Gert Lambers - 8 Feb 2018

Er is al veel over gezegd en geschreven: paswoorden en paswoord-policies. Net als met alles in de technologie moeten ook hier oude gewoontes al eens worden getoetst aan de nieuwe tijden. Kwestie van te kijken of er geen betere manieren zijn om vandaag te doen wat we gisteren ook al deden.

Zeker in tijden van GDPR en toch verhoogde aandacht voor privacy en aanverwanten, is het waard de discussie nog eens te voeren en de oude gewoontes te analyseren en waar nodig te veranderen en aan te passen aan de nieuwe technologieën.

Niet toevallig dat er deze maand een document van Microsoft in onze mailbox viel dat hierover wat conclusies verzamelde. We zetten de belangrijkste zaken uit dit document voor u even op een rijtje. 

Nadelen van een klassieke paswoord policy

Minimum lengte: wanneer je binnen een klassieke paswoord policy een te lang paswoord vereist (langer dan 10 karakters) gaan gebruikers in "patronen" vervallen en herhalingen opnemen in hun paswoord (bijv: vierviervier of paswoordpaswoord). Bovendien zullen de meeste gebruikers er voor zorgen dat hun paswoord exact het vereiste aantal karakters heeft (max. 1 of 2 karakters langer), wat het dan weer iets makkelijker maakt voor hackers om het "gokken" naar paswoorden efficiënter en dus sneller te laten verlopen. Het blijft wel zo dat een goed opgemaakt lang paswoord of een paswoord dat uit meerdere onafhanklijke van elkaar staande woorden bestaat moeilijker te kraken is dan een goed gevormd kort paswoord, maar het risico dat gebruikers paswoorden gaan noteren of ander gedrag tonen dat de beveiliging ondergraaft is heel erg groot.

Verschillende karakters verplichten: cijfers, letters, hoofdletters en leestekens door elkaar. U kent de regel. Door deze verplichting gaan gebruikers zich ook weer voorspelbaar gedragen. Een gekend patroon blijkt te zijn: hoofdletter bij het begin, een symbool als laatste karakter en daarachter nog twee cijfers. Herkenbaar? En aangezien elk "patroon" het vinden van paswoorden gemakkelijker maakt is dit ook weer erg fijn voor hackers.

Paswoorden laten vervallen: ook wij adviseerden het vroeger - laat de paswoorden van gebruikers om de drie maanden veranderen. Ook dit blijkt te leiden tot vaak erg voorspelbare patronen in de keuze van het paswoord. Vaak wordt er namelijk niet gekozen voor een "nieuw" paswoord, maar voor een "update" van het bestaande. Wat vaak leidt tot veel zwakkere paswoorden dan wanneer er niet gevraagd wordt om paswoorden te vervangen...

Verhoogde rekenkracht, verhoogd risico

Het klinkt misschien een beetje paradoxaal, maar hou krachtiger uw en mijn computer worden, hoe makkelijker het wordt om de beveiliging met een klassiek paswoord te omzeilen. Met behulp van die rekenkracht wordt het namelijk mogelijk om op steeds kortere tijd, steeds meer paswoorden te "raden". Wanneer Quantum computing realiteit wordt zal het raden van een complex paswoord nog eens exponentieel sneller gaan. 

Wat dan wel te doen?

Ban het "klassieke" paswoord uit uw omgeving: abcdefgh, paswoord, azerty, 23456, ... Het zijn allemaal voorbeelden van veel gebruikte, maar om evidente redenen onveilige paswoorden. Deze zouden onverbiddellijk moeten verdwijnen om zo minder kwetsbaar te worden aan zogenaamde "brute force" paswoord hack pogingen. Die gaan namelijk vaak als eerste proberen met dit soort gekende wachtwoorden. Indien mogelijk, maak je het dus best onmogelijk dit soort "klassiekers" als paswoord te gebruiken op uw bedrijfsnetwerk.

Train uw gebruikers: zorg ervoor dat uw gebruikers de risico's kennen. Het absolute minimum waar u uw gebruikers van zou moeten overtuigen is het feit dat ze de credentials van het bedrijfsnetwerk nergens anders mogen gebruiken. Microsoft stelt dagelijks ongeveer 12 miljoen (!) keer vast dat er geprobeerd wordt om in te loggen met eerder gelekte credentials (uit andere bronnen en databases).

Registreer alternatieve manieren om de gebruikers te authenticeren: zorg ervoor dat gebruikers beschikken over up-to-date beveiligingsinformatie in hun profiel (gsm nummer, een alternatief email adres,...) zodat daarvan gebruik kan gemaakt worden om, in bepaalde gevallen, extra authenticatie te vragen via die kanalen (bijvoorbeeld bij het resetten van hun paswoord).

Activeer (eventueel variabele) multifactor authenticatie op uw omgeving: multifactor authenticatie wil zeggen dat een paswoord alleen, niet voldoende is om toegang te krijgen tot uw omgeving. De gebruiker zal bij het inloggen een extra bevestiging gevraagd worden. Dit kan via verschillende systemen (sms met code, applicatie op de smartphone, biometrie,...). Afhankelijk van de situatie en een aantal risico elementen kan je die multifactor authenticatie "tunen" zodat die bijvoorbeeld niet altijd nodig is wanneer wordt ingelogd vanop de vaste toestellen van de gebruiker die zich in het beveiligde bedrijfsnetwerk bevinden, maar bijvoorbeeld wel wanneer diezelfde gebruiker probeert in te loggen via een publieke pc in een hotel.

Is uw ICT-infrastructuur wel optimaal beveiligd? Download onze gratis Security Checklist.