Onzinnige IB maatregelen – akkoord voor inloggen
In de serie onzinnige informatiebeveiligingsmaatregelen, vandaag het akkoord voor inloggen.
Enkele bedrijven hebben deze maatregel ingevoerd, waarbij je als gebruiker voor of na het inloggen akkoord moet gaan met de gedragscode op het netwerk. Dit is de digitale variant van het bordje “Verboden toegang, art. 461 W.v.Sr.”. Dat is tevens de zwakte van het systeem. Als je als organisatie hieraan begint, dan dien je er wel voor te zorgen dat je op alle digitale toegangen een dergelijk bordje zet. Anders kan iemand die zich toegang heeft verschaft via een onbekend kanaal stellen dat hij niet wist dat het niet mocht, er hing immers geen bordje.
Door aan gebruikerszijde deze melding te plaatsen laat je de gebruikers een of twee extra handelingen verrichten voordat zij op het netwerk zijn. Dit wordt al snel een routine, zonder dat de tekst wordt gelezen of begrepen. Dat komt het beveiligingsbewustzijn niet ten goede en is een verkeerde manier van toepassen van het informatiebeveiligingsbeleid.
Verder kun je je afvragen wanneer je de melding moet tonen, voor of na het inloggen. Voor het inloggen zou betekenen dat een gebruiker nog kan weigeren. Maar hij heeft een overeenkomst of opdracht, waarin al de zaken met betrekking tot beveiliging zijn geregeld. Niet accorderen is geen optie en de maatregel voegt niets toe. Na het inloggen tonen heeft evenmin een toegevoegde waarde, men is immers – logisch gezien – al binnen. Dat is het hetzelfde als een portier binnenzetten om ongewenste gasten buiten te houden.
Organisaties die iets met een akkoord verklaring willen doen kunnen dat beter regelen met algemene voorwaarden voor het gebruik van IT middelen. Door die jaarlijks te ondertekenen, bijvoorbeeld tijdens integriteitssessies of door het bij de beoordelingsgesprekken op de agenda te zetten, wordt eveneens voldaan aan het kenbaarheidsprincipe. “Ik wist het niet” is daarmee geneutraliseerd.
Gebruikers die zich regelmatig actief akkoord verklaren zijn zich daar veel meer van bewust dan degenen die dagelijks een vakje aanvinken en op OK klikken.
Alternatieven voor wachtwoorden?
Wachtwoorden. Al 20 jaar (of misschien wel langer) de enige veel gebruikte methode voor gebruikersidentificatie en authenticatie op informatiesystemen. En al 20 jaar zijn ze een probleem. Mensen schijnen niet goed te zijn in het onthouden van hun verzameling wachtwoorden. Het maakt niet uit of het in beveiliging geschoolde medewerkers zijn of niet, vrijwel iedereen maakt een of meer van de onderkende beveiligingsfouten. Dat zijn fouten zoals het gebruik van eenvoudige (zwakke) wachtwoorden, hergebruik, herhalen van wachtwoorden met een kleine aanpassing, opschrijven of digitaal vastleggen in niet-beveiligde documenten. Uiteindelijk blijkt 96% van de gebruikers verschillende van de in het beveiligingsbeleid vastgelegde regels met betrekking tot wachtwoorden te overtreden.
Dat is nogal wat. Kennelijk zijn we als informatiebeveiligers en IT’ers niet in staat geweest een goed alternatief voor deze eenvoudige (maar, indien goed uitgevoerd, effectieve) maatregel te ontwikkelen. Biometrie en two-factor authentication zijn inmiddels wel geaccepteerde mogelijkheden, maar door de kostenfactor worden zij nog niet breed ingezet. Daarnaast heeft biometrie nog de schijn tegen, te vaak verschijnen er films op youtube die het omzeilen van biometrische beveiliging demonstreren.
Mensen zijn visueel ingesteld en kunnen het onderscheid in afbeeldingen snel maken. Het zou mooi zijn als daar produktiebestendige tools voor worden ontwikkeld. Je vult je gebruikersnaam in, klikt op vijf afbeeldingen in de goede volgorde en je bent binnen. Door de afbeeldingen willekeurig in een matrix te plaatsen heb je per keer dat je inlogt een ander wachtwoord. Dat lijkt mij een sterk systeem.
De uitdaging die gepaard gaat met het uitreiken van het eerste wachtwoord of bij een wachtwoordreset is eenvoudig te pareren. Het eerste wachtwoord, dat aan de sterkte eisen moet voldoen, kan op schrift worden uitgereikt. Als een gebruiker voor de eerste maal inlogt moet hij een grafisch wachtwoord aanmaken. Na een reset ontvangt hij zijn tijdelijke wachtwoord per email of sms op zijn – tevoren geregistreerde – privé emailadres of mobiele telefoon. Ook voor hem geldt dat hij bij het inloggen een nieuw grafisch wachtwoord moet aanmaken.
Zo simpel. Zou het al bestaan?
Wachtwoorden resetten op afstand
Vroeg of laat lopen organisaties tegen het probleem aan van het resetten van wachtwoorden. Vaak worden er voordat het probleem zicht baar is allerlei constructies bedacht om de “vergeetfactor” te verkleinen. Het lijstje bij de secretaresse of ophangen aan de binnenkant van het koffiekastje zijn daar voorbeelden van.
In het formele proces moet er nog met de helpdesk gebeld worden, moet iemand zich legitimeren of moet iemand anders de melding doen. De gebruikersorganisatie heeft het liefst een snelle en gemakkelijke oplossing, terwijl de IT organisatie er weinig werk aan wil hebben en een goede ondersteuning van de informatiebeveiliging noodzakelijk is. Dit alles om te voorkomen dat een indringer zich toegang verschaft tot het netwerk.
Afhankelijk van de aard van de organisatie, de locatie van de medewerkers en het niveau van het beveiligingsbewustzijn, zijn er twee manieren voor het op afstand resetten van een wachtwoord. In een organisatie met een stabiele groep gebruikers kan gebruik worden gemaakt van het systeem met geheime vragen. Voorwaarde is wel dat men zich goed bewust is van de noodzaak van informatiebeveiliging. Bij deze werkwijze registreert de organisatie de antwoorden op vragen die alleen de originele persoon kan weten. Bij een wachtwoord reset aanvraag doen de goede antwoorden dienst als identificatiemiddel op afstand. Deze methode werkt alleen goed als de medewerkers zich realiseren dat de antwoorden op de geheime vragen inderdaad persoonlijk zijn en niet met elkaar gedeeld worden. Dit systeem van wachtwoord resetten komt veel voor bij organisatie met een relatief hoog niveau van beveiligingsbewustzijn of van de waarde van informatie. Denk aan banken, het verzekeringswezen of defensie. Daarnaast speelt de aard van het personeel een rol Als het verloop in een organisatie hoog is of als de klanten van de IT afdeling verspreid zitten of zelfs onbekend zijn, dan zijn er betere systemen te bedenken.
Op universiteiten kom je de ‘adidas methode’ nog wel tegen: melden bij de helpdesk en je legitimeren om een wachtwoord reset te krijgen.
Voor organisaties die om tal van redenen niet voor geheime vragen kiezen (bijvoorbeeld vanwege het onderhoud, of hoe om te gaan met vergeten antwoorden) is er een ander systeem. Hiermee wordt op geautomatiseerde wijze een sterk en eenmalig wachtwoord verzonden naar een tevoren geregistreerd e-mailadres of mobiel telefoonnummer. De gebruiker kan dan inloggen en zijn wachtwoord meteen wijzigen. Deze methode komt veel voor bij organisaties met een geografisch verspreide groep gebruikers. Webhosting bedrijven werken vaak op deze wijze.
Het waarom van wachtwoorden
Mensen zijn lui en houden niet van hindernissen. Wachtwoorden worden vaak beschouwd als een noodzakelijk kwaad. Je moet ze onthouden en als je ze vergeten bent moet je een procedure door om een nieuw wachtwoord te krijgen. Dat neemt niet weg dat wachtwoorden en gebruikersnamen (meestal komen ze samen voor) nuttig zijn bij het opwerpen van beveiligingsdrempels. Met een goed wachtwoordbeleid en voldoende begrip voor beveiliging bij de gebruikers is het mogelijk een serie drempels op te werken die onbekenden van buiten tegen kan houden.
Wachtwoorden dienen meerdere doelen. Samen met de gebruikersnaam geven ze een gebruiker van netwerkdiensten toegang tot diensten, zoals email, internet en (zakelijke) toepassingen. Wachtwoorden beschermen de waardevolle gegevens van een organisatie tegen pottenkijkers, of voorkomen dat iemand belangrijke gegevens aanpast.
Gebruikersnamen en wachtwoorden worden toegepast om medewerkers hun persoonlijke verantwoordelijkheid te laten nemen. Elke handeling in de ICT infrastructuur moet te koppelen zijn aan een account. Controle daarop maakt deel uit van het normale proces van in control zijn over de ICT omgeving en de daaraan verbonden informatiebeveiliging. Als het delen van accounts of wachtwoorden is toegestaan kunnen de medewerkers niet meer aansprakelijk worden gesteld. Het is immers niet meer helder wie verantwoordelijk is voor welke handelingen. Dat dit tot ongewenste situaties kan leiden mag duidelijk zijn.
Natuurlijk zijn er meer maatregelen te bedenken die vreemden de toegang tot het netwerk moeten ontzeggen. Deze vullen voornamelijk de hiaten, maar zijn geen vervanger voor het wachtwoord.
Wachtwoorden – nuttig?
Amex, een van de amerikaanse creditcardmaatschappijen, verplicht zijn klanten om zwakke wachtwoorden te gebruiken. Ze mogen alleen letters (hoofd- en kleine letters) en cijfers toepassen. Dit verhoogt niet alleen de kans op het goed raden van wachtwoorden of de kans dat een woordenboekaanval slaagt, maar zo worden de kosten voor de creditcard gebruikers ook hoger. Jaarlijks betalen mensen met een creditcard een bedrag voor het gebruik. Daarbij inbegrepen is een soort verzekeringspremie tegen het misbruik. Winkeliers en bedrijven die creditcards accepteren betalen een bedrag per transactie, maar ook om de kaart te mogen accepteren. Door nu wachtwoorden zwakker te maken zal de kans op misbruik stijgen. Dit betekent een stijging van verlieskosten voor de creditcard maatschappij. Zij moeten fraudeonderzoeken starten en de kosten verhalen. Hierdoor zullen de kosten voor de gebruikers, winkels en bedrijven stijgen.
In Japan worden two-factor authentication systemen afgedaan als te zwak, terwijl in Europa hooguit sms authenticatie gebruikt wordt – terwijl het gsm protocol al gekraakt is. In het land van de rijzende zon gebruiken ze bloedvatfingerprints als biometrische eigenschap. Deze techniek is beter en betrouwbaarder dan de gummibeertjes vingerafdruk, de onsmakelijke oorscan of de enge irisican die met een foto is te misleiden.
Hier gebruiken we sterke wachtwoorden bij banken, met hoofd- en kleine letters, cijfers en leestekens. Alleen dat onthouden, daar heb je een truukje voor nodig: tel ze bij elkaar op. Maak bijvoorbeeld gebruik van een vast getal (datum, geluksgetal, of iets dergelijks) en een steeds wisselend woord. Combineer dit met een vast patroon en voeg hier een leesteken aan toe.
Voorbeeld:
BakSteen + 05121954 = 05Bak12Steen1954?
Nog een voorbeeld:
WaterFles + 05121954 = 05Water12Fles1954?
Zo krijg je een wachtwoord dat zowel sterk is als goed te onthouden voor een mens.
In de top 10 van ergerlijke beveiligingsmaatregelen wordt het “onzinnige wisselen van wachtwoorden” genoemd. Ik vraag mij dan af wat daar onzinnig aan is. Het argument “als een wachtwoord niet geraden is hoef je het niet te wijzigen” vind ik zwak. Als wachtwoorden geraden kunnen worden zijn ze zwak en moeten ze regelmatig worden gewisseld om de periode waarin misbruik mogelijk is te beperken. Voor sterke wachtwoorden geldt hetzelfde, omdat ze waardevolle informatie beschermen.
Daarnaast wil het niet zeggen dat een wachtwoord niet is geraden als er geen misbruik van bekend is. Dat wil alleen maar zeggen dat het misbruik niet bekend is.
3 Setjes wachtwoorden
“Gebruik van wachtwoorden is ouderwets!”, stelt een Franse staatssecretaris. “Iedereen een certificaat! Dat is pas veilig!”. Deze ambtenaar werd onvolledig geïnformeerd, ook een certificaat moet je beschermen met een wachtwoord. Dat noemen we two-factor authentication. Certificaten kunnen wel veilig zijn, mits goed toegepast. Datzelfde geldt voor wachtwoorden. Uit onderzoek blijkt dat mensen hun wachtwoorden en gebruikersnaam van bijvoorbeeld internetbankieren hergebruiken voor allerlei andere (minder beveiligde) websites. Dat vormt een risico voor deze gebruikers, omdat een aanvaller die op de ene site de gegevens heeft achterhaald, deze op andere plaatsen kan hergebruiken.
Een betere manier om veilig met wachtwoorden om te gaan is er drie setjes op na te houden. De eerste combinatie van gebruikersnaam en wachtwoord gebruik je voor internetbankieren, de tweede combinatie voor je webmail en profielsites (hyves, linkedin) en de derde combinatie gebruik je voor al die onzinnige websites waar je toch moet inloggen om mee te kunnen kletsen op het forum.
Als je een certificaat van de overheid of je bank krijgt, kies dan een apart wachtwoord dat niet in je combinaties voorkomt.
Informatiebeveiliging 