Als bedrijven single sign-on invoeren, dan zullen veelvoorkomende wachtwoorden als 123456 of password aanzienlijk afnemen. Dat zeggen security-experts op nieuwssite Channelinsider. Werknemers hoeven, omdat er maar één keer een wachtwoord ingevoerd wordt voor meerdere applicaties, maar één wachtwoord te onthouden.
In de lijst met 25 populairste wachtwoorden van 2011 zitten nog steeds makkelijk te raden exemplaren zoals 'password' en '123456', zo blijkt uit databases van hackers. Ook 'qwerty', 'letmein', 'monkey' en 'qazwsx' komen veel voor. Er wordt bij het maken van een wachtwoord voor een website vaak aangeraden zowel letters als cijfers te gebruiken, maar dat is zinloos wanneer codes als 'abc123', 'passw0rd' of 'trustno1' worden gebruikt.
Zelfs als gebruikers een mailtje krijgen dat ze hun wachtwoord sterker, dus meer afwisselend, moeten maken, dan geven ze hieraan vaak geen gehoor. Daarom pleiten experts voor het gebruik van inlogsystemen zoals bijvoorbeeld Facebook Connect, waarbij ingelogd wordt op websites van derden via het Facebook-account.
Twee wachtwoordproblemen
Er zijn twee problemen met wachtwoorden. Enerzijds worden er zwakke wachtwoorden gebruikt en anderzijds worden die zwakke wachtwoorden voor diverse websites gebruikt. Experts vinden dat er minder toepassingen moeten zijn die verificatie nodig hebben via een wachtwoord. Bovendien is het veel beheersbaarder en goedkoper om verificatie via een token of telefoon te laten verlopen, dan steeds voor elke applicatie weer opnieuw een wachtwoord in te tikken.
Single sign-on systemen zijn een beter beveiligingssysteem dan alleen wachtwoorden, maar ik heb 1 vraag: Ben je wel uitgelogd uit alle systemen als je Single Signed Out bent?
Daar hoor ik de security-experts nooit over.
@Cordny
De (best wel vele) standaarden ondersteunen allemaal wel logouts hoor. En die zijn in de praktijk ook wel te gebruiken en worden vaak ook wel geïmplementeerd. Je kan het iig gebruiken om het kaf van het koren te scheiden. Als een partij logout niet meeneemt of slecht implementeert dan weet je dat het broddelaars zijn.
SSO is trouwens ook geen tovermiddel om wachtwoorden problemen op te lossen. Ook geen tovermiddel om een heel woud aan applicaties te ontsluiten.
Single Sign On maakt de beveiliging niet sterker, eerder zwakker. In plaats van talloze wachtwoorden heeft de medewerker er slechts één. Een hacker hoeft er dan ook maar een te achterhalen en kan daarop bij alle ‘beveiligde’ systemen.
Single Sign On garandeert namelijk niet dat het ene wachtwoord veiliger is. Omdat mensen mensen zijn zullen ze eenvoudig onthoudbare wachtwoorden blijven gebruiken.
Single Sign On is gericht op het gebruiksgemak, belangrijk voor de werkbaarheid maar niet behulpzaam voor de veiligheid.
Om de verlaging van beveiliging van een eenvoudig wachtwoord te verhogen is een vorm van twee- of drie-factor authenticatie nodig. Of dit nu via een token of pas loopt of dat het gebeurd door middel van een betrouwbare derde partij is een kwestie van invulling. Dan is een veilig wachtwoord niet meer nodig. Want hoe onveilig is het wachtwoord van onze bankrekening? Het bestaat uit 4 cijfers!
Zie ook: http://stevenvanderlinden.wordpress.com/2011/11/28/onveilige-wachtwoorden-en-het-wachtwoord-van-mijn-bankpas-dan/
Als leveranciers nu eens allemaal alle SSO protocollen volledig ondersteunen….
Veel bedrijven willen wel SSO maar de produkten die ze kopen ondersteunen SSO niet of niet volledig of niet alle varianten.
@Steven, op je bankpas staat geen ‘wachtwoord’ van 4 cijfers (de pincode), maar een Hash, op basis van je pasnummer, je bankrekening, je pincode en nog wat andere zaken. Als jij gaat pinnen, wordt uit de bekende gegevens (alles op je pasje) plus de pincode (die weet alleen jij) de Hash berekend, en vergeleken met de Hash die op je pasje staat. Als dat gelijk is, was de pincode goed. Het is dus een meervoudige authenticatie, met ‘iets dat ik heb’ en ‘iets dat ik weet’.
Single Signon is inderdaad geen oplossing voor zwakke wachtwoorden. De enige oplossing voor zwakke wachtwoorden is wachtwoorden afschaffen. Binnen een organisatie kan dat wel (smartcards, tokens), maar op het internet zal het onmogelijk worden. Of gaan we met z’n allen 1 partij vertrouwen ? en welke wordt dat dan ? Microsoft Live Passport ? Facebook ? Google ? Of misschien een bedrijf uit China ? O nee, we doen het op basis van Nationale ID Pas zoals in Belgie kan.. Maar dan moet elk land dezelfde type pas hebben als de Belgen.. Of gaan we een Amerikaanse pas nastreven ? Onmogelijke opgave dus. Je zal dus blijven aanloggen met een ID en een wachtwoord bij zeer veel sites. Wat wel mogelijk is, is de gebruiker zelf zijn wachtwoorden laten beheren (hardware/software combinatie) en deze tool ook voor de gebruiker sterke wachtwoorden laten genereren. Het is dan wel handig dat site beheerders de Logon URL’s niet elke maand wijzigen, zodat zo’n tool het bijpassende wachtwoord van een betreffende site kan toepassen.
Tja iedereen vindt het logisch dat als je een brug bouwt niet halverwege aan het ontwerp of de specificaties sleutelt.
Maar bij project managers en verkopers is het U vraagt wij draaien.
De enige redelijke manier om een project netjes en op tijd af te krijgen is afspreken wat je wilt. Vast leggen, en veranderingen pas aan het einde (na aflevering toevoegen).
Je gaat bij het bouwen van een brug voor vracht verkeer niet halverwege de betonnen pilaren verder bouwen met sier smeed werk of berken latjes. Zolang dit besef niet doordringt bij de afnemer blijft het een puinzooi.
@Peter; ik weet dat er leveranciers zijn met een Single Sign Out procedure, ze laten het alleen niet zien zoals ze het Single Sign On wel laten zien. Doorvragen hierop scheidt inderdaad kaf van koren. En je hebt gelijk, SSO is zeker geen wondermiddel.
@Steven 2-factor authenticatie is zeker veel veiliger dan alleen SSO, maar heeft de Thrusted Third Party wel zijn security en compliancy in orde?
@Hans
**Wat wel mogelijk is, is de gebruiker zelf zijn wachtwoorden laten beheren (hardware/software combinatie) en deze tool ook voor de gebruiker sterke wachtwoorden laten genereren**
Hoe veilig is de wachtwoordbeheertool? Oftewel, is deze niet te hacken? En ben je dan niet nog verder van huis?
Wat mij betreft , SSO voor een webapp is zeker geen veiliger alternatief dan verschillende wachtwoorden voor pagina’s van de webapp, eerder gebruiksvriendelijker.
En daar ligt het volgens mij, de weging tussen usability en security, en die moet iedere keer opnieuw worden afgewogen wat betreft de app en de gebruiker.
Eens?