Een meerderheid van de Nederlandse organisaties gebruikt Office 365. In de policies hiervan kun je instellen om de hoeveel tijd gebruikers hun wachtwoorden moeten wijzigen. Vraag je wel je weleens af wat de risico’s hiervan zijn?
Bij security in het algemeen en certificering in het bijzonder bestaat er een model van maatregelen of in het Engels: controls. Deze zijn gericht op het volgende stramien. Wat is het risico van iets? Wat is de kans dat het gebeurd en wat is de impact? Welke maatregelen neem je om het risico te verkleinen tot het niveau waarop deze acceptabel is. De Engelsen hebben hier een heerlijke term voor: risk appetite. Hoeveel risico ben je bereid te lopen? Alleen is de realiteit weerbarstiger dan de theorie van zo’n maatregel. Ik geef een voorbeeld.
Phishing e-mails
Als onderdeel van ons cybersecurityprogramma voor klanten versturen wij phishingmails naar werknemers. Het versturen van een phishing-simulatie is altijd spannend. Komt de e-mail wel door de spam? Zal de servicedesk overspoeld worden? Zullen ontvangers het direct doorzien? Ontstaat er onrust? Of zal er een negatief sentiment ontstaan onder werknemers welke wij niet hebben voorzien?
Een van de smaken van die e-mails is een bericht dat je wachtwoord verlopen is en dat je deze opnieuw in moet stellen. Uiteraard pakken we zo’n mailtje in op een manier dat deze lijkt van it af te komen met een link naar een landingspagina waarop het wachtwoord is te ‘wijzigen’.
Vooraf schatte ik de kans niet groot in dat iemand hierin mee zou gaan. De wachtwoord-verlopen-e-mail bevat normaal gesproken geen link. De mail-afzender is van een vreemd domein en de link in de e-mail verwijst ook naar een externe website met een veelal obscuur webadres.
Dat de ‘opbrengst’ ineens heel hoog blijkt te zijn, verbaasde mij dan ook. Massaal wordt er geklikt en wachtwoorden ingevoerd. Ook sturen gebruikers e-mails terug naar het phishing-mailadres. ‘Haha, ik ben erin getrapt’ of ‘Alweer? Ik heb vorige week mijn wachtwoord al gewijzigd’.
Tijd dus om er verder in te duiken. Een ding wat opvalt, is het doorklikratio. Dus iemand die de mail opent en daarna op de link klikt om het wachtwoord te wijzigen. Dit percentage is ruim boven de zestig procent. Wat ook opvalt is de tijd tussen deze klik en het moment waarop er daadwerkelijk data wordt ingevoerd. Heel vaak binnen de twintig seconden. Dat is best snel, je moet namelijk je huidige wachtwoord invoeren en twee keer het nieuwe wachtwoord. Een wachtwoord verzinnen gaat nooit zo snel en je moet dat nieuwe wachtwoord ook weer ergens opslaan. Dus ik vermoed dat een zeer hoog percentage gebruikers het huidige wachtwoord hergebruikt en mogelijk een volgnummer gebruikt.
Dynamisch vak
Een belangrijker inzicht geeft de vraag waarom die phishingmail zo goed werkt? Ik ben ervan overtuigd dat het komt door de gewoonte. Medewerkers verwachten het signaal waardoor er geen alarmbelletje afgaat en er niet meer kritisch gekeken wordt naar de boodschap en waar die vandaan komt. In de bouw gebeuren de meeste ongelukken bij routinehandelingen. Door de routine van wachtwoord wijzigen komen alle signalen blijkbaar niet door: vreemd e-mailadres, klikken op een link, vreemde landingspagina, et cetera.
Ik heb genoeg gezien om dus te adviseren om geen periodieke wachtwoord wijzigingen meer in te stellen. Welk probleem lost het eigenlijk op wachtwoorden te laten wijzigen? Anders gesteld, welk gevaar schuilt er in jarenlang hetzelfde wachtwoord hanteren?
De belangrijkste reden die ik kan bedenken, is dat we vaak de neiging hebben een wachtwoord op meerdere diensten toe te passen. Het gevaar schuilt erin dat één van die diensten wachtwoorden minder goed beveiligd hebben en dat criminelen de combinatie van e-mailadres en wachtwoorden op andere diensten gaan uitproberen. Dit is de eerste reden waarom er regelmatig Facebook en andere sociale-media-accounts gehackt worden. Het gelekte wachtwoord op een obscure webwinkel werkt ook op Facebook.
Een andere reden is wellicht de aanname dat wachtwoorden na een tijd meer kans hebben om ontdekt te worden. Bijvoorbeeld op briefjes, of het gebruik van een publieke computer of dat iemand over je schouder heeft meegekeken of dat je ergens een onveilige verbinding hebt gebruikt.
Maar voor dat laatste is de maatregel – regelmatig wachtwoord wijzigen – dus niet voldoende aangezien het wachtwoord meestal hetzelfde blijft met een volgnummer. Voor geautomatiseerde aanvallen is dat wellicht genoeg, maar niet voor een hacker die een bedrijf probeert binnen te dringen.
Het is dus belangrijk dat medewerkers een uniek wachtwoord gebruiken voor hun werkaccount, maar ik raad dus af om deze periodiek te laten wijzigen, zeker als hiervan een notificatie per e-mail wordt verstuurd.
Cybersecurity is een dynamisch vak. Dreigingen komen vanaf alle kanten en er is geen totaaloplossing die je kunt kopen en je veilig maakt. Helaas is het ook een hygiëne product, pas nadat er iets mis is gegaan krijgt het aandacht.
“Dynamisch” wordt vaak gebruikt om te verbloemen dat iets onduidelijk, chaotisch, willekeurig, zomaar een mening is.
Vandaag : wij van Cybersecurity eend adviseren “nooit wachtwoord wijzigen”
Dino, het probleem wat ik hierboven beschreef is dat mensen niet meer goed lezen als ze een routinehandeling verwachten.
Nergens schrijf ik dat ik adviseer nooit een wachtwoord te wijzigen. Ik adviseer geen periodieke meldingen te sturen om een wachtwoord te wijzigen.
Om exact die reden vertel ik ook nooit UDP moppen. Want als ik dat doe heb ik geen idee of ze aankomen.
En ja, het is een boodschap van een Cybersecurity eend. Niettemin is het een goed advies en daar heb ik harde bewijzen voor 🙂
Om de 90 dagen krijg ik een automatische melding om mijn wachtwoord te wijzigen. Ik denk dat vele anderen ook last hebben van ‘Maximum Password Age’ policy omdat deze nogal breed geïmplementeerd is door de best practice van vele andere cybersecurity wc-eenden.
“…maar ik raad dus af om deze periodiek te laten wijzigen, zeker als hiervan een notificatie per e-mail wordt verstuurd.”
Je adviseert inderdaad niet om NOOIT een wachtwoord te wijzigen maar je bent ook niet helemaal volledig in een goede vertaling van de NIST standaard waarin dus gesteld wordt dat een wijziging van het wachtwoord afgedwongen moet worden als er vermoeden is dat het wachtwoord gecompromitteerd is. Betreffende dat vermoeden is er ook nog statistiek waardoor een periodieke wijziging toch weer heel logisch is.
Computable auteurs schrijven vaak kort door de bocht, prikkelend heet dat dan 😉
Nog een keer dan, want reageren is een dynamische bezigheid :
Wij van Cybersecurity eend vragen ons af “welk gevaar schuilt er in jarenlang hetzelfde wachtwoord hanteren?”.. “ik raad dus af om deze periodiek te laten wijzigen”.
De titel suggereert zelfs dat het een risico is.
Dino of Dino2,
Prikkelen om een discussie op gang te brengen is voor Computable goed voor de ‘kijkcijfers’ en geeft Henri een warm gevoel, ik plas hiervoor wel in mijn broek van het lachen. Ik hecht weinig waarde aan nummer 1 positie als meest (best?) gewaardeerde expert omdat het weinig oplevert, hoofdredacteur is krenterig in waardering richting de experts. Schrijf dus geen prikkelende opinies meer en verschuil me achter een pseudoniem zoals vele cynische reaguurders doen.
Inhoudelijk kan ik ingaan op de term ‘dynamiek’ in cybersecurity die in het hype-circus dus aan AI gekoppeld is waar Henri klaarblijkelijk geen weet van heeft als ik zijn zwijgen ten nadele van hem uitleg. De statistiek van een vermoeden aangaande de comprimentering van een wachtwoord gaat dan ook om een paar factoren. Eén daarvan is de complexiteit van het wachtwoord, de dictionary attack kost door voortschrijdende ontwikkeling in rekenkracht steeds minder tijd. Maar het is niet mijn opinie en als discussie snel sterft dan mist Henri zijn podium.
Ik ben ook geen voorstander van het periodiek wijzigen van wachtwoorden; de rijtes herst2019, winter2019, lente2020, etc. staan me nog aardig bij van een vorige werkgever. Ook het laten wijzigen van een wachtwoord middels een trigger via email lijkt me niet de meest veilige aanpak, het is immers een communicatiekanaal richting medewerkers wat voor iedereen toegankelijk is. Een notificatie na inloggen lijkt me dan beter; de gebruiker is dan al ‘op bekend terein’ en het aantal personen of systemen welke een dergelijke notificatie kan geven is al drastisch gereduceerd.