Volgens het van oorsprong Nederlandse bedrijf Tools4Ever, gespecialiseerd in Identity & Access Management, bestaat een kwart van alle helpdeskoproepen uit wachtwoordgerelateerde kwesties. Het bedrijf ontwikkelde een tool waarmee gebruikers zelf op een veilige manier hun eigen wachtwoord opnieuw kunnen instellen. SSRPM bestaat uit een service en een administratiemodule die op een Windows-pc of -server draait en een clientmodule die een reset-knop toevoegt aan de Windows- of webapplicatie-inlog voor eindgebruikers. Het tool kan alleen gebruikt worden in een netwerk met een Active Directory-domeinserver.

Naast fysieke Windows-clients worden ook remote desktopclients onder Citrix en Windows Terminal Server ondersteund. Het systeem ondersteunt verder diverse webapplicaties, waaronder Lotus Notes, Outlook Web Access en NFuse. De clientmodule spreekt meerdere talen, waaronder ook Duits, Frans en Nederlands.

Praktijk

De SSRPM-servermodule wordt als service op een 32- of 64-bits Windows 2000 SP4 of hoger pc of server geïnstalleerd. Een gebruiksvriendelijke wizard installeert een beveiligde service, geeft toegang aan administrators tot die service, koppelt het wachtwoordenbeheer met een database (Microsoft Jet of MS SQL 2000/2005/MSDE), configureert optioneel een e-mailadres voor rapportages en koppelt SSRPM aan de Active Directory-domeincontroller. De installatie duurt een tiental minuten.

In het SSRPM Dashboard ziet de systeembeheerder in één oogopslag hoeveel AD-gebruikers gekoppeld zijn aan het wachtwoordenbeheer, welke gebruikers geblokkeerd zijn, hoeveel enrollments er zijn en welke gebruikers recent hun wachtwoord hebben gereset. Die informatie kan in een rapport worden gegoten, dat men optioneel ook op gezette tijden kan e-mailen. Via de rapportagemodule kunnen nog tal van andere rapporten worden gegenereerd en verstuurd, waaronder ook wekelijkse en maandelijkse overzichten. Dat is handig, want eens SSRPM correct ingesteld is, heeft de systeembeheerder er in principe weinig omkijken naar.

Per (groep van) AD-gebruikers kan de systeembeheerder een SSRPM-profiel definiëren. Acht profielen zijn vooraf gedefinieerd. Per profiel kan men instellen hoeveel vragen de gebruiker moet beantwoorden om het wachtwoord te resetten, of de gebruiker eigen vragen en antwoorden mag formuleren of dat die vooraf opgelegd zijn, onder welke voorwaarden en hoelang een account automatisch geblokkeerd moet worden bij x-aantal foutieve pogingen, welke regels gelden voor de minimale lengte en complexiteit van wachtwoorden en welke vorm van authenticatie gebruikt wordt. De gebruikersvragen en antwoorden worden in de database optioneel versleuteld opgeslagen (naar keuze md5 hash, sha256 hash of omkeerbare encryptie). SSRPM ondersteunt verder tweefactorauthenticatie via e-mail of sms. Ook hier kan de systeembeheerder allerlei beperkingen opleggen, bijvoorbeeld minimale lengte van de sms-pincode, toegelaten telefoonnummer(s) of maximaal aantal keren dat de pincode opnieuw verstuurd mag worden. De systeembeheerder kan de beveiliging naar wens soepel of streng instellen.

Zodra SSRPM uitgerold is, krijgen eindgebruikers bij hun volgende inlog een SSRPM-aanmeldwizard in hun systeemtaal te zien waar ze het opgegeven aantal vragen moeten beantwoorden. Aan de hand van die vragen kan de eindgebruiker het wachtwoord zelf resetten. In de inlog komt gewoon de knop "wachtwoord vergeten" erbij. Als tweefactorauthenticatie geactiveerd is, moet de eindgebruiker ook nog reageren op een bevestigingse-mail of een sms met pincode. Als het dan toch nog om een of andere reden misloopt, kan de eindgebruiker naar de helpdesk bellen. De systeembeheerder kan die immers via een beveiligde website (Helpdesk Caller Identification) toegang geven tot SSRPM. Helpdeskmedewerkers kunnen de gebruiker dan authenticeren zonder dat ze zijn of haar persoonlijke details zien. Voorwaarde is dan wel dat de SSRPM-vragen en -antwoorden met omkeerbare encryptie in plaats van een hash in de database zijn opgeslagen.

CONCLUSIE

SSRPM herleidt het aantal wachtwoordinterventies van de helpdesk en vermindert de belasting van de ict-afdeling. In groter organisaties kan deze tool zeker tot besparingen leiden, terwijl de veiligheid erop vooruitgaat.

INFO

PRODUCT: SELF SERVICE RESET PASSWORD MANAGEMENT

PRODUCENT: Tools4Ever, www.tools4ever.com

LEVERANCIERS: Nederlandstalig: Tools4Ever Ned erland, www.tools4ever.nl; Franstalig: Tools4Ever France, www.tools4ever.fr

PRIJZEN: €2500 voor 1.000 gebruikers; support en updates: €500 per jaar voor 1.000 gebruikers.

Jozef Schildermans