Wachtwoordenbeleid: sleutel tot sterke toegangsbewaking

Wachtwoorden werden al in de Romeinse tijd gebruikt. Sinds de jaren 60 ‘veroverden’ ze het IT-landschap. Gemak en gewin vormden de steekwoorden bij het ontwikkelen van automatiseringssystemen, gericht op het rechtstreeks gebruik door consumenten. Gaandeweg is het consumptief IT-gebruik de maatstaf geworden voor veel applicaties en apparatuur. In die zin is het merkwaardig en tegelijk zorgwekkend dat er nog steeds op een primitieve manier met wachtwoorden wordt omgesprongen. Want als veel eindgebruikers ergens een hekel aan hebben, dan zijn het wel die vervloekte wachtwoorden, zeker wanneer ze complex moeten zijn en frequent wijziging behoeven.

Een mens kan er een beperkt aantal onthouden, wanneer ze aan persoonlijke elementen zijn gerelateerd. Maar die wachtwoorden moeten we eigenlijk niet willen; ze zijn veel te gemakkelijk door hackers te achterhalen, zeker nu met geavanceerde technieken vele duizenden wachtwoorden per seconde kunnen worden ingevoerd. Inmiddels werkt een gemiddelde computergebruiker met veel meer verschillende toepassingen en dus ook met veel meer wachtwoorden.

We maken accounts aan voor applicaties op ons werk en voor een brede reeks toepassingen in de privésfeer; mijnbank; mijnverzekering; mijnoverheid; mijnwebshop; mijnzorgverlener; mijnvakantie; mijnsportclub enzovoort, enzovoort. Ooit bedroeg het gemiddelde aantal wachtwoorden een hand vol, maar tegenwoordig spreken we al snel over meer dan 100 per individu. We zien in de praktijk zelfs medewerkers die werken met tot wel 300 tot 400 wachtwoorden om toegang te krijgen tot de applicaties en portals. Die kunnen we echt niet allemaal meer onthouden.

Wachtwoordkluis

Gelukkig hoeft dat niet meer, want de techniek levert inmiddels oplossingen om wachtwoorden automatisch te genereren en veilig op te slaan, waarbij één hoofdwachtwoord volstaat. Zo’n passwordmanager of wachtwoordkluis wordt door diverse leveranciers geleverd met elk verschillende eigenschappen. Daar zijn kosten mee gemoeid, maar die vallen in het niet vergeleken met de schade bij een eventuele IT-hack. Wie zo’n kluisvoorziening wil aanschaffen, moet nagaan welke oplossing past binnen de organisatie. Zo zijn er bedrijven die hun wachtwoorden niet graag in de cloud willen bewaren en dus kiezen om de kluis lokaal op de harde schijf van een apparaat op te slaan. Besef dan wel dat bij frequente wijzigingen en updates dat aanzienlijk meer werk oplevert voor de systeembeheerders.

De discussies over de voor- en nadelen van het opslaan van credentials, lokaal of in de cloud, zijn talrijk. Bedenk daarbij dat 100% veilig niet is te garanderen. Er bestaan echter voldoende technologische oplossingen om een zo hoog mogelijk beveiligingsniveau na te streven en toch de gebruiksvriendelijkheid te waarborgen, bijvoorbeeld met Single Sign On (SSO) of met Multi Factor Authenticatie (MFA). Bij de eerste optie logt de gebruiker één keer in om vervolgens automatisch toegang te krijgen tot alle gerelateerde applicaties. Bij de tweede optie is tijdens de inlogprocedure een 2e stap vereist waarin de gebruiker zich moet identificeren met een code, doorgegeven via zijn of haar mobiele telefoon. Het is gebruikelijk en gewenst om MFA en SSO te combineren om zowel het gebruiksgemak als de veiligheid te waarborgen.

Voor extra veiligheid zijn daar zelfs nog extra stappen aan toe te voegen in de vorm van gezichtsherkenning of identificatie met behulp van een vingerafdruk. Deze laatste stappen zien we vaker terug bij systemen in de vitale infrastructuur. Voor de meer gangbare toepassingen is een twee-factor identificatie meestal afdoende. Maar zelfs die ontbreekt vaak nog bij heel veel toepassingen, zoals financiële applicatie of HR-systemen. Dat is zorgwekkend. Dit zouden de eerste applicaties moeten zijn die een organisatie beschermt, gezien de gevoelige data die ze bevatten.

Is de bescherming niet binnen de eigen IT-gelederen realiseerbaar dan doen gebruikers van de betreffende softwareproducten er verstandig aan hun leveranciers te wijzen op het ontbreken van die beveiligingsvorm. Hoe meer de druk wordt opgevoerd, des te eerder gaan zij over op actie.

Techniek en gedragsverandering

Nu speelt bij de beveiliging van applicaties en data, naast techniek, ook het menselijke gedrag een grote rol. Soms praat je over een ’fifty-fifty’ situatie, maar er zijn ook omgevingen waar de psychologie een hoofdrol opeist en er organisatie breed een bewustwordingsproces op gang moet worden gebracht. Mensen zijn gewoontedieren, die graag werken volgens vaste structuren. De bijna dagelijkse berichtgeving over toenemende dreiging van hackers met criminele bedoelingen helpt uiteraard bij het op gang brengen van gedragsverandering.

Er wordt veel over gesproken, maar nog beter is het om te starten met een wachtwoordenbeleid. Dat hoeft niet ingewikkeld te zijn. Om te beginnen moet worden afgedwongen dat wachtwoorden aan gestandaardiseerde eisen voldoen, zoals een minimaal aantal tekens en complexiteit. De lengte bepaalt in feite de moeilijkheidsgraad om het wachtwoord te achterhalen.

Een wachtwoord van 8 tekens valt in theorie binnen 2 seconden te kraken. Daarover doet men bij 12 tekens al gauw een paar honderd jaar, terwijl in theorie een wachtwoord van 20 tekens zich pas na duizend jaar laat ontfutselen. Een sterk wachtwoord, dat zich ook prima laat onthouden, bestaat uit enkele losse woorden, bijvoorbeeld in een zinsvorm zoals: ”bruinbrood is niet wit”. Persoonsgebonden elementen, zoals een datum, namen of een aanduiding van de werk- dan wel woonomgeving, kun je beter vermijden. Wachtwoorden zijn dan misschien gemakkelijker te onthouden, maar ze laten zich ook door kwaadwilligen gemakkelijker herleiden.

Daarnaast is de houdbaarheid van een wachtwoord beperkt. Hoe lang is het veilig een wachtwoord handhaven? Hoeveel pogingen staan we toe om in te loggen? Ok, na vier mislukkingen is het mooi genoeg geweest; afkappen de inlogprocedure! Is het zinvol om te filteren op zwakke wachtwoorden? Zo ja, geen toegang met het huidige wachtwoord en de betreffende gebruiker om een nieuw, sterker wachtwoord vragen. De opmaat voor een gedegen wachtwoordbeleid is gezet.

Andere functie, andere toegangsrechten

Is dat afdoende? Nee, want naast identificatie bestaat er ook nog zoiets als autorisatie; wie heeft de bevoegdheid tot toegang van welke systemen? Een marketingmedewerker of een systeemontwikkelaar behoeft niet noodzakelijkerwijs toegang te hebben tot de data van de boekhouding of het HR-domein. Functieprofielen in relatie tot de toegang tot applicaties zijn daarvoor bepalend. Het opstellen daarvan is doorgaans voorbehouden aan de HR-afdeling. Voor iemand die in dienst treedt, moeten allemaal accounts worden aangemaakt, indien de werkprocessen vooral digitaal van aard zijn.

Gaat iemand een andere rol vervullen binnen het bedrijf, dan verandert ook de toegangsprocedure tot applicaties. Verlaat iemand de dienstbetrekking, dan moeten de accounts, alsmede identificatie- en autorisatiecodes worden verwijderd. De IT-afdeling voert uit, de HR-afdeling ziet erop toe. Het is niet wenselijk dat voormalige werknemers nog langer toegang hebben tot systemen voor primaire bedrijfsvoering en tot portals van bedrijven waarvan producten of diensten worden ingekocht. Voor de medewerker die het bedrijf verlaat, betalen we toch ook niet langer het mobiele telefoonabonnement of het maandbedrag voor de leaseauto? De wachtwoordprocedures zijn daarmee tevens onderdeel van het HR-beleid geworden.

De componenten ’mens’, ’techniek’ en ’beleid’ leggen allemaal gewicht in de schaal bij de transformatie naar digitale werkprocessen. Dat geldt ook voor het management, waarvan sommige vertegenwoordigers nog wel eens een uitzonderingspositie claimen als het gaat om de toegang tot digitale bedrijfsbronnen. Nee dus! Ze hebben juist een voorbeeldfunctie en zijn bovendien vaak een primair doelwit van cybercriminelen. Uiteindelijk zijn zij ook hoofdverantwoordelijk wanneer criminelen zich toegang weten te verschaffen tot essentiële bedrijfsdata en die met ransomware hun doelwit gijzelen, teneinde losgeld te kunnen vragen. Daar kan veel geld mee gemoeid zijn, terwijl bij het lekken van data van klanten, partners of het eigen personeel ook de Autoriteit Persoonsgegevens (AP) wel eens een flinke boete kan opleggen.

Wachtwoorden in de browser: no way!

In de digitale samenleving is beveiliging van digitale assets een kerntaak geworden. En of men dat doet met sterke wachtwoorden, multi-factor identificatie, toegangstokens of versleutelde harddisks: het gehele pakket aan voorzieningen moet ervoor zorgen dat mensen hun werk zowel op de zaak als in de thuisomgeving veilig kunnen doen. Biometrische beveiliging lijkt met het oog op de toekomst het meest geëigende middel tegen ongeoorloofde toegang tot digitale voorzieningen. Maar hoe zit het dan bij wijzigingen en hergebruik van die apparatuur door anderen? Nog altijd vinden mensen het reuze gemakkelijk om hun wachtwoorden in de browser te laten opslaan. Alle, veel gebruikte browsersystemen bieden die optie ook nog steeds aan, terwijl het voor een aanvaller relatief makkelijk is om alle wachtwoorden uit de browser te stelen.

Recentelijk werden wij, ACA IT-Solutions, ingeschakeld bij een organisatie, die ten behoeve van de informatievoorziening drie netwerksystemen in de lucht hield: een Wifi-gebaseerd gastsysteem voor klanten; een Wifi-gebaseerd systeem voor medewerkers en een bekabeld systeem voor de IT-beheerders. Men was ervan overtuigd dat een buitenstaander nooit toegang zou kunnen krijgen tot de Wifi van de interne medewerkers. De toegang was via een hardware binding gekoppeld aan hun laptops. En toch kregen wij toegang, door een simpele ’search’ op een via het openbare internet gepubliceerde lijst van gelekte wachtwoorden.

Wie streeft naar een verantwoord beveiligingsbeleid, zorgt voor het beschikbaar stellen van de juiste tools om veilig te kunnen inloggen. Combineer dit met (bewustwordings)trainingen voor directie, IT en medewerkers. Neem tot slot het beleid, de procedures, IT-middelen en de communicatie richting medewerkers regelmatig onder de loep en stel deze waar nodig bij. Tenslotte, een cybercrimineel zit ook niet stil.

Vragen

Heb je vragen over dit onderwerp? Neem dan even contact met ons op.

Bekijk ook de volgende onderwerpen. Deze zijn speciaal voor u geselecteerd: