu moet je hem in 1x goed typen. Als dat mis gaat is het account vergrendeld.

- Gebruiker negeert herinneringsberichten, laat wachtwoord verlopen;
Omdat deze veel te snel weer beginnen. Waarom moet je na de verlooptijd niet verplicht je wachtwoord wijzigen ipv gelijk het account te locken.

- Gebruiker is op vakantie/ziek geweest, wachtwoord is verlopen.
Zie vorig punt. Niet het account gelijk locken maar het wachtwoord geforceerd gelijk laten wijzigen.

scosec schreef op dinsdag 1 mei 2018 @ 10:18:
Yubikey om Windows te unlocken :-)

Alsjeblieft niet, de meeste pakketten die dit integreren in je AD en je IAM tooling zijn zo achterlijk slecht geprogrammeerd dat het een brok ellende is. Veel hebben een soort van extra login launcher over de windows login bah.

Nee voor mij is het heel simpel een wachtwoord policy van 3 tot 6 maanden met verplichte lange wachtwoorden en vorm van 2 factor authenticatie. (van Bios / bitlocker pin tot fingeprint) Door de 2 factor ben je minder vatbaar voor het stukje uitgelekt wachtwoord na 6 maanden.

@MrAelon
Maar het belangrijkste punt zit hem in de gebruiker, in 99% van de gevallen in kantoor situaties krijgt een nieuwe medewerker een laptop / PC voor zijn neus gezet en wordt er vanuit gegaan dat de gebruiker weet wat hij moet doen. En dan krijg je dat de gebruiker exact met zijn pc om gaat zoals hij dat thuis ook doet. En dat is veel al niet al te snugger.

Training, training, training. Dat is wellicht de beste beveiliging die er bestaat. Als jij voorkomt dat mensen Welkom2018maart! gaan gebruiken als wachtwoord en leert dat een wachtwoord als "De piemul van mijn buurman is wolla groot" honderd keer beter is zullen wachtwoorden iedere maand een stuk meer variatie zien. Dan kun je tijdens die training sessie meteen eventjes de overige puntjes als locken van het systeem, prive gebruik, prive cloud opslag en alle andere grote gevaren mee nemen.

Security aan de kant van IT is nutteloos zolang je gebruikers zonder training achter een keyboard zet!

MrAelon schreef op dinsdag 1 mei 2018 @ 10:38:
[...]


Ben het met je eens. Ik snap ook dat het enorm frustrerend kan zijn voor gebruikers en zou dan ook met hen willen kijken naar de oplossing. Ik zit er over na te denken om een (hopelijk) leuk stuk te schrijven over onder andere jouw punten.

Wij hebben wel wat documentatie welke als het goed is wordt behandeld bij de eerste werkdagen echter vraag ik mij af of die ook daadwerkelijk behandeld worden.

Stukjes schrijven leuke e-mailtjes en video's allemaal leuke dingen die niet werken.
Een verplichte workshop van een half uurtje / uurtje wel. IT systemen valt of staat bij gebruikersadoptie.

Verleng die 45 dagen naar 45 weken. Dat zal al een hoop schelen. En probeer de login van verschillende systemen aan elkaar te koppelen. Dan heb je 1 password voor meerdere systemen dat automatisch meewijzigen.
Hier op werk heb ik ook tig systemen met tig inlogs, en allemaal hebben ze hun eigen eisen en houdbaarheid. Gevolg is dat ik 1 masterwachtwoord heb en een papieren lijst waar per pakket instaat welke letters ik voor/achter het masterwachtwoord moet zetten. (want papier werkt ook als ik niet ingelogd ben) En deze lijst moet ik vaak updaten vanwege het updatebeleid.... (dan gaat er een streepje door de 7 en wordt het een
Ja het werkt, maar nee het is niet veilig. Maar anders is het niet werkbaar. Als je mijn masterpassword heb dan kun je alle systemen in. Maar met zoveel verschillende systemen naast elkaar kan het gewoon niet anders..

Wil je hier iets aan doen; zorg dan dat men niet tig wachtwoorden moeten onthouden die men ook regelmatig moet veranderen.

MrAelon schreef op dinsdag 1 mei 2018 @ 10:11:
De 45 dagen wordt door veel gebruikers als 'kort' ervaren, persoonlijk zie ik dat niet zo maar dus wel een veel gehoorde opmerking. Ik vraag mij wel af in hoe verre het rekken van deze termijn een gevaar voor je beveiliging zou kunnen zijn.

Je gaat niet verder in op de andere opmerkingen, noch op het gelinkte stuk.

De eind conclusie is dat al die "cijfer, hoofdletter, etc." regeltjes geen enkel nut hebben, dat verloop van een wachtwoord al helemaal geen nut heeft.

Ofwel: Laat om te beginnen al die regeltjes gewoon vallen. Gewoon weg gooien, negeren, degene die de originele whitepaper geschreven heeft heeft al lang gezegd dat het totaal absoluut zinloos is. Valt onder "Security through irritation" wat uiteindelijk leidt tot gefrustreerde gebruikers, niet tot veiligheid.

Het enige wat wél zinnig is, is langere wachtwoorden. Dat betekend dus dat je moet beginnen met het begrip "wachtwoord" weg te gooien. Zolang daar nog "woord" staat zal niemand er aan denken iets langers dan een woord te gebruiken.
Je kúnt een langere wachtzin lengte instellen maar ook dat kan weer frustrerend werken. Opleiding is de meest zinnige methode.

Management samenvatting:
- Gooi die gekke regels van cijfers, hoofdletters, tekens weg
- Laat het nooit verlopen
- Vertel mensen hoe het wél moet
- Eventueel gecombineerd met een groter minimaal aantal karakters

Stoelpoot schreef op dinsdag 1 mei 2018 @ 10:26:
[...]
Ga bij jezelf maar na hoe vaak je het wachtwoord van je passwordmanager wijzigt. Ik weet het antwoord waarschijnlijk al

Wij maken op het werk gebruik van lastpass, omdat dit goed bevalt maak ik prive ook gebruik van lastpass, maar dan met 2FA.

Zelf ben ik erg gecharmeerd van (pasjes met) certificaten en een pincode (die je nooit wijzigt). Two Factor: Iets wat je hebt en iets wat je weet. Heb dit systeem bij twee werkgevers gezien en ik vind het perfect.

[ Voor 52% gewijzigd door downtime op 01-05-2018 11:07 ]

MrAelon schreef op dinsdag 1 mei 2018 @ 10:56:
[...]


Ben een beetje verrast door de overdaad aan reacties (super blij mee overigens), vandaar dat ik niet overal op gereageerd heb!

Ik ga zeker de regels omtrent ons wachtwoord beleid bespreken. Doordat ik zelf te weinig kennis heb van de daadwerkelijke waarde van deze regels vind ik het lastig daar op te reageren. Ik hoor nu dus aan alle kanten dat eigenlijk langere wachtwoorden beter zijn dan 'complexe' wachtwoorden.

Je opmerking over wachtzin vind ik trouwens goed bedacht en ga ik ook zeker meenemen, dat is inderdaad een stukje mindset.

Volgens mij zijn ze in dit topic al besproken, maar ik zou adviseren wat documenten van het NIST op te zoeken. Omdat NIST zelf schrijft alsof het het W3C wil overtreffen, is een journalistieke samenvatting wat leuker. Verder adviseer ik ook de blogs van Troy Hunt, dat is een securityexpert die al jarenlang Microsoft gecertificeerd is, en zich veel inzet voor veiligheid van wachtwoorden.

Ach het kan altijd erger.
Wij moeten om de 2 maanden een nieuw password instellen,
14 dagen van te voren ga je al gewaarschuwd worden,
mag niets van het oude password hergebruiken binnen een jaar,
moet aan onduidelijke regels voldoen (word niet bij de melding pasword verloopt meegestuurd)
maar admins kunnen blijkbaar een simpel (tijdelijk) wachtwoord aanmaken om de een of andere reden (dus een simpele Welkom01 kan dan in een keer wel)

En voor de printers zijn weer andere wachtwoorden nodig.

Nagevraagd waarom zo vaak en kreeg als antwoord ivm de VPN toegang en Windows 10, waarbij in principe de hash wijze standaard het zelfde is voor windows 10, dus de aangemaakte hash zou te herleiden zijn naar standaard tekens een vaste string lengte hebben en daardoor relatief makkelijk te kraken zijn? Maar dit zou ca 2 maanden kosten dus dat was de termijn die vastgesteld was om dit aan te passen.
Geen idee in hoeverre dit klopt, maar klonk dan nog wel enigzins als een onderbouwde reden.

[ Voor 13% gewijzigd door Morelleth op 01-05-2018 11:19 ]

WeHoDo schreef op dinsdag 1 mei 2018 @ 10:10:
[...]

Je kunt ook instellen dat het nieuwe wachtwoord niet voor 75% of meer mag overeenkomen met het oude wachtwoord.

Dat is een garantie dat mensen hun wachtwoorden moeten gaan opschrijven.

Maasluip schreef op dinsdag 1 mei 2018 @ 11:17:
[...]

Dat is een garantie dat mensen hun wachtwoorden moeten gaan opschrijven.

Ik vraag me ook af hoe ze dat technisch voor elkaar krijgen, als een wachtwoord goed gehashed is kan je niet zien hoeveel een wachtwoord overeen komt, al verander je een punt in een komma, de hash zal totaal anders zijn.

@Jarrean inderdaad. Maar je wil niet weten... ik krijg bij het veranderen van mijn wachtwoord op een van de oracle databases (via een webpagina) mijn wachtwoord in plain text nog een keer in de mail.

Maasluip schreef op dinsdag 1 mei 2018 @ 11:25:
@Jarrean inderdaad. Maar je wil niet weten... ik krijg bij het veranderen van mijn wachtwoord op een van de oracle databases (via een webpagina) mijn wachtwoord in plain text nog een keer in de mail.

Dat zou in theorie nog kunnen gebeuren binnen de handeling van het wijzigen van het wachtwoord (het hoeft dus niet te betekenen dat je wachtwoord plain text wordt opgeslagen). Maar het feit dat je wachtwoord nu in een email staat is al erg genoeg.

Maasluip schreef op dinsdag 1 mei 2018 @ 11:25:
@Jarrean inderdaad. Maar je wil niet weten... ik krijg bij het veranderen van mijn wachtwoord op een van de oracle databases (via een webpagina) mijn wachtwoord in plain text nog een keer in de mail.

Dat hoeft niets te betekenen (behalve dat het niet echt handig is) ze kunnen ook tijdens het versturen van de input de mail sturen en vervolgens het wachtwoord voorzien van een hash\salt oid en dan pas opslaan.

@MrAelon
Hoe lossen de gebruikers op dit moment de situatie met de wachtwoorden op? Merk je dat gebruikers wachtwoorden opschrijven of geven gebruikers aan dat ze een standaard combinatie gebruiken waarbij ze telkens een klein deel veranderen?

Wachtwoorden en het bijbehorende beleid zijn inderdaad altijd lastige zaken. Een gebruiker wil niet lastig gevallen worden met een nieuw wachtwoord elke 1-2 maanden, en al helemaal niet een wachtwoord als "AIsg8dAYSidb(!" moeten onhouden.

De tijd dat wel elke 30 dagen een nieuw wachtwoord zouden moeten hebben is allang verleden tijd. Dat was gebaseerd op een bruteforce die er 30 dagen over deed om een wachtwoord van 8 karakters te bruteforcen. In de huidige tijd zou dat inhouden dat we elke minuut een nieuw wachtwoord moeten maken

Afhankelijk van het bedrijfsprofiel kan je ervoor kiezen om de eisen omtrent het wachtwoord te versoepelen zodat er geen speciale tekens meer verwacht worden. Daarintegen zou je de lengte van het wachtwoord omhoog moeten schroeven. Daarbij zou ik kiezen voor elke 3-4 maanden een nieuw wachtwoord.
Houdt awareness sessies waarbij je de gebruikers verteld wat het nut is van een goed wachtwoord, en geef ze tips om een goed wachtwoord te maken. Streef ernaar om gebruikers te sturen naar het gebruik van een wachtwoordzin.

Als het bedrijfsprofiel anders is, ga dan kijken naar een systeem waarbij de gebruikers een andere manier van authentiseren gebruiken. Een pincode op een crypto kaart van 5 karakters of hoger is al makkelijker te onthouden, en het vereist het hebben van een kaart.

Elke technische manier waarop je een moeilijker wachtwoord afdwingt, resulteert in een gebruiker die er omheen gaat proberen te komen. Een tellertje aan het einde is niet heel veilig, dus probeer dat tijdens een awareness sessie te beschrijven.

[ Voor 20% gewijzigd door Equator op 01-05-2018 11:34 ]

MrAelon schreef op dinsdag 1 mei 2018 @ 10:11:

[...]


Het betreffen inderdaad accounts voor werkplekken.

Waar dient de beveiliging precies voor? Wat is het risico waarvoor je deze beveiligingsmaatregelen neemt?

Gaat het alleen om accounts voor werkplekken waarvoor je fysiek in het gebouw aanwezig moet zijn? Dan kun je toch veel eenvoudigere wachtwoorden nemen? Wat is nu precies hetgene waartegen je wilt beveiligen:
- collega's die voor de grap elkaars bureaubladachtergrond vervangen
- criminelen die het gebouw insluipen en een werkstation ontgrendelen om zo bij bedrijfsgeheimen te komen

Want voor de eerste situatie volstaat een eenvoudig wachtwoord en een goed gesprek met je collega's. Voor de tweede situatie zijn strenge wachtwoorden ook geen oplossing.

Dus: wat wil je bereiken met deze strenge regels voor wachtwoorden? Want ik gok dat je momenteel alleen frustratie bereikt bij de collega's. Zijn voor iedereen de risico's duidelijk waartegen je wilt beveiligen?

Een wachtwoordmanager gaat ook niet helpen, want die kun je waarschijnlijk pas benaderen nadat je je werkplek hebt ontgrendeld. Lange/moeilijke wachtwoorden gaan mensen dus toch niet maken.

Jarrean schreef op dinsdag 1 mei 2018 @ 11:21:
[...]


Ik vraag me ook af hoe ze dat technisch voor elkaar krijgen, als een wachtwoord goed gehashed is kan je niet zien hoeveel een wachtwoord overeen komt, al verander je een punt in een komma, de hash zal totaal anders zijn.

Daarom moet je bij het wijzigen vaak je huidige wachtwoord opgeven. Dat wordt gehashed en gechecked met de database en de plain text versie wordt aan de kant van de client vergeleken met de plain text versie van je nieuwe wachtwoord om de verschillen te tellen.

Rannasha schreef op dinsdag 1 mei 2018 @ 11:36:
[...]


Daarom moet je bij het wijzigen vaak je huidige wachtwoord opgeven. Dat wordt gehashed en gechecked met de database en de plain text versie wordt aan de kant van de client vergeleken met de plain text versie van je nieuwe wachtwoord om de verschillen te tellen.

Ah, op die manier kan het inderdaad prima.

Als je toch je wachtwoorden een geldigheidsduur mee wil geven, kun je gebruikers ook belonen voor het gebruik van lange wachtwoorden: het aantal letters in het wachtwoord wordt het aantal weken dat het geldig is.

HuHu schreef op dinsdag 1 mei 2018 @ 11:36:
Wat is nu precies hetgene waartegen je wilt beveiligen:
- collega's die voor de grap elkaars bureaubladachtergrond vervangen

In dit geval heb je met het huidige wachtwoordbeleid van OP nog een groter probleem; namelijk collega's die voor de grap je wachtwoord 3x verkeerd intypen als je even weg bent.

Behalve dat ik me ook afvraag wat hier beveiligd nu wordt (als het banksystemen zijn met toegang tot informatie over alle rekeninghouders, dan begrijp ik strenge beveiliging beter dan als we het hebben over een MKB bedrijf met 20 medewerkers), sowieso zoals andere al zeiden al die eisen eruit gooien. Elk half jaar wijzigen vind ik nog steeds veel.

Ik vraag me wel af of hier nu niet teveel een focus weer op lengte is. Voor de duidelijkheid: Ik wil echt niet beweren dat een wachtwoord van 5 letters een goed idee is. Maar "agbjkbkja" is een sterker wachtwoord dan "koekjestrommel".
Niet hetzelfde wachtwoord accepteren als gebruikersnaam, echte naam, etc, is natuurlijk wel een goede regel. Ik weet niet of jullie systeem het aan kan, maar ik zou de database van 10000 meest gebruikte wachtwoorden erbij pakken, en ook die niet toestaan als wachtwoord.

Het agen van wachtoorden is laatst bij onze organisatie ook ingesteld.
Echter is dit gewoon achterhaalt. Dit heeft alleen maar een averechts effect want;
Uit onderzoek blijkt dat wanneer deze policy in werking treed mensen;
- Afgeleide wachtwoorden gaan verzinnen (password2018, password2019 etc)
- Wachtwoorden buiten de PC noteren


Zie ook het advies van het National Cyber Security Center, zij adviseren juist niet aan aging te doen.
https://www.ncsc.gov.uk/a...g-regular-password-expiry

MrAelon schreef op dinsdag 1 mei 2018 @ 12:13:
[...]


Betreft een middelgrote organisatie van zo'n 300 gebruikers. We werken met enorme hoeveelheden persoonsgegevens welke wel echt zwaar bewaakt moet worden.

Dan moet je passwords juist zoveel mogelijk uitbannen. Ga aan pasjes met certificaten denken. Is niet zomaar geimplementeerd maar vele malen veiliger.

MrAelon schreef op dinsdag 1 mei 2018 @ 12:10:
Een combinatie van beide, alhoewel er vanuit de organisatie wordt aangegeven dat wachtwoorden opschrijven niet toegestaan is gebeurt dat in de praktijk uiteraard wel. Dit zal voornamelijk komen doordat deze relatief vaak gewijzigd moet worden.

Ook de standaardcombinaties worden regelmatig gebruikt en 'opgehoogd'.

Dit lijkt me een prima reden om z.s.m. de 45 dagen regel te schrappen, ookal heb je niet direct een vervanging of andere optie aan te bieden.

MrAelon schreef op dinsdag 1 mei 2018 @ 12:13:
Betreft een middelgrote organisatie van zo'n 300 gebruikers. We werken met enorme hoeveelheden persoonsgegevens welke wel echt zwaar bewaakt moet worden.

Beschermen gaat veel verder dan alleen een wachtwoord. Wat heb je immers aan zware wachtwoorden als je niet weet wie, wanneer en waarom de data raadpleegt. M.a.w. het lijkt me beter om te focusen op goede auditing i.c.m. strikte rechten voor zover jullie dat nog niet doen.

Edit; eens met @downtime

MrAelon schreef op dinsdag 1 mei 2018 @ 12:26:
[...]
Rechtenscheiding, autorisatie e.d. zijn allemaal strak ingeregeld. Ook interessante materie overigens We zitten nu in de fase dat we enerzijds willen kijken hoe we de waarde van wachtwoordbeveiliging kunnen verhogen en daarbij het gebruiksgemak ook te verbeteren.

Goed om te lezen!

Dan sluit ik me aan bij de rest, wachtwoorden zoveelmogelijk zien te voorkomen.
Ik zou gaan kijken naar Smart Card Authentication, dit zit standaard in Active Directory en komt minder privacy gevoellig over dan een vingerafdruk systeem. Tackel je ook direct het beveiligd afdrukken zodat daar geen pincode voor nodig is

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 15:30 . Reden: Leeg ivm privacy ]

Verwijderd schreef op dinsdag 1 mei 2018 @ 12:41:
[...]


Dit moet je je gebruikers liever niet leren. Komen ze zelf wel op. Ik doe het ook

Ik wilde eigenlijk zeggen, "dat moet je niet doen" maar die discussie loopt al dus ga ik niet ook over beginnen.


[...]


Vingerafdruk heeft wel andere problemen. Hij is niet te vervangen, valt of staat bij de vingerafdruklezer en kan makkelijker onder dwang worden afgenomen. Zonder gerechtelijk bevel, in sommige landen.

Sterker nog, in alle landen en in internationale wateren kan ik makkelijk onder dwang een vingerafdruk afnemen. Misschien wat hardhandig, maar ik heb het maar 1x nodig.

-

[ Voor 99% gewijzigd door Verwijderd op 19-10-2019 15:30 . Reden: Leeg ivm privacy ]

De in TS genoemde eisen zijn vrij standaard, maar is de 'correcthorsebatterystaple' manier van wachtwoorden niet veel veiliger? Of is Length > Difficulty inmiddels alweer achterhaald?

Persoonlijk verkies ik de combinatie van een druppel (toegang tot kantoor + printen) i.c.m. met één lang wachtwoord per jaar voor ontgrendelen werkplek. Voor VPN zou je additionele eisen kunnen stellen (inlog d.m.v. sms voor activeren VPN, gecombineerd met maximale inlogtijd / registreren IP locatie ofzo).
Daarmee heb je volgens mij de meeste beveiligingsrisico's afgedekt (toch?).

Wij hebben ook de 45 dagen regel, ik durf er een kratje om te verwedden dat 99% van de gebruikers simpelweg een oplopende reeks gebruikt. En als "Length > Difficulty" inmiddels al achterhaald is, dan is zo'n kort wachtwoord met een oplopende reeks alsnog minder veilig...

Wachtwoord laten verlopen werkt idd averechts. Ik als ontwikkelaar moet wel 50x per dag een wachtwoord invullen, laptop, remote desktop, vpn, mail van klant, legacy uren systeem, OTAP accounts. Allemaal andere accounts en deze worden allemaal netjes om de x periode met een klein verschil veranderd.

Het geeft alleen maar irritatie en veiliger wordt het echt niet.

Zet de minimium lengte op 15 oid, dan krijg je lange pass phrases die een stuk lastiger te raden zijn, sterker nog, sta alleen a-z en spaties toe. Cijfers voegen niks toe, als iemand 19xx in zijn wachtwoord heeft zitten dan is het 9/10 zijn of haar geboorte jaar. !@#$ zijn ook 9/10 de meest gebruikte speciale karakters, allemaal zeer makkelijk te raden voor iemand die even over de schouder mee kijkt.

Voeg verder ook een grace login toe voor mensen waarbij het WW is verlopen en verplicht het ze direct het wachtwoord te wijzigen

[ Voor 12% gewijzigd door GrooV op 01-05-2018 15:07 ]

Heb dit (en de vingerscanner) nu een aantal keer voorbij zien komen. Toch het uitzoeken waard denk ik. Thanks.

VIngerscanner is leuk maar zeker niet te gebruiken als enige manier van inloggen. Een klein percentage mensen heeft namelijk last van geen of kwalitatief slechte vingerafdrukken (ja de vingerafdruk zelf is slecht).
Ik heb er zelf ook last van ben ik de afgelopen jaren achter gekomen. Iphone met vingerafdrukscanner, gaat 1 a 2 weken goed, daarna moet ik mijn afdrukken opnieuw toevoegen. Toegangssysteem met vingerafdrukscanner, na 2 maanden hebben we het maar opgegeven en heb ik als uitzondering een pasje gekregen.
Houd er dus rekening mee dat het soms niet eens ligt aan de scanner zelf en zorg er dan ook voor dat men een alternatieve manier heeft.

Oh man, wat zou ik gek worden van de gestelde eisen. Een "sterk wachtwoord" is vaker zwak dan sterk. Mensen maken zich namelijk er vanaf door 123 erachter te zetten en de eerste letter als hoofdletter te gebruiken. En oh, een a in het wachtwoord zal vast een @ worden. Erg makkelijk te raden dus, menselijk gedrag kent een kraker ook wel. Uitzonderingen daargelaten voor mensen die het wachtwoord wel complex maken. Maar Henk en Ingrid doen dit zeker niet.

Wat ik zou doen, minimaal 6 karakters, verder geen eisen. Maar, maak een DB met wachtwoorden die op het internet rondzwerven (voldoende te vinden) en check het wachtwoord daar op. Slaat veel mogelijke aanvallen direct af.

Daarnaast is het om de 45 dagen veranderen niet handig. Verwarrend voor gebruikers en daarom vergeten ze hun wachtwoord en vaak maken mensen zicht hier makkelijk vanaf door op het eind van het wachtwoord een cijfertje elke 45 dagen op te hogen. Schijnveiligheid dus. Wachtwoord1, Wachtwoord2, Wachtwoord3.

Daarnaast is de lock niet zo handig. 3 keer verkeerd is heel menselijk (handen scheef op het toetsenbord, onzekerheid na de eerste foutieve poging). Kwaadwilligen hebben binnen 3 pogingen waarschijnlijk echt niet het wachtwoord te pakken. Sterker nog, in een tienvoud daarvan nog niet eens. Ik zou deze op 10 pogingen zetten 1 minuut lock. Daarna 5 pogingen 10 minuten lock. Nogmaals 5 pogingen, permanente lock die handmatig opgeheven moet worden (ben je direct op de hoogte van mogelijke aanvallen)

Misschien is het ook handig om mensen te helpen bij het genereren van een wachtwoord. Complexe wachtwoorden met gekke tekens zijn niet nuttig. Een zin als wachtwoord daarentegen wel. "ikwerkindegangmetgeeltapijtenmijnkindheetpietenbekleedeenhrfunctie". Nauwelijks te kraken, makkelijk te onthouden. Geef nieuwe werknemers deze suggestie dat zij zelf een dergelijke zin maken en die zullen ze echt niet vergeten.

[ Voor 21% gewijzigd door Tim.k op 01-05-2018 15:42 ]

GrooV schreef op dinsdag 1 mei 2018 @ 14:05:
Wachtwoord laten verlopen werkt idd averechts. Ik als ontwikkelaar moet wel 50x per dag een wachtwoord invullen, laptop, remote desktop, vpn, mail van klant, legacy uren systeem, OTAP accounts. Allemaal andere accounts en deze worden allemaal netjes om de x periode met een klein verschil veranderd.

Het geeft alleen maar irritatie en veiliger wordt het echt niet.

Zet de minimium lengte op 15 oid, dan krijg je lange pass phrases die een stuk lastiger te raden zijn, sterker nog, sta alleen a-z en spaties toe. Cijfers voegen niks toe, als iemand 19xx in zijn wachtwoord heeft zitten dan is het 9/10 zijn of haar geboorte jaar. !@#$ zijn ook 9/10 de meest gebruikte speciale karakters, allemaal zeer makkelijk te raden voor iemand die even over de schouder mee kijkt.

Voeg verder ook een grace login toe voor mensen waarbij het WW is verlopen en verplicht het ze direct het wachtwoord te wijzigen

Dan ben je net zo goed weer arbitraire eisen aan het toevoegen waar een wachtwoord niet beter van wordt.

En een wachtwoord waar "kat" in zit is niet zwakker dan waar "paard" in zit. Beide worden bij een standaard dictionary attack net zo snel gepakt. Niks mis mee verder, als er genoeg entropie verder in zit. Maar je doodstaren op lengte is imo ook geen goed idee. Zorg gewoon dat je de meest gebruikte wachtwoorden niet accepteert, dat je dingen als eigen naam niet accepteert, en een normale minimum lengte. Klaar.

Probeer eens naar een goede 2FA te kijken, wij gebruiken bij diverse klanten duo security.. is in veel applicaties te zetten waaronder Ad / Exchange / RDP en diverse firewall VPN’s

Ik heb een sprookje geschreven voor klanten. Het is het sprookjes van de veilige wachtwoorden en helpt mensen aan een manier om complexe wachtwoorden daadwerkelijk te onthouden, op basis van een herrinnering (zin) waarvan je kernletters overhoudt.

Het sprookje doet het prima, maar genoeg mensen kiezen alsnog de domste weg en voldoen alleen aan de minimum eisen.

Van vaker dan zo’n 180 dagen per keer ww wijzigen wordt je ww alleen maar zwakker omdat mensen zich er makkelijker vanaf gaan maken. Ik kies eens per jaar, of direct zodra er iets verdachts voorbij komt. Evt icm met 2fa.

Waarom kunnen je gebruikers hun wachtwoord niet zelf resetten? Waarom zou een beheerder dat moeten doen? Prima dat ze na elke poep en scheet hun eigen wachtwoord vergeten, maar zorg er voor dat, dat proces door de gebruiker zelf wordt doorlopen, en niet door een beheerder.

Zij hebben een probleem, zorg er voor dat, dat niet jouw probleem wordt. Zorg er voor dat ze zichzelf kunnen helpen.

[ Voor 18% gewijzigd door Seth_Chaos op 01-05-2018 20:24 ]

Arjan-B schreef op dinsdag 1 mei 2018 @ 15:17:
[...]

VIngerscanner is leuk maar zeker niet te gebruiken als enige manier van inloggen. Een klein percentage mensen heeft namelijk last van geen of kwalitatief slechte vingerafdrukken (ja de vingerafdruk zelf is slecht).
Ik heb er zelf ook last van ben ik de afgelopen jaren achter gekomen. Iphone met vingerafdrukscanner, gaat 1 a 2 weken goed, daarna moet ik mijn afdrukken opnieuw toevoegen. Toegangssysteem met vingerafdrukscanner, na 2 maanden hebben we het maar opgegeven en heb ik als uitzondering een pasje gekregen.
Houd er dus rekening mee dat het soms niet eens ligt aan de scanner zelf en zorg er dan ook voor dat men een alternatieve manier heeft.

Veel mensen lopen toch al met een druppel rond om deuren te openen. Waarom zou je die niet ipv een vingerafdruk gebruiken? Mocht dat als onveilig gezien worden: waarom is het dan wel veilig genoeg om de voordeur te openen?

Een reden om dat te doen is bovenstaande plus het feit dat die druppels/pasjes er meestal al zijn. En een beetje bij biometrische herkenning wegblijven doet het ook beter voor de acceptatie.

Er zijn meerdere punten waar het vaak fout gaat.

1) Veel verschillende login gegevens binnen 1 organisatie.
2) Wachtwoord verloopt snel en vagen teken/eisen.

De combinatie van deze 2 factoren zorgt er voor dat de gebruikers helemaal gek worden van de systemen wachtwoorden door elkaar halen ed. Wat uiteraard weer resulteert in opgeschreven wachtwoorden of het inloggen met de gegevens van een collega.

Hoe los je dit op ?

1) Breng in kaart welke systemen er gebruikt worden en of die verschillende credentials nodig hebben.
2) Deel de systemen waar mogelijk in zodat deze bv allemaal de AD credentials gebruiken.

Bijvoorbeeld: Inloggen op werkstations, email, VPN, Terminalservers, WIFI, Printers.

Op bovenstaande systemen zou het allemaal mogelijk moeten zijn in te loggen met je AD gegevens.
Hiermee zorg je ervoor dat de gebruikers niet 5 verschillende login gegevens moeten onthouden wat al een hoop verwarring en foute inlog pogingen zal schelen.

Daarnaast stel je een goede password policy in:
1) Password verloopt 1x per 6 maanden.
2) Minimaal 12 karakters.(persoonlijke voorkeur zou 15 zijn)
3) Password mag geen persoonsgegevens bevatten(naam geboortedatum ed)
4) 5 loginpogingen voor je een account blokkeert.
5) forceer dat het wachtwoord gewijzigd wordt.

Nu zou het voor alle gebruikers doenbaar moeten zijn hun gegevens te onthouden en optijd aan te passen.

Voor systemen die van buiten af bereikbaar zijn zou je hiernaast nog extra beveiligingsmaatregelen kunnen nemen bijvoorbeeld:

1) 2fa
2) Niet inloggen vanuit bepaalde landen

Voor extra beveiliging op systemen binnen het bedrijf kan je bijvoorbeeld een token toepassen.

Rannasha schreef op dinsdag 1 mei 2018 @ 11:36:
[...]


Daarom moet je bij het wijzigen vaak je huidige wachtwoord opgeven. Dat wordt gehashed en gechecked met de database en de plain text versie wordt aan de kant van de client vergeleken met de plain text versie van je nieuwe wachtwoord om de verschillen te tellen.

Maar hoe kan Windows me dan vertellen dat mijn nieuwe wachtwoord te veel op de afgelopen vijf wachtwoorden lijkt? Ik heb te weinig kinderen (3) om daar mee rond te komen . Er moet dan toch een lijstje met plain-text oude wachtwoorden zijn?

Voor het beperken van het aantal wachtwoorden op mijn werkplek had ik altijd een truukje. SAP liep altijd als eerste (per 3 maanden volgens mij, en altijd in de week voor een vakantie: amnesia waiting to happen...) om een nieuw wachtwoord te vragen. Bij wijzigen veranderde ik (handmatig) ook altijd gelijk mijn wachtwoord voor Windows (hoefde maar 1x per 6 maanden te wijzigen) en nog 1 of 2 systemen. Een soort manual single sign on dus.

medal schreef op dinsdag 1 mei 2018 @ 21:07:
Daarnaast stel je een goede password policy in:
1) Password verloopt 1x per 6 maanden.
2) Minimaal 12 karakters.(persoonlijke voorkeur zou 15 zijn)
3) Password mag geen persoonsgegevens bevatten(naam geboortedatum ed)
4) 5 loginpogingen voor je een account blokkeert.
5) forceer dat het wachtwoord gewijzigd wordt.

Wat je voorstelt is juist een slechte password / lockout policy. Een max password age van 6 maand wordt over het algemeen niet geaccepteerd als veilig en een blokkade na 5 pogingen? Je hebt zojuist je eigen erg makkelijk te misbruiken denial of service gecreëerd.

downtime schreef op dinsdag 1 mei 2018 @ 12:16:
[...]

Dan moet je passwords juist zoveel mogelijk uitbannen. Ga aan pasjes met certificaten denken. Is niet zomaar geimplementeerd maar vele malen veiliger.

Wanneer je dit combineert met een andere factor zoals een wachtwoord kan ik met je meegaan maar simpelweg een pas is niet veiliger dan een wachtwoord wanneer alleen deze al voldoende is om in te loggen. Waarom zou iets wat je hebt veiliger zijn dan iets wat je weet?

thijsjow schreef op dinsdag 1 mei 2018 @ 10:03:
[...]

Betere beveiliging is er niet en ook niet te vergeten. Top idee!

Punt 1 heb je daar een privacy issue. Punt zijn niet alle vingerafdrukscanners echt veilig. Uniek hoeft een vingerafdruk door o.a. menselijke fouten, gedeeltelijke prints en valse positieven ook niet te zijn. Punt 3 kun je een vingerafdruk, wanneer eenmaal misbruikt, nooit meer wijzigen.

Verwijderd schreef op dinsdag 1 mei 2018 @ 10:19:
Een sterk en uniek password kan makkelijk een jaar mee, zo niet langer. Als je als onderneming je daar (onterecht) niet prettig bij voelt,..

Graag zie ik hiervan onderbouwing. Het kraken / brute forcen van een wachtwoord is niet het enige gevaar. Denk aan social engineering, het simpelweg meelezen etc. Ik lees een boel aannames in dit topic die als feit worden gebracht zonder dat er onderbouwing te vinden is.

[ Voor 57% gewijzigd door Bor op 01-05-2018 21:44 ]

Wij hebben het volgende:
1) PW verloopt elke 60 dagen
2) WW moet minimaal 14 karakters hebben
3) er is een self service portal die met MFA werkt om je WW aan te passen/resetten
4) lockout staat 15 pogingen
5) wij WW reset door SD moet WW bij inloggen gewijzigd worden.

We willen nog Hello for business implementeren.
Of FIDO2
Maar er zijn nog genoeg zaken waarbij je met een WW moet inloggen.
En hebben nog wat legacy zaken. Als dit straks goed met SSO werkt. Kun je ww wat meer loslaten.

Alle zaken buiten het domein zijn met MFA geregeld

Bor schreef op dinsdag 1 mei 2018 @ 21:33:
[...]


Wat je voorstelt is juist een slechte password / lockout policy. Een max password age van 6 maand wordt over het algemeen niet geaccepteerd als veilig en een blokkade na 5 pogingen? Je hebt zojuist je eigen erg makkelijk te misbruiken denial of service gecreëerd.

6 maanden is een te lange periode vanuit het oude gedachtengoed. Kan uiteraard korter maar een langer password is nog altijd een heel stuk veiliger dan elke 3 maanden een korte laten aanpassen.
Over het blokkeren zijn de meningen verdeeld, toch zou ik aanraden om een account waar veel verkeerde pogingen op zijn tijdelijk te locken(blokkeren misschien de verkeerde benaming?).

medal schreef op dinsdag 1 mei 2018 @ 21:46:
[...]


6 maanden is een te lange periode vanuit het oude gedachtengoed. Kan uiteraard korter maar een langer password is nog altijd een heel stuk veiliger dan elke 3 maanden een korte laten aanpassen.

Op basis waarvan? Het hangt er net vanaf tegen welke soort bedreiging je je wilt bewapenen en hoe lang een eventueel comprimised wachtwoord bruikbaar is.

en wat voor soort users, wat voor applicaties / gegevens, of/hoe er wordt gelogd en gemonitord, etc.

Zoals eerder naar gehint (password manager vd beheerder) is eerst de authenticatie van beheerders en power users veel strakker, misschien wel efficienter. Al vinden die dat niet leuk

Voor comprimerende ww gaan we kijken naar ATA.
Draaien nu WDATP btw. En daar komen ook leuke zaken naar boven.

Ook hebben we geen LA accounts meer op de werkplek.
En gebruiken daarvoor LAPS.
Deze wordt elke dag gewijzigd.

Wel irri voor de beheerders. Maar wel veililg.
Voor belangrijke Service accounts veranderen we maandelijks het WW.

[ Voor 51% gewijzigd door DarkSide op 01-05-2018 21:54 ]

MrAelon schreef op dinsdag 1 mei 2018 @ 09:48:
Wachtwoord reglement
- Minimaal 8 karakters, 1 cijfer, 1 hoofdletter, 1 speciaal teken;
- Gebruikersnaam en volledige naam niet toegestaan binnen wachtwoord;
- Wachtwoord verloopt na 45 kalenderdagen;
- Lock van 30 minuten na 3 x foutieve invoer.

Bij dit beleid zou ik als security officer ook een note-it aan mijn scherm plakken met het wachtwoord

Stap over op NFC, QR, ubikey, etc. en je enige zorg is verlies van het object.
Maar dat is dan ook direct verwijderd omdat de gebruiker niet kan werken omdat zijn sleutel foetsie is en je 2FA zorgt er voor dat het object niet te gebruiken is.

[ Voor 4% gewijzigd door DJMaze op 02-05-2018 03:40 ]

Bor schreef op dinsdag 1 mei 2018 @ 21:47:
[...]


Op basis waarvan? Het hangt er net vanaf tegen welke soort bedreiging je je wilt bewapenen en hoe lang een eventueel comprimised wachtwoord bruikbaar is.

Het gaat hier om gebruikers geen admin accounts ed die moet je veel strakker beveiligen.

Lees de NIST guideline is door daar gaan ze nog een stuk verder dan 6 maanden.

medal schreef op dinsdag 1 mei 2018 @ 22:01:
[...]
Lees de NIST guideline is door daar gaan ze nog een stuk verder dan 6 maanden.

Het is een guideline, niet een heilig document. Ook bij guidelines dien je je goed te beseffen waartegen je jezelf wilt wapenen. Vandaar ook mijn vraag. Een langere max password age is niet per definitie veiliger maar tegen bepaalde zaken zoals ik eerder noemde wel per definitie onveiliger simpelweg omdat je de tijdspanne waarbinnen misbruik mogelijk is langer maakt. Het blijft een risico analyse die sterk afhankelijk is van de informatie die je wilt beschermen.

Over welke NIST guidelines hebben we het hier exact? Deze: https://pages.nist.gov/800-63-3/ ?

[ Voor 6% gewijzigd door Bor op 01-05-2018 22:17 ]

DarkSide schreef op dinsdag 1 mei 2018 @ 21:53:
Voor belangrijke Service accounts veranderen we maandelijks het WW.

Misschien moet je een keer kijken naar Group Managed Service Accounts.
https://docs.microsoft.co...service-accounts-overview

Dan hoef je ook niet meer naar de service accounts om te kijken

Bor schreef op dinsdag 1 mei 2018 @ 21:33:

[...]


Graag zie ik hiervan onderbouwing. Het kraken / brute forcen van een wachtwoord is niet het enige gevaar. Denk aan social engineering, het simpelweg meelezen etc. Ik lees een boel aannames in dit topic die als feit worden gebracht zonder dat er onderbouwing te vinden is.

Klein stukje naar boven lezen

Onno_Devine schreef op dinsdag 1 mei 2018 @ 12:00:
Het agen van wachtoorden is laatst bij onze organisatie ook ingesteld.
Echter is dit gewoon achterhaalt. Dit heeft alleen maar een averechts effect want;
Uit onderzoek blijkt dat wanneer deze policy in werking treed mensen;
- Afgeleide wachtwoorden gaan verzinnen (password2018, password2019 etc)
- Wachtwoorden buiten de PC noteren


Zie ook het advies van het National Cyber Security Center, zij adviseren juist niet aan aging te doen.
https://www.ncsc.gov.uk/a...g-regular-password-expiry

Met andere woorden, aging is ooit enkel bedacht om brute forcing een halt toe te roepen. Brute forcing maak je korte metten mee door een vertraging in te bouwen na een bepaald aantal foutieve logins. Dat maakt het complete argument voor aging waardeloos.

Ik denk dat inderdaad een langer wachtwoord, meer dan 12 karakters, zonder specifieke hoofdletter/cijferverplichting, een goede veilige oplossing is. Mocht er met zeer kritieke data gewerkt worden, dan zou ik minstens 15 karakters aanbevelen in combinatie met 2FA.

[ Voor 9% gewijzigd door fonsoy op 01-05-2018 22:39 ]

Bor schreef op dinsdag 1 mei 2018 @ 22:11:
[...]


Het is een guideline, niet een heilig document. Ook bij guidelines dien je je goed te beseffen waartegen je jezelf wilt wapenen. Vandaar ook mijn vraag. Een langere max password age is niet per definitie veiliger maar tegen bepaalde zaken zoals ik eerder noemde wel per definitie onveiliger simpelweg omdat je de tijdspanne waarbinnen misbruik mogelijk is langer maakt. Het blijft een risico analyse die sterk afhankelijk is van de informatie die je wilt beschermen.

Over welke NIST guidelines hebben we het hier exact? Deze: https://pages.nist.gov/800-63-3/ ?

Uit me hoofd is dat de juiste idd.

Bor schreef op dinsdag 1 mei 2018 @ 21:33:
[...]

Wanneer je dit combineert met een andere factor zoals een wachtwoord kan ik met je meegaan maar simpelweg een pas is niet veiliger dan een wachtwoord wanneer alleen deze al voldoende is om in te loggen. Waarom zou iets wat je hebt veiliger zijn dan iets wat je weet?

Ik bedoelde dan ook een pasje met een pincode. Vergelijkbaar met je bankpas: Je kunt niet frauderen door de pas te stelen want je kent de pincode niet. Als je alleen de pincode afkijkt maar niet de pas steelt kun je ook niks. En als je pas en pincode allebei steelt zal het slachtoffer de pas missen en kan die pas geblokkeerd worden. Er is dus ook maar een beperkt "window of opportunity" voor de dief.

Het probleem met passwords is dat de eigenaar van het account vaak niet weet (of het niet belangrijk vindt) dat het password uitgelekt is. Vaak delen ze hun password ook opzettelijk met collega's.
Met een pasje los je dat op. Alleen de bezitter van de pas kan inloggen en alleen als ze ook nog de pincode kennen. En iemand die zijn pas mist kan dat niet negeren en zal het moeten melden omdat ze zonder nieuwe pas niet kunnen werken.

fonsoy schreef op dinsdag 1 mei 2018 @ 22:37:
[...]

Met andere woorden, aging is ooit enkel bedacht om brute forcing een halt toe te roepen. Brute forcing maak je korte metten mee door een vertraging in te bouwen na een bepaald aantal foutieve logins. Dat maakt het complete argument voor aging waardeloos.

Nee dat is het niet. Je aged een item als een wachtwoord ook om de tijd te beperken waarbinnen een buitgemaakt item gebruikt kan worden ge-/misbruikt. Voorbeelden heb ik al gegeven zoals meelezen, social engineering, keyloggers etc.

Bor schreef op dinsdag 1 mei 2018 @ 23:00:
[...]


Nee dat is het niet. Je aged een item als een wachtwoord ook om de tijd te beperken waarbinnen een buitgemaakt item gebruikt kan worden ge-/misbruikt. Voorbeelden heb ik al gegeven zoals meelezen, social engineering, keyloggers etc.

Allemaal voorbeelden van het moment waarop je al gepakt bent. Zodra dit gebeurd moeten binnen je organisatie alle alarm bellen gaan rinkelen en de accounts geblokt worden.

Iemand die kwaad wil doen en je gegevens weet heeft echt geen dagen nodig om hier misbruik van te maken. Indien ik een account van een klant pak gebruik ik deze hoogstens een paar uur daarna is het account zinloos en ben ik al doorgedrongen tot diep in de infrastructuur en heb ik een backdoor aangemaakt/eigen accounts.

medal schreef op dinsdag 1 mei 2018 @ 23:25:
[...]

Allemaal voorbeelden van het moment waarop je al gepakt bent. Zodra dit gebeurd moeten binnen je organisatie alle alarm bellen gaan rinkelen en de accounts geblokt worden.

Klopt echter vereist dit zaken als continue monitoring / siem of een andere signalering- en monitoringoplossing welke bij de meeste bedrijven niet aanwezig is helaas.

Iemand die kwaad wil doen en je gegevens weet heeft echt geen dagen nodig om hier misbruik van te maken. Indien ik een account van een klant pak gebruik ik deze hoogstens een paar uur daarna is het account zinloos en ben ik al doorgedrongen tot diep in de infrastructuur en heb ik een backdoor aangemaakt/eigen accounts.

In het geval van een klassieke hacker / cracker heb je gelijk echter is dat niet het enige waar je je tegen wilt beschermen. Denk ook aan de collega die "even meeleest" bij het intypen van het wachtwoord en andere zaken.

Veel van de dingen die ik hier lees gaan uit van puur en alleen hackers / crackers lijkt het. Wederom; het blijft een risico afweging. Simpelweg alleen maar uitgaan van de NIST guideline is te kort door de bocht en imho is de guideline daar ook niet voor bedoeld. Deze beschrijft veel meer en meer genuanceerdere zaken dan je in sommige samenvattingen op andere websites leest.

[ Voor 11% gewijzigd door Bor op 02-05-2018 08:32 ]

Ik ben toch wat verbaasd dat de meerderheid maar 1 paswoord/jaar als gemiddelde gebruikt. Waar ik bij ons het grootste probleem in zie, is dat veel te veel gebruikers zich op 10tallen websites (oa linkedin) aanloggen met hun bedrijfsemail.
Wat voor paswoord zouden ze hier dan gebruiken ? Veelal gewoon hetzelfde paswoord als hun AD account.
Bij ons zit er 10-15% van de mailadressen in de p0wned db
Wij hebben wel een vrij korte password change timeframe... wat in dit geval een (klein) voordeel is.

MFA biedt veel meer securtiy dan gelijk welk paswoord, maar toch slagen gebruikers er altijd maar in om de boel toch om zeep te helpen. Daarnaast is MFA ook niet ongevoelig voor phishing (cfr netbanking phishing sites). MFA ervaren veel mensen ook als een extra last.
Fingerprint readers zag ik 15 jaar geleden op de bedrijfslaptops verschijnen, maar nu zie ik er veel minder dan toen. Ik kan daar niet meteen een reden voor geven, maar imho breekt dat allesbehalve door.

Er is imho nog geen zaligmakende oplossing die alles biedt: userfriendly, secure, kosteffectief.

Bor schreef op dinsdag 1 mei 2018 @ 21:33:
[...]
ik hiervan onderbouwing. Het kraken / brute forcen van een wachtwoord is niet het enige gevaar. Denk aan social engineering, het simpelweg meelezen etc. Ik lees een boel aannames in dit topic die als feit worden gebracht zonder dat er onderbouwing te vinden is.

Er is veel over gepubliceerd, maar hier is een begin voor je: http://www.cs.unc.edu/~fabian/papers/PasswordExpire.pdf

En lees nog eens wat verder, de universele conclusie van alle onderzoeken is: hoe groter de frequentie van wijzigen hoe meer mensen een patroon gaan gebruiken of passwords gaan hergebruiken. Beide zaken maken social engineering makkelijker.

Predator schreef op woensdag 2 mei 2018 @ 08:51:
Ik ben toch wat verbaasd dat de meerderheid maar 1 paswoord/jaar als gemiddelde gebruikt. Waar ik bij ons het grootste probleem in zie, is dat veel te veel gebruikers zich op 10tallen websites (oa linkedin) aanloggen met hun bedrijfsemail.

De eis bij zulke langlevende passwords moet natuurlijk wel zijn dat je deze nergens anders gebruikt. Organiseer een voorlichting uurtje voor het huidige personeel, besteed er tijd aan bij nieuw personeel en als het wachtwoord verschijnt in hacks met account informatie die op je medewerker wijst, tijd voor een flinke publieke uitbrander zodat de rest van het bedrijf weer scherp is en geen bonus dat jaar.

[ Voor 34% gewijzigd door Verwijderd op 02-05-2018 08:59 ]

Verwijderd schreef op woensdag 2 mei 2018 @ 08:55:
[...]

Er is veel over gepubliceerd, maar hier is een begin voor je: http://www.cs.unc.edu/~fabian/papers/PasswordExpire.pdf

En lees nog eens wat verder, de universele conclusie van alle onderzoeken is: hoe groter de frequentie van wijzigen hoe meer mensen een patroon gaan gebruiken of passwords gaan hergebruiken. Beide zaken maken social engineering makkelijker.

Die conclusie ligt voor de hand. Wat ik echter niet tegen kom is of dit anders is wanneer er een erg lang termijn wordt gehanteerd. Mensen kiezen ook dan vaak voor iets makkelijks of schrijven het zelfs op. Daarom haal je meer winst uit opvoeding en educatie (imho) dan uit het oprekken van de levensduur naar bv een half jaar of langer. In het aangehaalde onderzoek is de conclusie dat het nut "weak" (niet nul dus) is maar ook dat het beter is om helemaal van wachtwoorden af te stappen. Bij goede opvoeding kan een korter termijn zeker nut hebben. Ook hier dient er goed gekeken te worden naar de risico's en de te beschermen gegevens / toegang.

Verwijderd schreef op woensdag 2 mei 2018 @ 08:55:
[...]
... en als het wachtwoord verschijnt in hacks met account informatie die op je medewerker wijst, tijd voor een flinke publieke uitbrander zodat de rest van het bedrijf weer scherp is en geen bonus dat jaar.

Ja dat werkt, een angstcultuur creëren, en dan ook nog iets op basis waaraan de gebruiker soms geen enkele schuld heeft

[ Voor 16% gewijzigd door Bor op 02-05-2018 09:06 ]

Verwijderd schreef op woensdag 2 mei 2018 @ 08:55:
De eis bij zulke langlevende passwords moet natuurlijk wel zijn dat je deze nergens anders gebruikt. Organiseer een voorlichting uurtje voor het huidige personeel, besteed er tijd aan bij nieuw personeel en als het wachtwoord verschijnt in hacks met account informatie die op je medewerker wijst, tijd voor een flinke publieke uitbrander zodat de rest van het bedrijf weer scherp is en geen bonus dat jaar.

Nieuwe mensen krijgen een volledige dag opleiding, enkel over security, en de eis bestaat, maar toch gebeurd het.....
Daarnaast is de grens privé soms klein. Zo worden er ook professionele aankopen gedaan op externe webshops. Probleem blijft daar hetzelfde
Ook is het, door de speciale natuur van onze organisatie moeilijk om daar sancties aan te hangen, zeker als er zelfs management dat niet volgt.

Sanctie voor privé gebruik van email .... ik wil dat wel eens in de praktijk zien.
Veel kans dat je in je eigen vingers snijdt....

Trouwens, eisen dat bedrijfseigendom (laptop/gsm) absoluut niets privé gebruikt mag worden is zeer moeilijk in België. Wij moeten namelijk dergelijke zaken aangeven als voordeel in natura, waar medewerkers op belast (zullen) worden.
Dat haal je nooit voor de rechtbank.....

[ Voor 11% gewijzigd door Predator op 02-05-2018 09:14 ]

Predator schreef op woensdag 2 mei 2018 @ 09:06:
[...]

Nieuwe mensen krijgen een volledige dag opleiding, enkel over security, en de eis bestaat, maar toch gebeurd het.....
Daarnaast is de grens privé soms klein. Zo worden er ook professionele aankopen gedaan op externe webshops. Probleem blijft daar hetzelfde
Ook is het, door de speciale natuur van onze organisatie moeilijk om daar sancties aan te hangen, zeker als er zelfs management dat niet volgt.

Sanctie voor privé gebruik van email .... ik wil dat wel eens in de praktijk zien.
Veel kans dat je in je eigen vingers snijdt....

Ik zeg niet sanctie voor privé gebruik van e-mail. Ik bedoel dat je van je personeel eist dat het bedrijfs password door hen niet buiten het bedrijf gebruik wordt. En als je dat overtreedt dat het op zijn minst in de beoordeling wordt meegenomen.

Overigens heb ik ook wel eens professionele aankopen gedaan voor mijn werkgever, account en wachtwoord wordt met keepass gegenereerd en in een database geplaatst waar alleen de mensen die toegang nodig hebben toegang toe hebben. Zij mogen uiteraard het wachtwoord van die database niet hergebruiken of delen. Zo voorkomen we ook meteen dat we meerdere accounts bij leveranciers krijgen. En uiteraard worden zaken als betalingsinformatie niet opgeslagen in dat account indien dat niet automatisch gebeurt.

Verwijderd schreef op woensdag 2 mei 2018 @ 09:14:
[...]
Zo voorkomen we ook meteen dat we meerdere accounts bij leveranciers krijgen.

Waarbij het account direct niet meer herleidbaar is naar een persoon wat bij veel bedrijven juist een eis is. Groepsaccounts zijn not done.

Het hangt er ook van af wat men probeert te beschermen en hoe het verder is ingericht. Men kan een prachtig sterk wachtwoord bedenken of 2FA hebben maar dat is maar een klein onderdeel van security. Als vervolgens elke pc web-to-the-desktop heeft, usb devices in kan pluggen, dvd's kan lezen, etc. dan maakt authenticatie het niet veel lastiger voor een wannabe hacker.

Aan de laatste reactie te zien lijkt het er voornamelijk op dat management niet committed is. (zelf niet volgen en geen sancties durven opleggen). Een volledige dag over security is wellicht beter te verdelen over maandelijkse sessies, dan blijf je het belang onder de aandacht brengen. Eventueel ondersteunen met recente hacks als voorbeeld wat er kan gebeuren als men laks is.

Om het het huidige probleem om te gaan:
1. Negeren melding -> waarschuwing van manager indien meer dan x keer.
2. Verkeerd uitvoeren -> Single Sign On, in theorie zoekt de software het zelf uit (werkt niet altijd vlekkeloos)
3. Ziekte -> Verzoek naar IT (verificatie van gebruiker/audit trail)
4. Vergeten wachtwoorden / Lengte / Forced Change -> MFA/2FA

Bor schreef op woensdag 2 mei 2018 @ 09:03:
[...]


Die conclusie ligt voor de hand. Wat ik echter niet tegen kom is of dit anders is wanneer er een erg lang termijn wordt gehanteerd. Mensen kiezen ook dan vaak voor iets makkelijks of schrijven het zelfs op. Daarom haal je meer winst uit opvoeding en educatie (imho) dan uit het oprekken van de levensduur naar bv een half jaar of langer. In het aangehaalde onderzoek is de conclusie dat het nut "weak" (niet nul dus) is maar ook dat het beter is om helemaal van wachtwoorden af te stappen. Bij goede opvoeding kan een korter termijn zeker nut hebben. Ook hier dient er goed gekeken te worden naar de risico's en de te beschermen gegevens / toegang.

[...]

Ja dat werkt, een angstcultuur creëren, en dan ook nog iets op basis waaraan de gebruiker soms geen enkele schuld heeft

Ik schrijf mijn belangrijke wachtwoorden ook gewoon op hoor. Eens per jaar vervang ik ze en dan maak ik een nieuw overzicht. Dit overzicht ligt thuis in de kluis, het is vrij duidelijk wanneer die gecompromitteerd zijn, aangezien dan bij mijn huis is ingebroken en de kluis is open gebroken.

En wat nou angst cultuur, gewoon laten weten dat er regels zijn en dat overtreden gevolgen heeft. Het is werkelijk doodsimpel om je aan zo'n regel te houden en dan hoef je nergens bang voor te zijn. En als je tegen de regels in een wachtwoord op je werk hebt hergebruikt op een externe site kan je niet claimen dat je daar geen enkele schuld / verantwoordelijkheid aan hebt!

Bor schreef op woensdag 2 mei 2018 @ 09:16:
[...]


Waarbij het account direct niet meer herleidbaar is naar een persoon wat bij veel bedrijven juist een eis is. Groepsaccounts zijn not done.

Dat hangt van het bedrijf af. Ik werk nu bij een klein bedrijf waar het met een groep account gaat. Als we iets nodig hebben vragen we toestemming en dan kopen we het. Ik heb hiervoor bij grotere bedrijven gewerkt, daar mocht je gewoon niet zelf iets kopen. Dan moest je aan de afdeling inkoop doorgeven wat je nodig had en werd het aangeschaft.

[ Voor 37% gewijzigd door Verwijderd op 02-05-2018 09:24 ]

Verwijderd schreef op woensdag 2 mei 2018 @ 09:14:
[...]

Ik zeg niet sanctie voor privé gebruik van e-mail. Ik bedoel dat je van je personeel eist dat het bedrijfs password door hen niet buiten het bedrijf gebruik wordt. En als je dat overtreedt dat het op zijn minst in de beoordeling wordt meegenomen

Ik bedoel hetzelfde, en dat gaat zomaar niet. Je kan dat ook niet controlleren, zeker niet met de AVG/GDPR voor de deur.

Overigens heb ik ook wel eens professionele aankopen gedaan voor mijn werkgever, account en wachtwoord wordt met keepass gegenereerd en in een database geplaatst waar alleen de mensen die toegang nodig hebben toegang toe hebben. Zij mogen uiteraard het wachtwoord van die database niet hergebruiken of delen. Zo voorkomen we ook meteen dat we meerdere accounts bij leveranciers krijgen. En uiteraard worden zaken als betalingsinformatie niet opgeslagen in dat account indien dat niet automatisch gebeurt.

Wij hebben 250 sites en meer dan 2000 werknemers, waar veel entiteiten zelfstandig opereren. Dat is niet haalbaar. We moeten ook meerdere accounts hebben (andere ondernemingsnummers)...
Je kan doen wat je wil, en proberen afdwingen wat je wil, het gebeurt toch.

Verwijderd schreef op woensdag 2 mei 2018 @ 09:19:
[...]
En als je tegen de regels in een wachtwoord op je werk hebt hergebruikt op een externe site kan je niet claimen dat je daar geen enkele schuld / verantwoordelijkheid aan hebt!

Simpele vraag: hoe weet jij dat de account informatie welke bv gelekt is via een externe site a - door de betreffende gebruiker is gemaakt (het account kan immers ook gehacked zijn of een collega heeft meegelezen (voorbeeld)) en b - moet je daarvoor ook niet weten welk wachtwoord intern wordt, of zelfs eerder in de tijd is gebruikt? Zonder kennis daarvan kun je geen conclusies trekken lijkt mij.

En inderdaad angstcultuur wanneer je dreigt met een publieke uitbrander. Je zorgt er alleen maar voor dat mensen op deze wijze zaken niet melden maar geheim proberen te houden. Dat werkt averechts in veel gevallen dus.

Dat hangt van het bedrijf af. Ik werk nu bij een klein bedrijf waar het met een groep account gaat. Als we iets nodig hebben vragen we toestemming en dan kopen we het. Ik heb hiervoor bij grotere bedrijven gewerkt, daar mocht je gewoon niet zelf iets kopen. Dan moest je aan de afdeling inkoop doorgeven wat je nodig had en werd het aangeschaft.

Met een groepsaccount geef je elke inzicht uit handen. Je weet simpelweg niet wie een bepaalde actie heeft gedaan. Aan de ene kant roept men op tot publieke uitbranders en harde sancties maar aan de andere kant geeft men de controle weg door met groepsaccounts te werken

[ Voor 25% gewijzigd door Bor op 02-05-2018 09:26 ]

Predator schreef op woensdag 2 mei 2018 @ 09:23:
[...]

Ik bedoel hetzelfde, en dat gaat zomaar niet. Je kan dat ook niet controlleren, zeker niet met de AVG/GDPR voor de deur.

[...]

Wij hebben 250 sites en meer dan 2000 werknemers, waar veel entiteiten zelfstandig opereren. Dat is niet haalbaar. We moeten ook meerdere accounts hebben (andere ondernemingsnummers)...
Je kan doen wat je wil, en proberen afdwingen wat je wil, het gebeurt toch.

Het kijken of gehashte wachtwoorden voorkomen in leaks lijkt mij voor de beveiliging een dringende eigen noodzaak. Immers als een wachtwoord gelekt is, dan heb je een potentieel lek, waar de economische en AVG gevolgen ernstig van kunnen zijn.

En met 250 sites en 2000+ werknemers heb je als je het fatsoenlijk doet een afdeling inkoop, je laat niet 2000+ man zelf aankopen doen.

Bor schreef op woensdag 2 mei 2018 @ 09:24:
[...]

Simpele vraag: hoe weet jij dat de account informatie welke bv gelekt is via een externe site a - door de betreffende gebruiker is gemaakt (het account kan immers ook gehacked zijn of een collega heeft meegelezen (voorbeeld)) en b - moet je daarvoor ook niet weten welk wachtwoord intern wordt, of zelfs eerder in de tijd is gebruikt? Zonder kennis daarvan kun je geen conclusies trekken lijkt mij.

En inderdaad angstcultuur wanneer je dreigt met een publieke uitbrander. Je zorgt er alleen maar voor dat mensen op deze wijze zaken niet melden maar geheim proberen te houden. Dat werkt averechts in veel gevallen dus.

[...]

Met een groepsaccount geef je elke inzicht uit handen. Je weet simpelweg niet wie een bepaalde actie heeft gedaan. Aan de ene kant roept men op tot publieke uitbranders en harde sancties maar aan de andere kant geeft men de controle weg door met groepsaccounts te werken

Dan doe je de uitbrander anoniem, maar het is een mooi moment om weer even duidelijk te maken waarom je die policy hebt.

Overigens heb ik bij kleine bedrijfjes vaker groep accounts gezien, waarbij betaling via ideal plaats vindt. Inzicht in wie wat heeft gedaan komt doordat bekend is wie de bankpas is geweest. En met klein bedoel ik <20 man.

Alle grotere bedrijven die ik ken laten uberhaupt hun personeel geen aankopen doen , maar hebben daar één of meerdere personen voor op een afdeling inkoop. En dan kan je uiteraard op die afdeling het regelen hoe je wil.

[ Voor 47% gewijzigd door Verwijderd op 02-05-2018 09:33 ]

Verwijderd schreef op woensdag 2 mei 2018 @ 09:27:
[...]

Het kijken of gehashte wachtwoorden voorkomen in leaks lijkt mij voor de beveiliging een dringende eigen noodzaak. Immers als een wachtwoord gelekt is, dan heb je een potentieel lek, waar de economische en AVG gevolgen ernstig van kunnen zijn.

En met 250 sites en 2000+ werknemers heb je als je het fatsoenlijk doet een afdeling inkoop, je laat niet 2000+ man zelf aankopen doen.

Uiteraard doen er geen 2000 man aankopen, daar gaat het niet om
Wat jij schrijft is gewoon niet haalbaar voor veel organisaties. Ik heb geen zin om hier verder over te blijven zeuren, dus dat ga ik wijselijk niet meer doen

Predator schreef op woensdag 2 mei 2018 @ 09:32:
[...]

Uiteraard doen er geen 2000 man aankopen, daar gaat het niet om
Wat jij schrijft is gewoon niet haalbaar voor veel organisaties. Ik heb geen zin om hier verder over te blijven zeuren, dus dat ga ik wijselijk niet meer doen

Wat is niet haalbaar? Ik heb het letterlijk over praktijk voorbeelden die ik ben tegengekomen.
En het is echt niet zo moeilijk om alle passwords uit leaks met je eigen hashfunctie en de salts uit je database te hashen om te kijken of die voorkomen in je database. Op zijn minst zou je dat met de meest gebruikte passwords moeten doen. Natuurlijk kan toevallig iemand in een leak zitten die ook 'Vn3k;67:,p$a' als password had (wat is de kans!), de kans is echter groter dat een werknemer een password heeft herbruikt (wachtwoord gegenereerd met rules die 3x10^12 keer meer passwords oplevert dan dat er mensen op de aarde zijn)


Uiteraard is er geen 'one size fits all' oplossing, maar elk onderzoek is het er over eens dat frequent wisselen van wachtwoorden de beveiliging verlaagt.

En dan hebben we het nog niet eens over de andere stompzinnige regels. Verplicht een letter, hoofdletter, cijfer en een bijzonder teken moeten gebruiken, verkleint de set van toegestane passwords juist. Ik heb een tijd lang een onzin zin als wachtwoord gebruikt: 32+ karakters, hoofdletters, leestekens, maar geen cijfers.

Krijg je te horen dat het niet veilig is omdat er geen cijfers gebruikt zijn.(
of nog erger: langer dan 12 character mocht niet!
Of nog erger er is een woord uit woordenboek gedetecteerd, mag niet. Maar zolang er meer woorden in het woordenboek staan dan dat er cijfers, letter en bijzondere leestekens zijn, is een 8 woord password veiliger dan 8 'willekeurige' tekens, die ook nog eens door regels beperkt worden.

[ Voor 16% gewijzigd door Verwijderd op 02-05-2018 09:54 ]

Ik heb net even voor je in AD gekeken en dit is onze password policy:

Policy Setting:

Enforce password history 24 passwords remembered
Maximum password age 180 days
Minimum password age 1 days
Minimum password length 8 characters
Password must meet complexity requirements Enabled
Store passwords using reversible encryption Disabled

En:

Account lockout duration 15 minutes
Account lockout threshold 5 invalid logon attempts
Reset account lockout counter after 15 minutes

[ Voor 3% gewijzigd door Verwijderd op 02-05-2018 10:19 ]

Om een simpel antwoord te geven op de openingsvraag: het interesseert mensen niet.

Wij zijn bezig de laatste systemen in een aantal vestigingen in Europa toe te voegen aan het NL-domain, waardoor de gebruikers dus een nieuw profiel krijgen en plotseling onderworpen zijn aan een pasword GPO

Werkelijk ontstellend hoe vaak ik nu gebeld word door gebruikers die lopen te stuntelen met hun wachtwoord: vergeten; niet snappen dat ze nu één wachtwoord hebben voor VPN, Windows, Outlook, RDP, etc.; en het niet voor mekaar krijgen hun nieuwe wachtwoord te laten voldoen aan de complexity requirements.

En dat terwijl alles van tevoren tot in detail gecommuniceerd is. How-To met uitgebreide beschrijvingen en screenshots, hun lokale management wat ze achter de broek zit, noem maar op. Maar de meeste nemen in het geheel niet de moeite het te lezen, laat staan onthouden. Ik ken talloze voorbeelden van collega's die mail van ICT per definitie naar de prullenbak verplaatsen (ze hebben er nog net geen Outlook-rule voor aangemaakt...) want "geen tijd", "niet boeiend", etc.

Hoewel ik een tegenstander ben van wachtwoordbeleid kom ik het volgende soms tegen:

Zorg dat het "manager" veld binnen AD gevuld is en wanneer een gebruiker verzoekt dat het wachtwoord gereset wordt stuurt de supportmedewerker het nieuw ingestelde wachtwoord door naar eindgebruikers manager. De gebruiker kan het nieuw ingestelde wachtwoord ophalen bij de manager. Uiteraard moet de gebruiker het wachtwoord geforceerd wijzigen bij inlog.

Dit zorg voor twee zaken:

1. Betere security. De directe manager zal de persoon kennen terwijl anders iedereen kan bellen en zich voordoen als een medewerker.
2. Minder password reset verzoeken. Wanneer men 3 weken achter elkaar naar de manager moet om het wachtwoord weer op te halen begint het te irriteren bij eindgebruiker en manager. Ze gaan automatisch beter hun best doen om dit te voorkomen.

Nadeel is uiteraard dat sommige gebruikers gewoon zo dom als het achtereind van een varken zijn en zij zullen wachtwoord briefjes gaan maken. Het is daarom ook zaak van de betreffende manager deze persoon daarop aan te spreken. Security is niet een ICT ding.

Ik ben trouwens een tegenstander van wachtwoorden (beleid) omdat we dit nooit gaan oplossen wanneer we afhankelijk zijn van menselijk geheugen. Biometrie zoals Windows Hello, TouchID en FaceID gaan deze problemen echt oplossen maar zijn nog niet volwassen genoeg.

Verwijderd schreef op woensdag 2 mei 2018 @ 12:00:
Hoewel ik een tegenstander ben van wachtwoordbeleid kom ik het volgende soms tegen:

Zorg dat het "manager" veld binnen AD gevuld is en wanneer een gebruiker verzoekt dat het wachtwoord gereset wordt stuurt de supportmedewerker het nieuw ingestelde wachtwoord door naar eindgebruikers manager. De gebruiker kan het nieuw ingestelde wachtwoord ophalen bij de manager. Uiteraard moet de gebruiker het wachtwoord geforceerd wijzigen bij inlog.

Dit zorg voor twee zaken:

1. Betere security. De directe manager zal de persoon kennen terwijl anders iedereen kan bellen en zich voordoen als een medewerker.
2. Minder password reset verzoeken. Wanneer men 3 weken achter elkaar naar de manager moet om het wachtwoord weer op te halen begint het te irriteren bij eindgebruiker en manager. Ze gaan automatisch beter hun best doen om dit te voorkomen.

Nadeel is uiteraard dat sommige gebruikers gewoon zo dom als het achtereind van een varken zijn en zij zullen wachtwoord briefjes gaan maken. Het is daarom ook zaak van de betreffende manager deze persoon daarop aan te spreken. Security is niet een ICT ding.

Ik ben trouwens een tegenstander van wachtwoorden (beleid) omdat we dit nooit gaan oplossen wanneer we afhankelijk zijn van menselijk geheugen. Biometrie zoals Windows Hello, TouchID en FaceID gaan deze problemen echt oplossen maar zijn nog niet volwassen genoeg.

Biometrische gegevens zijn een vervanging voor de login naam (identificatie) niet voor een wachtwoord. Wat natuurlijk niet weg neemt dat het een beter alternatief is als een login naam. Mooi voorbeeld daarvan: de Amerikaanse politie die met telefoon naar de lijkschouwer gaat om die te ontgrendelen met de vinger van het lijk.

Verder eens, ik krijg wel eens verzoeken om password reset te doen van onze gebruikers. Wij hebben echter ingebouwd dat alleen hun eigen managers dat kunnen doen en wij alleen de passwords van de managers kunnen resetten.

[ Voor 5% gewijzigd door Verwijderd op 02-05-2018 12:11 ]

Bor schreef op woensdag 2 mei 2018 @ 08:25:

In het geval van een klassieke hacker / cracker heb je gelijk echter is dat niet het enige waar je je tegen wilt beschermen. Denk ook aan de collega die "even meeleest" bij het intypen van het wachtwoord en andere zaken.

Veel van de dingen die ik hier lees gaan uit van puur en alleen hackers / crackers lijkt het. Wederom; het blijft een risico afweging. Simpelweg alleen maar uitgaan van de NIST guideline is te kort door de bocht en imho is de guideline daar ook niet voor bedoeld. Deze beschrijft veel meer en meer genuanceerdere zaken dan je in sommige samenvattingen op andere websites leest.

Klopt, maar een collega die even meeleest en misbruik maakt van de situatie verdiend het naar mijn mening om op staande voet ontslagen te worden. Ook hiervoor geldt dat een password veranderen meestal te laat komt.

Wat een betere oplossing is om dit soort dingen te voorkomen is 2fa/mfa authenticatie forceren. Dit geeft je ook direct een duidelijke monitorings optie, en op basis daarvan een wachtwoord eerder geforceerd te laten wijzigen door de gebruikers.