Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties
Bron: VNUnet.com

Beveiliging kleinerHet Amerikaanse securitybedrijf Cyber-Ark heeft tijdens het Infosecurity-congres, dat eind april in London plaatsvond, 200 IT'ers enkele vragen gesteld over de in hun bedrijf geldende wachtwoordpolicy. Een opvallende conclusie die uit de antwoorden kon worden getrokken, is dat 38 procent van de IT'ers belangrijke wachtwoorden opschrijft en dat 28 procent van de ondervraagden wachtwoorden alleen in zijn hoofd heeft zitten. Wanneer de 'keeper of the passwords' geraakt wordt door de spreekwoordelijke bus of vanwege een andere reden plotseling niet beschikbaar is, heeft dit grote gevolgen voor het IT-beheer in een bedrijf, aldus de ondervragers. Zo zou het grote problemen kunnen veroorzaken als computersystemen niet beheerd kunnen worden en zou dat op zijn beurt weer vele uren aan productiviteitsverlies opleveren voor andere medewerkers in de organisatie. Een andere conclusie die getrokken kon worden uit de beantwoorde vragen, is dat 15 procent van de ondervraagden bedrijfskritische wachtwoorden nog nooit heeft veranderd. Een kwart van de bevraagde IT'ers gaf aan dat adminwachtwoorden gedeeld worden met alle leden van de IT-afdeling en dat de passwords vrijelijk gebruikt worden.

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (79)

Wachtwoorden opschrijven is toch geen ramp?
Zolang je het papiertje dan maar goed opbergt (achter slot in grendel).

Liever een opgeschreven wachtwoord als @34!pGh%3 dan een makkelijk te onthouden wachtwoord als Hallo123.
Hoe kom jij aan mijn wachtwoord :?
:) je doet me hieraan denken:

bash

off topic maar ERG grappig
Sterker nog, mensen zijn beter in het beschermen van een stuk papier (geld, rijbewijs en dergelijke) dan in het onthouden van sterke passwords. Zonder papier gebruiken mensen sneller zwakke passwords. Het kan dus een goed principe zijn om mensen hun passwords te laten opschrijven, mits dat papier dan goed beschermd wordt.
Dit is dus een voorbeeld van slecht beheer ...
Maar dit heeft meer te maken met het slecht ICT beheer van een bedrijf.
Nog al te vaak is de ICT afdeling een klein geek hoekje dat wat met serverkes aan het spelen is, in plaats van de ICT noden van het bedrijf te beheren.
Dit heeft al te vaak te maken dat bedrijfsleiders hier niet mee bezig zijn en ze nog altijd niet de noodzaak van een sterke ICT visie en beleid.

Persoonlijk denk ik dat je het beheer moet overlaten aan bedrijven die er kennis van zaken van hebben. Een ICT afdeling moet deze bedrijven sturen en ze in het oog houden maar zich meer gaan bezig houden met de toekomst....
Waar ik werk zijn daar echt heeeele strenge regels voor... de wachtwoorden zitten in een gesloten enveloppe, automatisch gegenereerd, en dan ingevoerd door een roelerende security dude incl 4 ogen principe. Die weet de wachtwoorden dan zelf ook niet meer.

Alleen in uiterste gevallen mag zon enveloppe open, en dan treed weer een andere procedure in werking...

Trouwens, admin rechten heb je in een goed ingerichte omgeving echt niet meer nodig wat sommige mensen beweren... Hier komen trouwens ook veel productieverstoringen uit voort. Mensen die niets met admin (of root) rechten moeten, of hier zeker niet voor getrained zijn, maar die wel krijgen...
Je moet wel verschil maken tussen lokaal en netwerk rechten. Zeker op *nix workstations. Ik als software developer wil graag volledige controle over mijn eigen workstation. Maar ik heb natuurlijk niks te zoeken (als gebruiker, laat staan admin/root) op de servers of op de productie omgeving.
En ook dat is de grootst mogelijke onzin. Als developer heb je op je eigen werkstation absoluut geen admin rechten nodig. Installeer maar een VPC/VMWare/Virtual Server of soortgelijk systeem op je werkstation om in die omgevingen, die gescheiden zijn van het reguliere netwerk, te testen en admin rechten te hebben. En testen doe je ook niet met admin rechten, maar met de rechten die in de productie omgeving ook gelden.

Helaas moet ik de ontwikkelaar met zo een instelling nog tegenkomen. Bestaan die overigens wel?
Helaas moet ik de ontwikkelaar met zo een instelling nog tegenkomen. Bestaan die overigens wel?
Op zich ben ik wel voorstander van een dergelijke virtualisatie, maar dan kun je je op een gegeven moment af gaan vragen waar het verschil zit tussen een Ghost-image en een VMware-image.
Verder als je als gewone gebruiker (want dat ben je kennelijk) je eigen virtuele systeem moet onderhouden, verlies je dan niet erg veel manuren?
@TD-er
Met standaard images kan je ook in virtual pc etc werken. Dus daar verlies je echt niet zoveel tijd mee. Per project dien je een virtuele omgeving te hebben, zodat je goed kan testen. Dat kost je als gewone gebruiker niet zo veel tijd. Af en toe een image kopieren.

Er wordt op die manier heel wat uren uitgespaard met het in productie zetten van software, omdat er dan getest is in een omgeving zoals productie, en kom je dan geen rare dingen meer tegen.
Als ontwikkelaar wil ik natuurlijk wel een snelle (normaal werkende) omgeving hebben.
Met een VmWare omgeving ben je toch een stuk van je snelheid kwijt. Daarnaast is het tijdrovend om elke keer de bestanden over en weer te kopieren naar een testomgeving.

Om tijdwinst te hebben, ontwikkel en test je liever op dezelfde machine. Daarnaast, het VM gedeelte is (redelijk) nieuw. Pas sinds kort (vrije VmWare player) is het een leuke manier aan het worden om zo te gaan werken.
Het hangt ook af wat je ontwikkeld. Soms heb je dat wel nodig, omdat het je eigen systeem teveel aanpast.
Wat is dan de perfecte manier om met een password structuur om te gaan ?
Volgens mij is er niet 1 perfecte manier.
Het is systeemafhankelijk en personeelsafhankelijk. Het is afhankelijk van de grootte van de bedrijven. Het is afhankelijk van de mate van vertrouwelijkheid van gegevens, die ook niet overal hetzelfde is.
(en wellicht vergeet ik nog wat punten).

voorbeeld
Als jij een IT-afdeling van 30 man hebt, of een it-afdeling van 2 man: bij 30 man hoeft niet iedereen overal bij te kunnen, bij 2 man is het lastig als 1 van beiden niet overal bij kan: Er moet dan altijd gewacht worden tot de ander beschikbaar is.
Wat is dan de perfecte manier om met een password structuur om te gaan ?
Er zal een uitgebreid pakket regels voor te bedenken zijn maar ik zou zeggen: Iedereen een eigen account (geen accounts/passwords delen) en het root cq. domain admin account wordt nooit gebruikt maar het wachtwoord ervan staat op papier en ligt in een kluis voor noodgevallen zodat het management er in noodgevallen bij kan.
Ik heb een heel eenvoudig scripje geschreven dat om 3 passwords van 50 karakters vraagt. Als alle 3 de passwords goed zijn ingevoerd, word een aes-cbc-256 text bestandje gedecrypt met daarin ALLE admin wachtwoorden (met omschrijving uiteraard). Zo kan ik lekker admin wachtwoorden wijzigen (en uiteraard veranderen in dit bestandje) zonder dat ik het management op de hoogte hoeft te stellen.

De 3 passwords heb ik 2x allemaal op een los vel papier uitgeprint en in per twee in een envelop gestopt. Drie van mijn bazen hebben zo'n envelop. adhv. dit systeem kan elke willekeurige set van 2 bazen dus aan alle wachtwoorden komen in geval van mijn overlijden of andere 'misfortune'. Voordeel is dat als er iets met 1 baas gebeurd, de andere nog steeds aan de wachtwoorden kan komen, maar dat er toch een four-eyes principe geldt.

edit: en als belangrijkste natuurlijk: een procedure... alle veiligheid staat of valt met het procedureren van werkzaamheden
Slim bedacht! Je komt uit het leger zeker? :+
neuh... een incident met verloren admin wachtwoorden is vaak een goede trigger om eens goed over dit soort dingen na te denken :+
En wie heeft de code voor de kluis? :+
Als er één groep is die je geen domain admin wil maken...
Regel 1;
Nooit het management admintoegang geven.
Zal niet de eerste keer zijn dat een manager per ongeluk hele schijven wist of tips uit de computer idee op de server wil toepassen. |:(
Niet iedereen moet zomaar een wachtwoord te pakken kunnen krijgen, maar dat meerdere mensen een wachtwoord hebben is niet meer dan logisch.

Niet alleen in geval van een ongeluk maar alleen al bij afwezigheid van iemand kan een ander dan de systemen beheren...
Alleen logisch voor mensen die weinig tot geen ervaring hebben. (90% van de tweakers dus :))

Een beheerder hoort gewoon een persoonlijk admin account te gebruiken. Bij ELK OS kun je die dezelfde rechten geven als dat algemene account, zodat je daarmee je werk kunt doen.

Het heeft alleen maar voordelen en geen nadelen:
- Bij afwezigheid kan een ander de systemen ook gewoon beheren met zijn eigen admin account.
- Je hoeft geen wachtwoorden uit te delen.
- Gaat iemand uit dienst, dan verwijder je gewoon zijn admin account ipv dat je dat algemene wachtwoord moet veranderen.
- Mocht iemand een keer misbruik maakt van een admin account, dan kun je die persoon ook aanspreken daarop. Dat kan niet als tien anderen het wachtwoord ook kennen.

En als je dan toch bezig gaat om de boel beter op te zetten, zorg dan ook dat je niet met service accounts mag aanloggen op een server.
En liefst ook geen local logon voor een admin account op de laptop van de beheerder. Laat ze netjes "run as" of "su" of iets dergelijks gebruiken. Je normale werk hoor je met je normale account uit te voeren.
En dan heb je nog van die bekende tools op diskette en boot-cd's die lokale wachtwoorden kunnen resetten.....
Daarom gaat security niet alleen om digitale security maar ook over fysieke toegang tot een serverruimte bijvoorbeeld. Geef een handige jongen toegang tot een Windows, Novell of Linux console en je bent binnen want voor alle deze systemen zijn er wel trucks om als admin binnen te komen d.m.v. een tool of een runleveltje lager te blijven en wat te tweaken.

Een admin hoort idd in te loggen met een eigen account met admin rechten. Sommige organisatie hebben helemaal geen account dat 'admin' of 'administrator' heet want dat zijn de meest gebruikte namen om mee te hachken. Wij hebben een excel-sheetje waar alleen de beheerders in kunnen, niet de rest van de IT-afdeling en dat document ligt netjes in de kluis en staat enkel voor netwerkbeheerders op het netwerk. Admin pw's wordt ieder kwartaal gewijzigd alsmede het pw van elke netwerk beheerder. Je kunt het kwaadwillenden in elk geval zo lastig mogelijk maken.
Gelukkig vertrouw je niet alleen op de beveiliging van het excell bestandje. Want dat is niet echt moeilijk om te omzeilen. Laatst nog een oud bestand van mezelf moeten openen.
En gelukkig vertrouw je ook een beetje in je collega's ;)

Logs houden alles bij, filter gewoon de normale goede zaken daar uit en de ongewone in een ander bestand :) wedden dat ze niets durven te doen ;)

Ik heb bij mij op kantoor 2 admin accounts staan, 1 daarvan is mijn hoofdaccount en de ander het NT netwerk admin account. Beide met verschillende wachtwoorden welke om de week veranderd worden, beide ken ik uit mijn hoofd en worden nergens opgeschreven.

Naast dat is een goede bedrijfspolicy ook erg nuttig :) werknemer die het admin account hacked : ontslaan
werknemer die zijn eigen account weet te omzijlen : ontslaan
etc...etc..
Je kan ook meerdere accounts aan dezelfde groep ("administrator") toewijzen.

ik log bijvoorbeeld normaal gesproken in met jp, maar als ik op een server moet werken, log ik in met admin.jp en heb ik spontaan meer rechten (en kan je in de logs zien:
jp logt om 1300u in,
systeem crash om 1301
==> jp trappen :+
Sja. Bij ons hebben we 2 serveradmins die de wachtwoorden voor de servers hebben... Als ze beide ziekjes zijn is het afgelopen. Wel wordt het wachtwoord voor de oude Novell servers vaak vrolijk rondgestrooid... Maja, die gaan toch weg :)
Als niet systeembeheerder weet ik op mijn werk ook wel de meeste paswoorden.

Je hebt ze gewoon nodig als je bezig bent met automatisering, server/client visualisatie, dataloggers,...

Ook als je een storing hebt is het soms wel handig.
Als niet systeembeheerder heb je die passwords helemaal niet nodig. Beter gezegd, je hoort ze helemaal niet te hebben.

Een apart account met voldoende rechten is prima, maar op het moment dat je zogezegd uit je stoel gewipt wordt zal je account (ook voor je eigen veiligheid!) gedisabled moeten kunnen worden.

Bij ons zit het password bij mij en mijn collega in de kop, en een geprinte versie van onze passwords in een hele dikke kluis onder de grond.

Ik heb nog nooit een medewerker gehad die het nodig vond om het admin password te hebben.
Ik heb nog nooit een medewerker gehad die het nodig vond om het admin password te hebben.
Die gebruikers heb ik wel gehad... Jammer alleen dat ik het niet met ze eens was en ze dus zonder admin-wachtwoord af konden druipen... :+
Sterker nog, ik heb zelfs directie leden gehad die dachten domain admin rights nodig te hebben.
Die gebruikers heb ik wel gehad... Jammer alleen dat ik het niet met ze eens was en ze dus zonder admin-wachtwoord af konden druipen...
Ik was zo'n gebruiker. ;)
Toen het (Windows-)netwerk werd omgezet van een "iedereen is admin" workgroup structuur naar een domain structuur, werden ook "mijn" ontwikkelservers (MSSQL, IIS, RCS sourcecontrol, fileserver) in 't domain gezet, met als gevolg dat ik opeens geen admin rechten op die machines meer had. Dat frustreert behoorlijk wanneer je een deadline moet halen (ben software ontwikkelaar, en die servers zijn m'n gereedschap) en niet kunt doen wat je moet doen wegens onvoldoende rechten.

Na m'n collega die de domain setup beheert ongeveer door de telefoon te hebben getrokken, was ik vrij snel in het bezit van een admin-account. :)
Ik snap de argumenten van een systeembeheerder wel (ben 12 jaar systeembeheerder geweest), maar zo gauw de systeembeheer-policies mijn werk frustreren, hebben ze een probleem.

Systeembeheer is nog steeds een ondersteunende functie, en de gebruiker is koning.
Wat microsoft aanraad is hetvolgende :

1 ) Gebruik een enorm lange zin.. Iets wat niet TE makkelijk te raden is uiteraad, maar goed te onthouden. Iets van "IkHebEenHondDieHeetPiet".

2 ) Meerdere mensen moeten een deel van het wachtwoord weten. De supervisor heeft de eerste 4 characters.. De beheerder de middelste 4 en managment de laatste 4. XXXX XXXX XXXX dus... Dit dan wel met alleen belangrijke wachtwoorden...

Als bij de 2e iemand overlijd of word overreden door een bus hebben ze pech.. Hoe vaak komt het niet voor dat het wachtwoord netjes op de monitor is geplakt ? Of onder de keyboard.. Ik vind dat ze dit beter moeten aanpakken !!
Het zit bij net niet onder mijn toetsenbord..... maar ik word net als velen helemaal gestoord van het feit dat je elke 30 dagen je wachtwoord moet veranderen (+ de laatste 4 gebruikte wachtwoorden worden onthouden en kan je dus niet opnieuw gebruiken). Ik ben niet creatief en heb al helemaal geen zin om elke 30 dagen weer na te denken over een nieuw wachtwoord. Dus ik heb nu een standaard woord met een cijfer erachter. Elke maand maar weer eentje ophogen.
Daarnaast werk ik ook nog met heel veel andere applicaties die elk weer zonodig hun eigen user-base moeten hebbben. weer een nieuw wachtwoord (met weer andere eisen)... toen ging bij mij het licht uit hoor.

Ondertussen vraag ik me af wat nu veiliger is. Een strenge policy waarin iedereen zijn eigen wachtwoord niet meer kan onthouden (omdat er persee cijfers in moeten bijvoorbeeld) of een "vrije" wachtwoord policy waarmee iedereen z'n eigen wachtwoord kan bepalen voor elke applicatie die hij/zij gebruikt en dat dus ook makkelijk te onthouden is.
Waar je namelijk ook mee te maken hebt is dat je mailbox volstaat met mailtjes van applicaties die jou je wachtwoord opsturen omdat je hem weer eens vergeten was. Dat is lijkt mij toch ook een gigantisch risico?

Ideaal zou zijn als je gewoon je duim op je toetsenbord kan plakken en zo kan inloggen. Niks geen wachtwoorden en niks geen (tot weinig) beveiligings risico. (hak mijn vinger er niet af :D)
Je kunt waarschijnlijk ook binnen die 30 dagen je wachtwoord verranderen. Verzin er gewoon 1 goeie en verrander na 30 dagen 4x je wachtwoord naar een random woord. Verrander de 5e keer het wachtwoord naar je originele.
Ook dat werkt niet want als Joe User mag je maar één keer per dag je wachtwoord veranderen (als je een standaard password policy instelt).
Daarnaast werk ik ook nog met heel veel andere applicaties die elk weer zonodig hun eigen user-base moeten hebbben. weer een nieuw wachtwoord (met weer andere eisen)... toen ging bij mij het licht uit hoor.
Novell's Single Signon regelt dit allemaal voor je. Kost initieel wel wat scripten maar dan heb je ook wat. En dan heb je maar één wachtwoord nodig om in te loggen, alle dialogen die daarna volgen en die afgevangen zijn worden automatisch ingevuld. Ook het wijzigen van wachtwoorden neems SSO dan voor zijn rekening, rekening houdend met de eisen die het betreffende pakket daaraan stelt.

Als je wilt kun je dan ook een wachtwoord als %333&& laten genereren en invullen, zelf weet je het ww dan niet maar dat zit allemaal in de database van SSO opgeslagen.
Ik herken je probleem (60dagen-policy+3 soorten tekens + allemaal verschillende soorten apps). Op m'n bord staan dan ook alle pwd's en ik probeer steeds wanneer een of andere applicatie me een nieuw pwd vraagt, ga ik eentje naar beneden.

Win XP is blijkbaar tevreden als ik 1 cijfer aanpas, maar dat is niet bij elk applicatie zo :'(. Verder kan bvb DB2 niet omgaan met leestekens als pwd.

18 mnd geleden heb ik bij onze informatici gevraagd om dat nu eindelijk es op te lossen (één plek waar we alle pwd's inneens kunnen aanpassen :^)
Kom ook wel eens servers tegen waarbij het bios niet is beveiligd, maar de "assettag" die je kan instellen in het bios, het administratorwachtwoord is :P

ben wel voorstander van dat een x0aantal mensen het wachtwoord weet (redunantie :P ) , zodat bij uitval van een "persoon" de backup hem altijd kan opvangen.

Niet het hele bedrijf moet het weten.
Tevens ook alles contractueel vastleggen dat wachtwoorden nooit en te nimmer aan derden mogen worden doorgespeeld.
Wanneer ik mijn wachtwoord moet wijzigen ros ik even op mijn toetsenbord. Kopieer dat van notepad naar het programma waar ik het in moet gebruiken. Vervolgens heb ik Agent Password programma waarin alle wachtwoorden encrypted staan, vanuit hier kan ik het wachtwoord gelijk in het programma laten plaatsen. Het rootwachtwoord van dit programma is een wachtwoord van 25 karakters lang wat ik alleen in mijn hoofd heb zitten, zelfs mijn vriendin weet het niet.

Daarbij komt ook nog eens dat op mijn laptop een certificaat staat dat nodig is om toegang te krijgen tot de applicaties waarna je dan nog eens je wachtwoord moet invullen dus dan nog heb je beide nodig. Met alleen mijn wachtwoorden kom je niet ver.
En als jij onder een bus komt is dus alles weg....

Ik hoop dat je geen netwerk admin bent.....
Nog een tip gebruik tekens die in andere talen niet zoveel voorkomen, een dubbelepunt op de e bijvoorbeeld of een Euro teken in je wachtwoord, dit maakt ze nog veel moeilijker om te kraken.
Totdat je een applicatie tegenkomt die daar niet mee om kan gaan.
En je wilt niet weten bij hoeveel applicaties dat nog steeds het geval is.
Wel, wat helpt is een uitgebreide policy waar in staat dat niemand zijn paswoord mag opschrijven, uitlenen of doorsturen.

Voor de hele belangrijke systemen (Domain Admins) heb ik zelfs geen rechten alhoewel ik een AD & LDAP implementatie doe in Mac OS X en in Enterprise Admins zitten er slechts 3 of 4 personen.

Voor remote toegang (VPN & Webmail) heeft iedereen die het nodig heeft een RSA key die samen met je paswoord (die je vanbuiten moet weten) moet ingetikt worden. De RSA key hangt aan mijn sleutelhanger met een klein display waar de code elke minuut van veranderd.

De lokale administrator is een moeilijk paswoord die niemand weet behalve deze die het moeten weten. Het is een acroniem in 1337-script die omgekeerd moet ingetikt worden. Eenmaal een nieuwe administrator binnenkomt (er zijn maar een 10-tal mensen van de >2000) en het paswoord vanbuiten weet (of het geheugensteuntje), moet je het papiertje voor de ogen van degene die het verteld heeft opeten.
Sorry hoor, maar heb jij dat soort policies wel eens in de praktijk meegemaakt?

Je kan nog zo hard roepen dat niemand zijn paswoord mag opschrijven etc, maar het zal gewoon blijven gebeuren.
Je moet gewoon zorgen dat er helemaal geen aanleiding is om dat te doen.

Bv door een admin een gepersonificeerd admin account te geven waarmee ie AL zijn werkzaamheden kan doen.
En dat moet ook voor de rest van de mensen gelden. Een ieder moet een account krijgen met de juiste rechten voor de werkzaamheden van die persoon.

En dan hoef je het dus nooit uit te lenen, nooit door te sturen, en omdat je maar 1 wachtwoord hoeft te onthouden wat je bovendien elke dag gebruikt hoef je het ook niet op te schrijven.

DAT helpt echt. Een policy helpt echt geen zier.
Het is een leuk papiertje voor de buitenwereld, maar is verder zinloos.
Net zoals dat papiertje opeten. klinkt leuk, maar is niet effectief. 5 minuten later zet die persoon het gewoon in een txt bestandje op zijn laptop als geheugensteuntje.
Hoe wil je dat tegengaan?
Een policy helpt echt geen zier.
Het is een leuk papiertje voor de buitenwereld, maar is verder zinloos.
Nog nooit van een Resume Generating Event gehoord?
Bet your ass dat een written company security policy zin heeft.
Net zo goed als laptop gebruikersovereenkomsten.
Als je iemand wilt ontslaan vanwege security issues dan is zo'n policy in het nederlandse rechtsysteem wel nodig ja.

Maar ook dan noem ik het vanuit security perspectief nog steeds zinloos. Het kwaad is immers al geschied.

Fijn dat je met die policy in de hand je werknemer kunt ontslaan die je bedrijfsgeheimen op straat heeft gegooid. Maar wat is nou belangrijker? die geheimen, of dat ontslag?
Paswoord van de domein admins is bij iedereen in IT gekend bij ons. Doorgaans gebruiken velen hetzelfde op andere plaatsen ook. En sommige toepassingen sturen de wachtwoorden in plain text over het netwerk...
Wie wil weten waar ik werk? :-)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True