Opstellen van een wachtwoord policy

In hoeverre laat het Engelse document te wensen over en waarin niet, dan weten we wat je er juist wel in wilt?

Je zou eens kunnen kijken op Sans.org, en dan rechtsboven in de searchbar "password policy" kunnen inkloppen, misschien is link 7 dan iets voor je.

Een tip: maak die password policy niet te ingewikkeld, want dan plakken de gebruikers zo'n geel blaadje met hun huidige password op hun monitor, onder hun toetstenbord of in hun la. En dat is waarschijnlijk niet de bedoeling

DiGuru schreef op donderdag 02 december 2004 @ 20:25:
Een tip: maak die password policy niet te ingewikkeld, want dan plakken de gebruikers zo'n geel blaadje met hun huidige password op hun monitor, onder hun toetstenbord of in hun la. En dat is waarschijnlijk niet de bedoeling

dan verbiedt je dat toch een clean desk policy lijkt me dan wel handig

moeilijke passwords heb je gewoon nodig voor de security, ik zou daar niet graag op ingeven. heb je papiertjes nodig om je password te onthouden.. dan doe je maar beter je best

sim-pel, en ja het kan in de praktijk, toevallig was ik vandaag bij een klant (70 werkplekken ongeveer) die dus passwords hadden als

M@arC0-2004

het KAN dus wel met die users!

zwelgje schreef op donderdag 02 december 2004 @ 20:28:
[...]


dan verbiedt je dat toch een clean desk policy lijkt me dan wel handig

moeilijke passwords heb je gewoon nodig voor de security, ik zou daar niet graag op ingeven. heb je papiertjes nodig om je password te onthouden.. dan doe je maar beter je best

sim-pel, en ja het kan in de praktijk, toevallig was ik vandaag bij een klant (70 werkplekken ongeveer) die dus passwords hadden als

M@arC0-2004

het KAN dus wel met die users!

Ja, het kan wel. Maar in de praktijk zijn er toch een heleboel gebruikers die flink moeite hebben met het onthouden van hun maandelijkse (random) password. Als ze geen blaadjes mogen gebruiken, is een groot deel al snel geneigd om als password gewoon Januari1!..December1! te gebruiken.

En als je dat allemaal verbied (inclusief blaadjes), wordt je helpdesk platgebeld door mensen die het weer vergeten zijn. Sommige doen dat gewoon uit ergernis. En op zich vind ik dat best terecht.

mensen kunnen hun pincode ed toch ook onthouden of de namen van kennisen/familie/kinderen

passwords is niet anders, alleen het grootste probleem is bezieling bij die gebruikers, die hebben niet door dat het een security issue is, je moet het er gewoon instampen.. maw: straffen als ze het niet doen.. je wilt niet weten hoe goed mensen dan 'ineens' wachtwoorden kunnen onthouden

DiGuru schreef op donderdag 02 december 2004 @ 20:47:
[...]


Ja, het kan wel. Maar in de praktijk zijn er toch een heleboel gebruikers die flink moeite hebben met het onthouden van hun maandelijkse (random) password. Als ze geen blaadjes mogen gebruiken, is een groot deel al snel geneigd om als password gewoon Januari1!..December1! te gebruiken.

Inderdaad, dat is de praktijk vaak wel, maar wenselijk niet.

En als je dat allemaal verbied (inclusief blaadjes), wordt je helpdesk platgebeld door mensen die het weer vergeten zijn. Sommige doen dat gewoon uit ergernis. En op zich vind ik dat best terecht.

Terecht al zeker niet, maar het is ook een stukje opvoeding en voorlichting. Vooral op het vlak van voorlichting laten de meeste systeembeheerders wat liggen.
Zorg dat ze duidelijk gemaakt wordt waarom. Geef aan dat ze zelf ook niet zouden willen dat hun gegevens makkelijk voor eenieder bereikbaar zou zijn omdat ene Piet bij de verzekering geen moeilijk wachtwoord kan/wil onthouden. Datzelfde geldt ook voor jouw organisatie. Maak duidelijk waarom het is, en dan niet in een kort memo'tje van 2 regels dat het moet omdat het vanaf nu beleid is, nee maar gewoon maximaal 1 A4'tje met voorbeelden en waarom het beleid zo is gemaakt.

zwelgje schreef op donderdag 02 december 2004 @ 20:49:
mensen kunnen hun pincode ed toch ook onthouden of de namen van kennisen/familie/kinderen

passwords is niet anders, alleen het grootste probleem is bezieling bij die gebruikers, die hebben niet door dat het een security issue is, je moet het er gewoon instampen.. maw: straffen als ze het niet doen.. je wilt niet weten hoe goed mensen dan 'ineens' wachtwoorden kunnen onthouden

Dat is ook een manier, maar wat vriendelijker kan ook natuurlijk. Geef aan dat als ze hun password vergeten dat ze dan een uur niet kunnen werken of zo, en dat dat uur dan van hun vakantie uren wordt ingehouden. (zo maar een opwelling, of het kan/mag ga ik even niet op in, het gaat even om het principe)
Het straffen moet vervelend maar niet kinderachtig zijn.

[ Voor 26% gewijzigd door Gé Brander op 02-12-2004 20:54 ]

Hoeveel beheerders hier zijn voorstander van het ontnemen van alle rechten voor hunzelf behalve het deleten van de gegevens van de gebruikers, zoals email, hun homedir en zo? Of wil je als beheerder overal toegang tot hebben? En waarom?

Als je het beveiligingsbeleid op dat niveau toepast, en het standaard inloggen van de beheerders en helpdeskmedewerkers als domain admin flink aan banden legt of liefst onmogelijk maakt, heb je alleen nog maar een beveiligingsprobleem als iemand achter het backup password komt of de gebruiker zelf zijn password vergeet of openbaar maakt. En dan is voorlichting een hele goede zaak.

Je zou als beheerder standaard niet meer rechten moeten hebben als alle andere gebruikers. Als je bepaalde beheer taken moet uitvoeren, log je aan met een account die precies die rechten heeft als je voor die taak nodig hebt.
Maar ja, gemak is zo een venijnig iets. Het is allemaal zoveel makkelijker als je standaard alles kan. Maar net zoals een ontwikkelaar niet met sa rechten in de database zou moeten ontwikkelen zou een beheerder niet met admin rechten de systemen moeten beheren.

[ Voor 37% gewijzigd door Gé Brander op 02-12-2004 23:03 ]

c70070540 schreef op donderdag 02 december 2004 @ 22:59:
Maar ja, gemak is zo een venijnig iets. Het is allemaal zoveel makkelijker als je standaard alles kan.

Inderdaad. Het is daarom ook altijd leuk om beheerders die Windows gewend zijn te zien inloggen als root onder X-Windows op een *nix server.

Maar dat gemak geld zowel voor de beheerders als voor de gebruikers. Niet: "Ik God, jij stomme gebruiker."

Want met hetzelfde gemak helpt een helpdeskmedewerker of beheerder (per ongeluk) de hele zaak om zeep, want als Administrator mag je die gevaarlijke dingen gewoon doen.

Een beveiligingsbeleid moet altijd kijken naar de zwakste schakel, wat meestal toch niet de "onwetende" gebruiker is die toch alleen bij zijn eigen spullen kan, maar veel vaker de beheerder die automatisch overal toegang heeft en alles kan en mag.