Onze diensten

Succesvol wachtwoordbeheer

Datum: 28-05-2020

Tijdens mijn consultancywerk heb ik wel eens discussies met systeembeheerders en informatiebeveiligingsspecialisten over het beleid voor wachtwoorden. Het formele beleid zoals de verschillende normen het tot nu toe formuleerden, gaat uit van een wachtwoordlengte van 8 karakters met daarin minimaal één hoofdletter, een getal en een speciaal karakter. Echter de keuze van het speciale karakter is meestal gelimiteerd tot enkele karakters als #$%&!. Diakritische tekens (é, ü, ç) of tekens uit het Griekse (δ, π, Ω) of Cyrillische alfabet (Д, я, и) worden zelden toegestaan. Het wachtwoord zou dan minimaal elke 90 dagen vervangen moeten worden door de gebruiker. Helaas zijn de meeste mensen niet in staat om zeer complexe wachtwoorden te onthouden en kiezen wachtwoorden die eenvoudig te raden zijn.

Blacklist met onaanvaardbare wachtwoorden

Gebruikers blijken voorkeur te hebben voor bepaalde wachtwoorden. Aanvallers proberen daarom vaak eerst de wachtwoorden die vaak zijn waargenomen bij gekraakte wachtwoorden. Daarom wordt aanbevolen om gebruik te maken van een blacklist met onaanvaardbare wachtwoorden. Voorbeelden van verboden wachtwoorden kunnen zijn:

  • Wachtwoorden die uit eerdere password breaches bekend zijn.
  • Woorden uit het woordenboek.
  • Herhalende of opeenvolgende tekens (bv. ‘aaaaaa’ of ‘1234abcd’).
  • Specifieke woorden, zoals de naam van de dienst of website, de username en afgeleiden daarvan.
  • Herkenbaar gestructureerde wachtwoorden (zoals in het voorbeeld: Welkom1!).

Tekortkomingen van wachtwoordcomplexiteit

Uit onderzoek blijkt, dat regels voor wachtwoord complexiteit heel voorspelbaar worden uitgevoerd. Het wachtwoord begint meestal als een woord in kleine letters. Als een hoofdletter vereist is, dan kiezen we daar de eerste letter voor. Als cijfers vereist zijn wordt een volgnummer toegevoegd en aan het eind staat eventueel een bijzonder teken. Als een bijzonder teken wordt gebruikt, is dat meestal het uitroepteken. Bedenk nu zelf maar of je Welkom1! een sterk wachtwoord vindt. De tekortkomingen van wachtwoordcomplexiteitsregels leiden niet alleen tot frustratie, maar ook tot schijnveiligheid.

Nieuwe richtlijn voor wachtwoorden

Het Amerikaanse National Institute of Standards and Technology, NIST, heeft nieuwe richtlijnen voor wachtwoorden opgesteld die veel meer nadruk legt op de lengte van het wachtwoord. Tevens zouden alle wachtwoordservices moeten worden aangepast om te voldoen aan deze richtlijnen. NIST heeft de nieuwe eisen voor veilige wachtwoorden beschreven in SP 800-63. NIST vindt de nieuwe richtlijn nodig, omdat wachtwoorden nog steeds veel gebruikt worden en de bestaande regels voor “veilige wachtwoorden” tekort schieten. Voor velen zullen de nieuwe richtlijnen verrassend zijn.

Een ander probleem met de huidige methode van wachtwoorden definiëren is, dat er meestal maar 26 tekens worden geaccepteerd als hoofdletter en 26 als kleine letter. Voeg hier de 10 cijfers en 8 speciale karakters bij en dan heb je 70 verschillende karakters per positie. Dat lijkt veel, maar als je nagaat dat één positie in principe 256 binaire mogelijkheden kent, zou je dus veel meer mogelijkheden hebben om te kunnen gebruiken in het samenstellen van een wachtwoord.

Spaties worden vaak geweigerd

Veel gebruikers noemen de frustratie dat veel informatiesystemen wachtwoorden met spaties weigeren en bepaalde speciale tekens niet accepteren. Dit beperkt de mogelijkheden om wachtzinnen te gebruiken. Hiervoor is echter geen goed verdedigbaar argument. Er is feitelijk geen enkele reden om dit soort karakters niet te accepteren, want het wachtwoord wordt omgerekend en opgeslagen als een hash. Dit is een groot samengesteld getal uit het ingevoerde wachtwoord. De speciale tekens worden niet in een database opgeslagen en vormen dus ook geen probleem in de verwerking in de onderliggende registratiedatabase.

Een set regels

NIST wil dat een wachtwoord zo gekozen wordt, dat het eventueel wel makkelijk te onthouden is, maar niet dat het eenvoudig te raden is. Het belangrijk dat ze geheim gehouden worden, om te voorkomen dat anderen ze kunnen misbruiken. Daarom heeft NIST een set regels opgesteld waarbij de wachtwoord controlerende module in een informatiesysteem veel flexibeler om moet kunnen gaan met allerlei tekens in een wachtwoord.
Zo moeten alle Unicode karakters gebruikt kunnen worden en moet de wachtwoord module het gekozen wachtwoord normaliseren naar de Unicode standaard. Verder moet de wachtwoord module het ingevoerde wachtwoord kunnen afwijzen op basis van een zwarte lijst met niet toegestane wachtwoorden. Het periodiek vervangen van wachtwoorden zou dan ook niet meer verplicht moeten zijn. Tevens slaat de wachtwoordmodule wachtwoorden zodanig op, dat zij weerstand bieden tegen offline attacks. Het wachtwoord wordt daarom niet zelf opgeslagen, maar wordt gehasht met een 32-bit salt en de hash-functie moet minimaal 10.000 iteraties uitvoeren, wat snel genoeg is voor het verifiëren van een enkel wachtwoord, maar het kraken van een password via de brute force methodiek of met behulp van rainbow tables zeer nuttig vertraagd en bemoeilijkt.

Andere eisen

Bovengenoemde eisen zijn anders dan de regels die we nu stellen aan wachtwoorden en het toepassen daarvan in onze informatiesystemen. Deze eisen hebben daardoor wel veel impact op de ontwikkeling van de wachtwoordmodules in al onze applicaties en systemen.
Daarnaast zal het voor iedereen de inzet van een wachtwoordmanager (een beveiligde kluis) voor het genereren en beheren van wachtwoorden worden gewenst. Deze tools moeten dan ook zo worden ontwikkeld dat zij de uitgebreide karakterset gebruiken voor het genereren van toegangscodes.

Privacy vraagstuk?

Heeft jouw organisatie hulp nodig bij privacyvraagstukken? Neem contact op, we vertellen je graag alles over de mogelijkheden. Direct op de hoogte blijven over alle ontwikkelingen? Schrijf je in voor onze nieuwsbrief.

Bronnen: CQURE Blog “De bezem moet door ons wachtwoordbeleid”- Auteur: Cor Rosielle, NIST Special Publication 800-63B

wachtwoordbeheer