Waarom gebruiken we nog steeds (gemakkelijke) wachtwoorden?

01/08/2012 - 13:33

Naar aanleiding van het bericht eind juli dat de emailaccounts van Europees president Herman Van Rompuy en tien andere hooggeplaatste EU-officials werden gekraakt, kan men zich echt afvragen waarom we anno 2012 nog altijd met wachtwoorden werken om toegang te krijgen tot IT-systemen.

Vanaf de uitvinding van de computer is men uitgegaan van 3 gangbare methoden om de toegang te beveiligen, met name:

 
1. Iets dat je weet: wachtwoord, wachtzin of pincode
2. Iets dat je hebt: een token, USB stick, smart card of ander toestel
3. Iets dat je bent: biometrie (stem, vinger, oog, gezicht, hand, enz.)
Met de toename van mobiele toestellen is ook een vierde methode meer en meer gangbaar geworden, met name:
4. Iets dat jouw plaats bepaalt: geolocatie (fysieke locatie)

Het blijft ten zeerste merkwaardig dat de IT industrie tot op de dag van vandaag niet in staat is om komaf te maken met (simpele) wachtwoorden als toegangsbeveiliging tot digitale informatie. In april 1985 publiceerde het Amerikaanse Department of Defense (DoD) reeds een 31 bladzijden “password management guide” waarbij de vier basiscontroleconcepten rond wachtwoorden worden uitgelegd: persoonlijke identificatie van een gebruiker, authenticatie van de identiteit van een gebruiker, privacy van gevoelige informatie (jawel) en auditeerbaarheid bij incidenten.

Gene Spafford analyseerde in 1991-1992 met het OPUS project aan de Universiteit van Purdue welke wachtwoorden gebruikers aan de universiteit gebruikten. Uit zijn wetenschappelijk onderzoek van ruim 13.787 anoniem verzamelde maar reële wachtwoorden bleek toen de gemiddelde lengte 6,8 karakters te zijn, bijna 1 op de 3 uitsluitend te bestaan uit kleine letters en een ander derde uitsluitend uit cijfers te bestaan. Daarenboven waren ruim 20% van de wachtwoorden perfect terug te vinden in een toenmalig woordenboek. En dit in 1992! Klinkt herkenbaar? Blijkt dus dat we ruim 20 jaar later nog altijd met dezelfde problematiek zitten. Raar maar waar.

Is dit omdat er zo weinig aandacht rond is in de media? Volgens mij niet. Toen in oktober 1988 bekend geraakte dat de Bistel computer van de toenmalige premier Wilfried Martens gekraakt was, bleek dat zijn wachtwoord nog steeds “Tindemans1” was, naar zijn voorganger van bijna 10 jaar ervoren, Leo Tindemans. Algemene hilariteit, maar helaas zonder veel gevolgen.

Ook recenter in januari 2011 maakten de jongens van Neveneffecten een hilarische maar helaas zeer realistische reportage in hun TV-reeks BASTA over eenvoudige wachtwoorden met een test in de gebouwen van Woestijnvis waaruit bleek dat ook bekende Vlamingen anno 2011 een ietwat simpel wachtwoord gebruikten. Stijn Meuris en Steven Van Herreweghe hadden gekozen voor hun voornaam en Tom Van Dyck koos voor de naam van zijn bedrijf dat op Wikipedia terug te vinden was. De reportage is nog steeds terug te vinden op YouTube. Ik ben ervan overtuigd dat een dergelijke test gelijkaardige resultaten zal hebben in vele organisaties vandaag.

Bovendien bestaan er echt een massa films en TV-series waar te pas en te onpas wachtwoorden worden gekraakt dat het een lieve lust is. Ik heb in mijn collectie reeds meer dan 150 films waarin dergelijke scenes worden getoond. Het is uiteraard meestal fictie, maar in mijn collectie zitten ook al een aantal documentaires.

Met de opkomst van sociale media, cloud computing en het toenemend mobiel internet gebruik nemen ook de inbraken op (eenvoudige) wachtwoorden toe omdat het voor de buitenwereld gemakkelijker wordt om toegang te krijgen tot de virtuele toegangspoort van een organisatie waar het wachtwoord wordt gevraagd: Yahoo, Gmail, Linkedin, enz. halen de krantenkoppen van de dag, maar helaas gebeurt er weinig mee.

Dus, voorbeelden en gevalstudies met hopen, en toch nog steeds weinig veranderingen…

Wie heeft hier weinig aan gedaan?
De eerste groep die weinig echte oplossingen hebben opgeleverd is de IT-industrie zelf. Begrijp me niet verkeerd. De IT-industrie zal zeker zwaaien met oplossingen zoals Identity & Access Management tools, Single Sign-On tools, One-Time Password systems, en access devices die hun eigen wachtwoorden genereren mits het invoeren van pincodes, enz. Alsof eindgebruikers en de directies daarop zitten te wachten: een massa geld investeren in dure software en hardware oplossingen met bijhorende consulting diensten en onderhoud in vergelijking tot de toegevoegde waarde en gebruiksgemak.

Even werd in België de eID naar voor geschoven als een oplossing, tot bleek dat dit een smartcardreader vergde op alle toegangspunten waar gebruikers werken (kost) en vele personen dit nog als een deel van hun privé-sfeer beschouwen (psychologie). Verder wordt vergeten dat in de praktijk sommige systemen moeten gedeeld worden door verschillende gebruikers. Bovendien laten sommige IT-systemen helemaal geen lange wachtzinnen toe die gebruikers zelf kunnen veranderen waar en wanneer ze dat willen (vergeten vragen bij de offerte). De toegevoegde waarde van dergelijke investeringen is moeilijk, zeker in vergelijking met de investering in andere activiteiten binnen de organisatie. Maar soms worden dergelijke tools alsnog gekozen als een zoethouder voor de regelgever of raad van bestuur om aan te tonen dat de organisatie wel degelijk “ermee bezig is”.

Dat leidt me tot de tweede categorie: directies in vele organisaties kennen uiteraard de problematiek aangezien ze zelf eindgebruiker zijn. Veelal is er echter grote druk om directieleden een flexibelere wachtwoordregeling te geven (lees: wachtwoord vervalt nooit of is niet complex), ofwel gaan directieleden eenvoudigweg hun wachtwoord geven aan hun directie-assistente die dan alle nodige handelingen doet in naam van de desbetreffende directeur. Dit druist in tegen het principe “tone at the top”, vrij vertaald als “de leidinggevende geeft het goede voorbeeld”. Pijnlijk, maar helaas herkenbaar. Als het dan fout gaat, tja,…

De derde categorie met weinig goede oplossingen zijn helaas de informatiebeveiligingsverantwoordelijken (ook wel CISO's of Chief Information Security Officers genoemd) die eisen en/of zweren bij complexe wachtwoorden die om de 30-60-90 dagen moeten veranderd worden en liefst van al verschillend zijn voor elke toepassing. Gevolg is dat eindgebruikers allerlei alternatieven gaan uitdokteren om hun serie wachtwoorden te onthouden/gebruiken. De Post-its van 3M worden hiervoor gebruikt, maar ook de MS Excel-file en recentelijk ook de opslag van wachtwoorden in internet browsers. Uiteraard wordt hier superstreng tegen opgetreden door deze verantwoordelijken die het als hun kruisvaart beschouwen om iedereen in de pas te laten lopen. Gelukkig ken ik ook meer pragmatische informatiebeveiligingsverantwoordelijken.

Tenslotte bestaan er wel degelijk compliance regels die soms zeer ver gaan in het eisen van welbepaalde wachtwoord criteria, zoals PCI DSS (Payment Card Industry Data Security Standards), maar sommige worden ook uitgevonden door adviseurs zonder dat deze criteria echt bestaan. Ik nodig iedereen uit om met de gebruikers te praten die in organisaties werken waar dergelijke compliance regels tot op de letter worden uitgevoerd. Zeer leerrijk.

Wat zijn momenteel de meest gangbare en realistisch haalbare oplossingen rond wachtwoorden?
Vooreerst dient een helder wachtwoordbeleid te bestaan dat wordt goedgekeurd door de directie en die van toepassing is voor iedereen in de organisatie. Hierin kan bijvoorbeeld gemeld worden dat na een welbepaald aantal verkeerde pogingen, de gebruiker een afgesproken tijd moet wachten waarna hij/zij opnieuw kan proberen. Bovendien dient dit beleid aandacht te schenken aan voldoende en regelmatige voorlichting aan alle gebruikers (en specifieke voorlichting voor groepen die met meer dan gevoelige informatie omgaan) omtrent het belang van goede wachtwoorden/wachtzinnen te kiezen. FEDICT deed in 2005 een zeer verdienstelijke poging om computergebruikers in België te sensibiliseren met de PeeCeeFobie campagne, maar helaas is het bij die ene steekvlam-campagne gebleven.

Ik weet uit praktijkervaring hoe moeilijk het is om een degelijke voorlichtingscampagne rond wachtwoordgebruik in elkaar te steken en praktisch / regelmatig te brengen naar de doelgroep(en). De doelstelling zou moeten zijn om alle gebruikers minstens 2x per jaar te bereiken (naast de traditionele beginners in de organisatie en de ad hoc herinneringsberichten bij incidenten). Het beste advies is om dergelijke campagne op te zetten in de cultuur en aangepast aan de leefwereld van de organisatie. Dus geen atletiekbeelden maar wel transportbeelden gebruiken in een transportfirma, winkelbeelden gebruiken in een warenhuisketen, IT-beelden gebruiken in een IT-dienstenorganisatie, enz.

Ten tweede moeten gebruikers aangeleerd worden hoe ze op een eenvoudige manier slimme wachtzinnen kunnen maken. De vuistregel is om mensen woorden te laten combineren in een wachtzin tesamen met hun eigen unieke begin of eindcombinatie die ze telkens kunnen herhalen bij hernieuwing van hun wachtzin. Uiteraard dient dit mogelijk te zijn. Dus een extra criterium dat van naderbij moet bekeken worden bij de ontwikkeling of aanschaf van software/hardware oplossingen.

Ten derde moeten eindgebruikers keuzes krijgen in praktische oplossingen om verschillende wachtwoorden eenvoudig maar effectief te kunnen installeren, te gebruiken en te veranderen. Indien nodig mogen gebruikers een deel van hun wachtwoord op een Post-it schrijven zolang ze maar slechts een deel noteren in plaats van het geheel. En waarom zouden gebruikers geen gebruik mogen maken van een door de organisatie gekozen virtuele wachtwoord-kluis zoals KeePass, Password Vault Manager, S10 Password Vault, 1Password, enz. Deze oplossingen worden door sommige informatieveiligheidsverantwoordelijken geweerd als des duivels, maar zonder noemenswaardige alternatieven aan te reiken, tenzij MS Excel natuurlijk.

Tenslotte zou ik willen pleiten voor echte innovatie in dit specifieke gebied van IT. Er zijn inderdaad al pogingen geweest in het verleden rond single sign-on en dergelijke, maar in de meeste organisaties vandaag werkt men nog steeds met wachtwoorden als basis authenticatie techniek en dit omwille van de veelheid van systemen en toepassingen en omwille van de kost. Persoonlijk denk ik dat de evolutie naar virtualisatie, cloud computing en centralisatie van informatie en toepassingen een positieve invloed kan hebben op eenvoudige maar effectieve toegangsmethoden voor gebruikers. Het lijkt niet meteen het meest sexy thema in IT, maar ik denk dat elke eindgebruiker het basisrecht heeft om zijn/haar informatie te beschermen via een eenvoudige gebruiksvriendelijke authenticatie manier. Intussen moeten we het doen met wachtzinnen.

Marc Vael
President, ISACA BELGIUM

Data News in je nieuwsoverzicht op Facebook

Meer over:

 

Reacties

hmtk | 6 augustus 2012

Een vrij degelijke analyse maar slechte oplossingen. Je moet gebruikers niet aanleren om met paswoorden om te gaan want als je teveel paswoorden moet onthouden loopt het toch mis. Wachtwoordkluizen zijn ook knudde want je bent weer afhankelijk van een of andere software of dienst. Je Keepass gaat bv ook niet fantastisch goed werken op een pc waar je geen USB-devices kan gebruiken denk ik. Wat we écht nodig hebben is een standaard om veilig aan te melden via een of ander token met een eenvoudig paswoord erbij. Niet alleen in België maar wereldwijd. Spijtig genoeg zie ik dat niet direkt gebeuren :-/ En waar we dringend vanaf moeten in het kader van security is het fenomeen van certificaten. Het is al meermaals gebleken dat die NIET VEILIG zijn.

Ongepast?

Marc V. | 3 augustus 2012

Dropbox heeft het ook begrepen: enkel een wachtwoord is onvoldoende http://arstechnica.com/security/2012/07/dropbox-confirms-it-got-hacked-will-offer-two-factor-authentication/

Ongepast?

Marc V. | 3 augustus 2012

dit is een bekend verhaal waarbij de "human factor" primeert: - vele gebruikers denken dat niemand geïnteresseerd is in hun gegevens; dus waarom moeite doen? kijk eens hoeveel WIFI-connecties nog steeds onbeschermd zijn anno 2012 – awareness groeit dat men die toegang toch best maar eens afschermt, maar niet iedereen is zich ervan bewust; - een gebruiker wenst niet al te frequent van paswoord wisselen, of te afwisselend paswoorden gebruiken, uit vrees voor een belangrijk contraproductief gevolg: het frustrerend fenomeen van het buiten sluiten van jezelf, of van zgn. need-to-know derden, zoals significant others binnen privésfeer of werkomgeving, indien je afwezig bent; - voorts is er ook de waardering van de gebruiker voor het gebruiksgemak van voorgeprogrammeerde wachtwoorden: een invulformulier wordt op bepaalde website grotendeels aangevuld bij een volgend websitebezoek en de gebruiker ervaart dat als een praktische feature (zoniet wijzigt hij/zij de settings bij Internetgebruik om geen cookies toe te laten), want het vergt minder denk- of zoekwerk en bespaart ook vervelend typwerk. Maar die gemakzuchtige medaille heeft ook een keerzijde: als de cookies worden gewist moet de gebruiker zich de informatie (dus de voorheen opgeslagen gegevens) herinneren of naspeuren; Er zijn trouwens veel gelijkenissen met de verhalen over superbeveiligde fysieke lokalen waar onbevoegden zich toch toegang toe kunnen verschaffen door een eenvoudige menselijke fout/blunder (menselijke tekortkoming die alle gesofisticeerde beveiligingen in essentie nutteloos maakt).

Ongepast?

Paul De Vroede | 2 augustus 2012

Wachtwoorden (i.e. alle varianten van 'something we know' ; of we ze nu als 'zwak', 'sterk', passphrase of PIN codes aanwijzen) hebben weliswaar specifieke zwakheden, bvb dat ze kunnen opgeschreven worden en op die manier ook kwetsbaar zijn voor lekken, of dat ze vaak gemakkelijk kunnen onderschept worden, bvb door shoulder-surfing, een key-logger op de PC, een camera aan de geldautomaat of tankstation, ... Maar de fundamentele zwakte in vele implementaties van authenticatie zit mijn inziens eerder in de keuze voor single-factor authenticatie. Wachtwoorden - zelfs eenvoudige en vrij statische zoals een 4-cijferige PIN - kunnen een vrij goede authenticatie verzekeren, indien ze gecombineerd worden in een multi-factor authenticatie methode. Dat is ook gewenst, want het gebruik van een bankkaart of smartcard zonder PIN, OTP token zonder PIN, of zelfs fingerprint zonder PIN, zou ook niet dezelfde veiligheid bieden als authenticatiemiddel, dan wanneer gecombineerd in een multi-factor opzet. Als ik me even waag aan een statistische denkoefening vertrekkende vanuit het % van kennissen die mij zelf gemeld hebben dat hun web-mailbox gecompromitteerd is geweest, dan kan ik alleen maar vermoeden dat er massaal veel GBytes aan persoonlijke informatie en wellicht ook persoonlijke informatie van hun kennissen - die zich na jaren gebruik in die zeer grote web-mailboxen bewaard zijn - zich in de handen van onbekenden bevindt, cybercriminelen die steeds zoeken naar nieuwe manieren (denk maar aan de recent opgedoken ransomware) om iets - zoals informatie - ten gelde te maken. Dan is er toch wereldwijd een groot probleem met de vertrouwelijkheid van een massa (zeer) persoonlijke gegevens, die veelal enkel door een single-factor authenticatie met wachtwoord worden beschermd, een probleem dat vroeg of laat tot persoonlijke drama’s gaat leiden. Het is een raadsel (of misschien een trieste vaststelling hoe slecht het gesteld is met innovatie?) dat nog geen goede globale (*) authenticatie oplossing voor het beschermen van al die publieke cloud diensten in de markt is gezet (* sterke authenticatie is uiteraard al wel optioneel verkrijgbaar voor bepaalde diensten, maar het is ook niet de bedoeling dat we straks met 20 verschillende ‘tokens’ rondlopen). Maar ‘als je geen deel bent van de oplossing, ben je een deel van het probleem’, zegt men al eens… Dus, bij gebrek aan een goede security-control, is het zoeken naar compensating controls, en mijn inziens is er eentje uit de categorie 'low hanging fruit' die weliswaar niet het authenticatie-proces op zich verzekert, maar wel de schade in geval van een incident kan helpen beperken: Elke webtoepassing waar authenticatie gebruikt wordt (en zeker in het geval single-factor wachtwoorden worden gebruikt) zou aan de aangelogde gebruiker moeten tonen wanneer het laatst (de keer voor de huidige logon) succesvol aangelogd is met het gebruikersaccount. Dit kan eenvoudig vanuit de systeemlogs door de applicatie getoond worden, en dat soort informatie is niet wijzigbaar door een gewone gebruiker dus ook niet door de 'inbreker' die identity theft gepleegd heeft (buiten ‘man in the browser’ aanvallen, waar ook dit soort info kan vervalst worden). Dit is een van de weinige controls die een gebruiker een signaal kan geven dat zijn credentials door iemand anders zijn gebruikt, sinds de laatste keer dat hij/zij de webtoepassing (bvb webmail, webwinkel, internet banking, web-CRM, ...) heeft gebruikt wat de gebruiker alvast toe laat actie te nemen (melding van de inbraak, wachtwoord veranderen, enz). Vandaag heeft de gebruiker in bijna geen enkele toepassing een manier om vast te stellen dat identity theft met zijn digitale identiteit plaats heeft, en dat kan dus zeer lang door gaan (bvb tot de volgende - al dan niet door het systeem afgedwongen - password change). Additioneel zou - waar technisch en wettelijk mogelijk - ook kunnen aangegeven worden vanaf welke 'locatie' laatst aangelogd werd, bvb vanaf welk IP-adres of de daaruit af te leiden geografische locatie (IP Geo locatie). Uiteraard kan in dit laatste geval het getoonde IP-adres (/locatie) enige 'interpretatie' vereisen of zelfs verwarring veroorzaken voor een gebruiker, bvb wanneer een proxy gebruikt wordt, of wanneer men toegang heeft via een VPN naar het bedrijfsnetwerk en van daaruit het internet opgaat. Maar het laat alvast toe dat een gebruiker die steeds een bepaald IP of locatie ziet staan bvb 'Brussel', en die op een bepaald ogenblik 'China' of 'Rusland' ziet staan als locatie van waaruit de toepassing laatst benaderd werd, de mogelijkheid heeft om vast te stellen dat er wellicht iets aan de hand is. Dit is niet zo complex om te implementeren, heeft een ontmoedigend effect voor indringers (ook voor nieuwsgierige systeembeheerders in een onderneming die vaak het wachtwoord van hun gebruikers kennen desondanks alle goed advies om wachtwoorden niet vrij te geven) de sporen van inbraak zijn immers zichtbaar, en toch wordt het weinig toegepast. Of een dergelijke control - naar analogie van de veelbesproken 'cookie-wet' - in een wetgevend kader dient opgenomen te worden wil ik hier zeker niet suggereren... maar ik zou toch zeer blij zijn als mijn ISP het alvast uit eigen initiatief implementeren op de aangeboden webmail-dienst ; het zou voor mij persoonlijk alvast een belangrijke toegevoegde waarde bieden.

Ongepast?

compugo | 2 augustus 2012

Mijn oplossing: LastPass 1 zeer goed paswoord te onthouden (en multifactor authentication om op mijn Vault te komen). Voor alle andere sites (al meer dan 300 in mijn Vault) is er geen enkel dubbel paswoord meer en mijn gemiddelde paswoord lengte is 25chars. Beste beslissing ooit, al is er al eens een of ander forum gekraakt en worden mijn paswoord op die site gecompromiteerd maakt niet uit al de rest is nog veilig.

Ongepast?

 

Reageer

Nieuwsbrief

Schrijf u in op Data News dagelijkse nieuwsbrief

Schrijf u in op Data News Start-ups maandelijkse nieuwsbrief

Schrijf u in op Data News Jobs wekelijkse nieuwsbrief

E-mail:
 

Nu op DataNews.be

Whitepapers