De 5 redenen om wél je wachtwoorden regelmatig te wijzigen

De eeuwenoude discussie over gedwongen wachtwoord wijzigingen laait weer op. Het geregeld vervangen van wachtwoorden wordt gezien als achterhaald, maar er zijn redenen voor IT om (nog steeds) een vervalperiode in te stellen voor wachtwoorden, hoe vervelend dit ook is en vaak tot irritaties kan leiden.



Is het voor IT een goed idee om wachtwoorden niet meer te laten verlopen?



Microsoft besloot onlangs om de “Maximum Password Age” (de tijd dat een wachtwoord geldig mag zijn voor je een nieuwe moet aanvragen) te schrappen uit Windows en dat leidde tot veel en hevige discussies. De standaard – en aanbevolen – duur was 45 tot 60 dagen, afhankelijk van de OS-versie. Het volledig verwijderen van de feature volgt de aanbevelingen van National Institute of Standards and Technology (NIST) om enkel wachtwoord wijzigingen af te dwingen als je weet dat het wachtwoord is gestolen.

De gedachte erachter is dat wachtwoorden vaker worden omzeild op heel andere manieren dan met “brute force– of guessing-aanvallen”. Door gebruikers te dwingen om regelmatig hun wachtwoord te wijzigen, moedig je ze aan om dezelfde wachtwoorden of wachtwoordpatronen te gebruiken op meerdere plekken. De meeste wachtwoorden worden gestolen via phishing-aanvallen en een gedwongen reset om de zoveel tijd doet daar niets tegen.

Zou je het beleid van NIST en Microsoft moeten volgen en een vervaldatum voor wachtwoorden schrappen? Ik denk van niet en leg je hieronder uit waarom.



Cartoon-5-redenen-om-wel-je-wachtwoord-regelmatig-te-veranderen De 5 redenen om wél je wachtwoorden regelmatig te wijzigen


1. Compliance

Ik ben nog geen organisatie tegengekomen die niet moet voldoen aan een securitymaatregel of wetgeving: AVG, HIPAA, NERC, etc. Deze richtlijnen vereisen dat je geautomatiseerd en met enige regelmaat wachtwoorden wijzigt. Ook als je gelooft in het advies van NIST, zul je in de praktijk vaak vanwege compliance alleen al vastzitten aan het geregeld wijzigen van wachtwoorden.



2. Je weet zelden dat een wachtwoord is gestolen

M’n grootste bezwaar tegen ‘verander je wachtwoord pas als je weet dat hij is gestolen’ is dat de meeste mensen dat niet weten. Als ik kijk naar de data over hoe lang aanvallers in netwerken rondhangen voor ze worden opgemerkt, hebben we het niet over dagen, maar over maanden. Dat gebeurt omdat mensen niet weten dat hun credentials zijn gestolen.

Honderden miljoenen wachtwoorden, sommige zijn al jaren geleden gestolen, kom je regelmatig tegen op het darkweb of een pastebin. Veel van deze inloggegevens zijn nog steeds geldig, omdat mensen hun wachtwoord niet wijzigen. Dat feit alleen al is een aardige indicatie dat een gedwongen wachtwoord wijziging op z’n tijd wel op z’n plek is. De kans dat een wachtwoord-aanval succes heeft verklein je met een vervalperiode voor wachtwoorden.



3. Leidt gedwongen wijziging wel tot recycling?

De aanname is dat een gedwongen wijziging ervoor zorgt dat mensen hetzelfde wachtwoord of patroon gebruiken voor meerdere diensten en websites. NIST heeft geen data gedeeld om te laten zien dat dit inderdaad het geval is. Die harde data bestaat misschien wel ergens, maar ik zoek er al jaren tevergeefs naar.

Als sites periodiek vragen om je wachtwoord te wijzigen, komt het niet vaak voor dat gebruikers deze synchroniseren voor alle diensten. Voor zakelijke netwerken geldt het vooral dat dit weinig verandert aan de andere sites. Als een organisatie gedwongen wachtwoorden wijzigt, garandeert dat bijna dat dit gaat om een unieker wachtwoord dan op andere sites wordt gebruikt. Door nooit te vragen om een wijziging, werk je juist in de hand dat mensen hun statische wachtwoord op een andere plek gebruiken.

NIST denkt zelfs dat complexere wachtwoord-eisen ervoor zorgen dat gebruikers ze hergebruiken. Ook hier heb ik geen ondersteunende data van gezien en ik ben er niet eens zeker van dat dit mogelijk is. Als je graag lange of complexe wachtwoorden als default gebruikt, merk je al snel dat wat lang of complex is erg varieert per website. Sommige accepteren acht tot twaalf tekens. Anderen geen speciale tekens. Weer andere vereisen dat juist. Succes als je hetzelfde lange en complexe wachtwoord op meerdere plekken wilt gebruiken.



4. Cracking gebeurt nog steeds

Hoewel guessing-aanvallen en password-cracking niet meer zo populair is als vroeger, gebeurt het nog steeds. Het leidt tot tienduizenden inbraken. Verschillende malwaresoftware heeft een feature om wachtwoorden te raden. Die worden dagelijks gebruikt voor RDP, Putty, VNC, SSH en andere inlogportals. Die inbraken zouden niet mogelijk zijn met lange en complexe wachtwoorden, maar veel slachtoffers gebruiken die niet. Met een wachtwoord wijziging heeft een aanvaller minder lang de tijd om een wachtwoord te achterhalen.

Zolang cracking nog gebeurt, waarom zou je dat risico dan niet verminderen? Wil je me van gedachten doen veranderen, hoef je me alleen maar data te laten zien dat afgedwongen wachtwoord wijzigingen inderdaad een groter risico oplevert. Dat heb ik namelijk niet gezien, maar ik heb wel tienduizenden voorbeelden gezien van accounts die worden veroverd door een bot die wachtwoorden kraakt.



5. Ik kan je wachtwoord via e-mail stelen

Ik kan een linkje embedden in een e-mail die ervoor zorgt dat je browser met je Windows-wachtwoordhash opstuurt zodra je op de link klikt. Er zijn manieren om dit te voorkomen, maar de meeste organisaties implementeren hier geen goede beveiliging tegen, vooral met mobiele gebruikers die regelmatig het netwerk verlaten.

Ik krijg niet je wachtwoord in platte tekst, maar het stuurt de NTLM-challenge response handshake van Windows en diverse hacktools kunnen daar de hash uithalen. Die hash kan worden ingezet voor andere aanvallen om binnen te komen of het wachtwoord kan eruit worden gehaald met andere tools.

Wachtwoorden van acht tekens zijn kinderspel om te kraken, zelfs als ze heel complex zijn. Ik heb meerdere voorbeelden gezien van hashes op basis van 12 tekens die worden gekraakt en zelfs een aantal wachtwoorden van 16 tekens waren niet veilig. Dit waren geen super complexe wachtwoorden, maar leken op een aardige weergave van het soort wachtwoord dat de gemiddelde eindgebruiker inzet in een zakelijke omgeving. Zolang aanvallers op deze manier gemakkelijk een hash kunnen verkrijgen, is het niet periodiek wijzigen van wachtwoorden een verhoogd risico.



Hoe vaak zou je wachtwoorden moeten wijzigen?

Microsoft raadde officieel niet aan om wachtwoorden niet meer te laten vervallen, maar laat dit over aan de systeembeheerder. Dat is een subtiel verschil.

Als je moet voldoen aan compliance kunnen we het hier lang of kort over hebben, maar komt her erop neer dat je geen keus hebt. Als het is vereist hangt het af van het type organisatie en het soort risico waar het mee te maken heeft om te zien wat de interval moet zijn. Ik vind dat gedwongen wijzigingen elke 30 tot 45 dagen krankzinnig is. Dat is inderdaad vragen om recycling-issues.

De gemiddelde organisatie doet het waarschijnlijk elke 90 dagen en dat lijkt me (gezien het ontbreken van garde cijfers om me een goede richtlijn te geven) een aardige periode voor organisaties die wachtwoord-hacks een groter risico achten. Maar met een gemiddeld risicoprofiel acht ik 180 tot 365 dagen ook als een redelijke interval.

Het schrappen van verval-periodes voor wachtwoorden in alle organisaties lijkt me een recept voor meer inbraken in plaats van minder, tenminste totdat iemand mij praktijkgegevens kan laten zien die anders aangeven.

Ben je het ook spuugzat al dat gedoe rondom wachtwoorden? Zijn jouw collega’s ook toe aan iets wat werken makkelijker maakt, efficiënter maar tegelijkertijd ook veiliger? Bekijk eens de opties zijn van Okta. De marktleider in in IaaS (Identity as a Service) waarbij alle applicaties op een veilige manier beheerd worden en overal en altijd benaderbaar zijn.

Heb je vragen of opmerkingen over bovenstaand artikel? Wil je meer informatie wat wij en Okta voor jou kunnen betekenen? Neem gerust contact met ons op, we adviseren je graag.



Bron: Computerworld.nl