Het perfecte wachtwoordbeleid

Date: Category: Cloud, Security

Met de hack van TV5Monde in het achterhoofd waait de discussie over wachtwoordgebruik en wachtwoordbeleid ook weer op. We schreven al eerder over het einde van het wachtwoord en mogelijke alternatieven. TV5 werd in april 2015 offline gehaald als gevolg van een ‘zeer geavanceerde’ hack maar enkele dagen later lijkt de hack mogelijk een gevolg te zijn van een falend wachtwoordbeleid. Een goed moment om wat dieper op een succesvol wachtwoordbeleid in te gaan.

In een uitzending, uitgezonden na de hack, was het wachtwoord van een medewerker te lezen op een post-it. Hieruit blijkt maar weer dat te complexe eisen stellen aan een wachtwoord een averechts effect kan hebben.

Een wachtwoordbeleid is echter meer dan alleen een aantal eisen waaraan een wachtwoord moet voldoen (zoals complexiteit door het afdwingen van het aantal karakters en het type karakters, en de periode dat het wachtwoord gewijzigd dient te worden). Het is een cultuur die binnen een organisatie moet bestaan of anders moet worden gecreëerd. Dit kan gedaan worden door trainingen te geven op het gebied van wachtwoordgebruik en door te laten zien wat de gevolgen zijn als het mis gaat. In een tijd waarin beschikbaarheid en bereikbaarheid van diensten hoog is (altijd overal kunnen inloggen) is beveiliging des te belangrijker.

Creëer dus bewustwording over het belang van informatiebeveiliging. Zorg er ook voor dat dit wordt uitgedragen door het management. Geef het goede voorbeeld. Benoem een ‘security officer’ die verantwoordelijk is voor het beleid en de controle hiervan. Denk niet dat het perfecte wachtwoordbeleid bestaat. Een goed beleid is een beleid dat past bij de organisatie. Afhankelijk van de organisatie zal er ook harder gewerkt moeten worden op het in werking stellen van het beleid.

Dit wil je dus voorkomen.
De bekende post-it met wachtwoord.

Als binnen een organisatie onzorgvuldig met wachtwoorden wordt omgegaan dan zouden collega’s elkaar hierop aan moeten spreken. Ook dient er gekeken te worden naar de oorzaak van ‘foutief’ gedrag. Bij TV5 lijkt het gedrag een gevolg van het afdwingen van een te complex wachtwoord. De gebruiker kan het wachtwoord niet onthouden dus wordt het op een post-it op het scherm geplakt. Pas dan de wachtwoordeisen aan of geef de gebruiker advies over het uitkiezen van een wachtwoord dat wel voldoet aan de eisen maar eenvoudiger te onthouden is. Verder is het ophangen van wachtwoorden aan de muur (en dit vervolgens uitzenden op TV) natuurlijk nooit heel erg tactisch.

Ook dit wil je voorkomen.
Wachtwoorden van social media accounts op de muur te vinden tijdens een uitzending.

Feit is dat het wel gebeurt. Hieruit blijkt dat er niemand verantwoordelijk is geweest, of zich verantwoordelijk heeft gevoeld, voor de informatiebeveiliging binnen TV5Monde. Dit heeft uiteindelijk desastreuze gevolgen gehad. Behalve dat de website, de zender en verschillende social media accounts een tijd offline zijn geweest heeft het bovendien schadelijke gevolgen voor het imago van de zender. Door bovenstaande incidenten komt de organisatie erg amateuristisch over.

Voor TV5 is het een pijnlijke wake-up call geweest en we mogen hopen dat er serieus aandacht aan het beveiligingsbeleid  wordt gegeven. Voor andere bedrijven is het een bevestiging dat ze de aandacht geven aan informatiebeveiliging die het verdiend. En voor weer andere bedrijven is het een zoveelste voorbeeld waarom er nu toch echt eens een keer aandacht aan informatiebeveiliging moet worden gegeven. Onder welke categorie valt uw bedrijf?