Het toetsen van de effectiviteit van wachtwoordauthenticatie

Maat: px
Weergave met pagina beginnen:

Download "Het toetsen van de effectiviteit van wachtwoordauthenticatie"

Transcriptie

1 Het toetsen van de effectiviteit van wachtwoordauthenticatie Scriptienummer Vrije Universiteit: 2009 Auteur: Niels Kunis, IT-Auditor ING Insurance & Investment Management. Afstudeerbegeleider VU: Paul Harmzen April 2014

2 1 Voorwoord Voor u ligt de scriptie, die ik schreef ter afsluiting van de postgraduate IT-auditopleiding die ik begin 2012 startte aan de Vrije Universiteit te Amsterdam. Ik koos het onderwerp wachtwoordauthenticatie vanwege de vele inherente risico's die het bevat en ook de vele fouten die in de implementatie ervan gemaakt worden. Deze componenten leiden regelmatig tot incidenten en maakt het een interessant onderwerp van onderzoek. Deze scriptie heeft als doel handvatten aan te reiken aan het management van organisaties, waarmee de effectiviteit van wachtwoordauthenticatie kan worden vastgesteld. Door de gekozen opzet is het ook geschikt er ondersteuning van het riskmanagementproces en IT-audits. Ik wil als eerste mijn VU begeleider Paul Harmzen bedanken voor het meedenken over de structuur en het reviewen. Tevens wil ik de geïnterviewde specialisten Jeroen Kunis, Johan Verrips en Koc-Fai Wu bedanken voor de waardevolle vakinhoudelijke bijdragen. Als laatste wil ik het thuisfront bedanken, niet alleen voor de steun en geduld, maar zeker ook voor de niet vakinhoudelijke bijdrage. Niels Kunis april

3 2 Inhoudsopgave 1 Voorwoord Inhoudsopgave Inleiding Achtergrond Onderzoeksvraag en doel Aanpak van onderzoek Leeswijzer Scope van het onderzoek Scope / afbakening Wachtwoordauthenticatie Wat is wachtwoordauthenticatie? Doelstelling van wachtwoordauthenticatie Hoe werkt wachtwoordauthenticatie? Hoe wordt wachtwoordauthenticatie gebruikt? Effectiviteit van wachtwoordauthenticatie Risico s bij wachtwoordauthenticatie Richtlijnen voor wachtwoordauthenticatie Inleiding op de onderzochte richtlijnen Kunnen de maatregelen uit de richtlijnen de incidenten voorkomen? In welke mate worden de risico s afgedekt door maatregelen uit richtlijnen? Aanvullingen en nuances Aanvullingen en nuances op de drie onderzochte richtlijnen In welke mate hadden de aanvullingen en nuances de incidenten kunnen voorkomen? Het toetsen van de effectiviteit van wachtwoordauthenticatie Conclusies en samenvatting Reflectie Literatuur / bronnen bijlage A maatregelen uit richtlijnen bijlage B Relevante ISO / ISO maatregelen bijlage C Relevante PCI-DSS maatregelen bijlage D Relevante OWASP maatregelen

4 3 Inleiding 3.1 Achtergrond Het gebruik van wachtwoorden is belangrijk voor de beveiliging van gegevens in een geautomatiseerde gegevensverwerking. Zaken als toegang tot kritieke functionaliteit voor het inzien en bewerken van gegevens en functiescheiding zijn sterk afhankelijk van effectief gebruik van wachtwoordauthenticatie. Wachtwoordauthenticatie is verifiëren van de identiteit van een gebruiker door middel van een wachtwoord. Bijna dagelijks zijn echter problemen met wachtwoorden in het nieuws te lezen. Dit maakt het voor het IT-Auditvakgebied relevant om te onderzoeken. Ter illustratie, een zoekopdracht op wachtwoord op levert talloze incidenten op met betrekking tot wachtwoordauthenticatie en geeft een beeld van de kwetsbaarheden ervan. Hieronder een selectie van recente nieuwsberichten op de website security.nl, die een beeld geven van de kwetsbaarheden van wachtwoordauthenticatie, indien nodig met een toelichting. Bij elk incident wordt verwezen naar de bronvermelding. 1. Adobe gebruikte zwakke encryptie voor opslag wachtwoorden [1]. 2. 1,9 miljoen Adobe-gebruikers hadden '123456' als wachtwoord [2]. Deze berichten refereren naar twee kwetsbaarheden: Adobe sloeg de wachtwoorden onveilig op en gebruikers kozen zwakke wachtwoorden. 3. Facebook waarschuwt gebruikers voor Adobe-hack [3]. Facebook waarschuwt gebruikers dat hun Facebook account in gevaar kan komen indien hun wachtwoord identiek is aan hun Adobe wachtwoord. Dit is een voorbeeld van wachtwoordhergebruik miljoen wachtwoorden gestolen bij inbraak datingsite [4]. Twee zwakheden met betrekking tot wachtwoordbeveiliging zijn hieruit te extraheren: wachtwoorden werden opgeslagen in klare tekst en gebruikers kozen eenvoudig te raden wachtwoorden doordat sterke wachtwoorden niet werden afgedwongen. 5. GitHub reset wachtwoorden na brute force-aanval [5]. Hierbij zijn een beperkt aantal zwakke wachtwoorden op alle accounts geprobeerd. Het account van gebruikers, die een zwak wachtwoord kozen, werd gecompromitteerd. 6. Klantendatabase goksite Racing Post gestolen [6]. Door een kwetsbaarheid in de webapplicatie is de inhoud van de achterliggende database gestolen en daarmee ook de (versleutelde) wachtwoorden. 7. Microsoft: Europarlementariërs niet gehackt via Exchange-lek [7]. Dit bericht verwijst naar het onderscheppen van wachtwoorden door een zogenaamde man-in-the-middel-aanval op een open wifi internetverbinding. De onderkende kwetsbaarheid is hier afluisteren terwijl het wachtwoord over het netwerk wordt getransporteerd. 8. Forbes-personeel gebruikte zeer zwakke wachtwoorden [8]. 9. Malware steelt 600 wachtwoorden van Duitse overheid [9]. Het betreft hier malware dat de logingegevens, inclusief wachtwoorden, afvangt en doorstuurt naar kwaadwillenden. 10. Amazon-app liet aanvaller onbeperkt wachtwoorden proberen [10] We zien hier al verschillende kwetsbaarheden van het gebruik van wachtwoorden, zoals wachtwoordhergebruik; het onveilig opslaan van wachtwoorden en gebruikers die eenvoudige wachtwoorden kiezen. Aangezien organisaties vaak terughoudend zijn om informatie vrij te geven over incidenten om maar geen imagoschade op te lopen, is het aannemelijk dat dit het topje van de ijsberg is. Maar wat is de rol van de verschillende standaarden voor informatiebeveiliging hierin? Informatiebeveiligingsstandaarden met daarin richtlijnen voor authenticatie en in het bijzonder voor wachtwoordauthenticatie zijn al meer dan tien jaar voor handen. Een bekende standaard is de Code voor Informatiebeveiliging die gestandaardiseerd is in de ISO en norm. De ISO is een standaard voor de inrichting van een managementsysteem om de informatiebeveiligings-risico s te beheersen. In annex A van de ISO staan vele maatregelen waaruit de organisatie kan putten om 4

5 onderkende risico s ten aanzien van wachtwoordauthenticatie te mitigeren. Een andere bekende standaard is de PCI-DSS, welke gebruikt wordt binnen de creditcardindustrie. Deze norm stelt concrete eisen aan wachtwoordauthenticatie. Hoe kan het zo zijn, dat er al langere tijd relevante informatiebeveiligingsstandaarden voor handen zijn, en toch de incidenten ten aanzien van wachtwoordauthenticatie aan de orde van de dag zijn? Voldoen de standaarden dan niet, of worden ze niet of niet goed toegepast? Of worden niet de juiste afwegingen gemaakt? Deze vragen waren het startpunt voor het formuleren van de uiteindelijke onderzoeksvraag. 3.2 Onderzoeksvraag en doel In de inleiding werd duidelijk dat er vele incidenten zijn ten aanzien van wachtwoordauthenticatie ondanks dat hiervoor al jaren duidelijke standaarden voor handen zijn. Als management van een organisatie kan daardoor de behoefte ontstaan om een review te doen op de implementatie van wachtwoordauthenticatie binnen hun organisatie. Maar wat zou hierbij een geschikte aanpak zijn? Dat is het startpunt van deze scriptie en heeft zich vertaald in de volgende onderzoeksvraag: Hoe kan de effectiviteit van wachtwoordauthenticatie worden getoetst? Het antwoord op deze vraag levert een bijdrage aan het doel van deze scriptie: Het management van organisaties een hulpmiddel aan te reiken dat inzicht kan geven in de effectiviteit van de implementatie van wachtwoordauthenticatie. Een secundair doel is maatregelen aan te dragen om onderkende risico s te mitigeren. Dit wordt bereikt door een raamwerk op te leveren voor het toetsen van de effectiviteit van wachtwoordauthenticatie dat gebruikt kan worden bij de risicoanalyse en het selecteren van de juiste maatregelen als onderdeel van de risicomanagement. 3.3 Aanpak van onderzoek Zoals al in de inleiding opgemerkt, rijst de vraag hoe het nu kan dat we al sinds jaar en dag normen hebben voor informatiebeveiliging, inclusief wachtwoordauthenticatie, er nog steeds incidenten voor komen met wachtwoordauthenticatie. Wanneer we op zoek gaan naar normeringen voor wachtwoordauthenticatie, dan zien we dat elke norm die iets te maken heeft met informatiebeveiliging, wel iets zegt over het authenticatie met wachtwoorden. Een inventarisatie levert de volgende lijst met richtlijnen op: ISO / ISO Cobit (ISACA) Standard of Good Practice for Information Security (Information Security Forum, ISF) PCI-DSS NIST Guide to Enterprise Password Management (Draft) NIST Electronic Authentication Guideline Dossier Informatiebeveiliging (Nora) College Bescherming Persoonsgegevens (CBP) Richtsnoeren beveiliging van persoonsgegevens Open Web Application Security Project (OWASP) best practices Voor dit onderzoek zullen de ISO 27001/ISO en PCI-DSS gebruikt worden, aangevuld met bestpractices van OWASP. Er is gekozen voor de ISO / ISO 27002, omdat dit een veel gebruikte, internationale, standard is voor informatiebeveiliging. Vooral het implementatieadvies in de ISO bevat concrete maatregelen voor wachtwoordauthenticatie. Als tweede is de PCI-DSS gekozen omdat deze norm gebruikt wordt binnen de creditcardindustrie. Omdat het frauderisico groot is binnen de creditcardindustrie is de verwachting dat dit een vrij strenge norm is en dat de eisen aan wachtwoordauthenticatie relatief hoog zijn. Als laatste is gekozen voor de best-practices van OWASP, 5

6 omdat deze ontworpen zijn voor websites die ontsloten zijn aan het internet en daarom verwacht mag worden dat er strenge eisen ten aanzien van authenticatie gesteld zijn. Om de maatregelen uit de verschillende normenkaders beter bruikbaar te maken voor het toetsen van de implementatie van wachtwoordauthenticatie is ervoor gekozen om de maatregelen uit de drie gekozen normeringen te structureren naar risico. Om meer structuur te geven is er, per inherent risico, een aantal oorzaken aangegeven en daaraan zijn de maatregelen gekoppeld vanuit de drie normenkaders. De inherente risico s uitgewerkt in hoofdstuk 6 Risico s bij wachtwoordauthenticatie en de koppeling vanuit de drie normenkaders naar deze risico s zijn uitgewerkt in 7: Richtlijnen voor wachtwoordauthenticatie. Vervolgens is het onderwerp verder verdiept door een literatuurstudie en het bestuderen van diverse publicaties op internet, aangevuld met de eigen kennis en ervaring van de schrijver van deze scriptie. Deze verdieping heeft geleid tot aanvullingen en nuances op de drie richtlijnen. Zo is een geïntegreerd normenkader ontstaan dat vervolgens is getoetst en aangevuld door de volgende specialisten uit de praktijk: Koc-Fai Wu (RE), Cybersecurity specialist ING Bank; Jeroen Kunis (RE), Senior Manager bij KPMG en Johan Verrips, senior security architect Nationale Nederlanden. De aanvullingen en nuances op de onderzochte richtlijnen staan beschreven in hoofdstuk 8: Aanvullingen en nuances. Om de centrale vraag Hoe kan de effectiviteit van wachtwoordauthenticatie worden getoetst? te kunnen beantwoorden, wordt deze onderverdeeld in deelvragen: Wat is wachtwoordauthenticatie? Welke risico s kunnen worden onderkend ten aanzien van wachtwoordauthenticatie? Welke maatregelen worden aangedragen uit relevante normenkaders? Hoe kunnen de bestaande richtlijnen nog verder worden verbeterd, specifiek op het onderwerp wachtwoordauthenticatie? Hoe kan de effectiviteit van wachtwoordauthenticatie vastgesteld worden? 3.4 Leeswijzer Hoofdstuk 4 bevat een uitwerking van de scope en afbakening van het onderwerp. Hoofdstuk 5 verdiept het onderwerp van onderzoek en geeft antwoord op de eerste deelvraag Wat is wachtwoordauthenticatie?. Hoofdstuk 6 gaat in op de risico s ten aanzien van wachtwoordauthenticatie en geeft antwoord op de tweede deelvraag Welke risico s kunnen worden onderkend ten aanzien van wachtwoordauthenticatie? Hoofdstuk 7 beschrijft welke maatregelen zijn opgenomen in relevante richtlijnen en geeft inzicht in welke maatregelen uit de normen welke risico s mitigeren. Tevens wordt een inschatting gedaan in hoeverre de richtlijnen de incidenten uit de inleiding hadden kunnen voorkomen. Dit hoofdstuk geeft antwoord op de deelvraag Welke maatregelen worden aangedragen uit relevante normenkaders?. Hoofdstuk 8 biedt aanvullingen uit eigen onderzoek en de uitkomst van een toetsing van deze aanvullingen bij een drietal specialisten uit de praktijk. Ook wordt een inschatting gemaakt in hoeverre de aanvullende maatregelen de incidenten uit de inleiding hadden kunnen voorkomen. Dit hoofdstuk geeft antwoord op de deelvraag Hoe kunnen bestaande richtlijnen worden verbeterd? In hoofdstuk 9 wordt inzicht gegeven hoe het verbeterde toetsingsraamwerk ingezet kan worden bij het toetsen van de effectiviteit van wachtwoordauthenticatie en geeft antwoord op Hoe kan de effectiviteit van wachtwoordauthenticatie getoetst worden?. Hoofdstuk 10 bevat de conclusie en geeft een overzicht van de antwoorden op de deelvragen en centrale vraag Hoe kan de effectiviteit van wachtwoordauthenticatie vastgesteld worden?. 6

7 4 Scope van het onderzoek 4.1 Scope / afbakening Het object van onderzoek is wachtwoordauthenticatie. Wachtwoordauthenticatie is binnen de context van deze scriptie het vaststellen van de identiteit door middel van een wachtwoord. Binnen de scope vallen ook de processen rond wachtwoordauthenticatie zoals het toekennen van wachtwoorden en de procedure om een nieuw wachtwoord toe te kennen als iemand zijn wachtwoord is vergeten. Voor dit onderzoek zijn out of scope: wachtwoorden voor éénmalig gebruik; wachtwoordgebruik bij multi-factor authenticatie; wachtwoordgebruik zonder authenticatie en risico s die voortkomen uit specifieke systeemzwakheden. Wachtwoorden voor eenmalig gebruik Wachtwoorden voor eenmalig gebruik zijn slechts eenmaal geldig. De problematiek en risico s rondom éénmalige wachtwoorden zijn anders in vergelijking tot wachtwoorden die meerdere malen gebruikt kunnen worden omdat: eenmalige wachtwoorden worden niet gekozen door de gebruikers, maar worden gegenereerd door een computer en afgedrukt op een lijst, dan wel op het moment dat het nodig is naar de gebruiker gestuurd met bijvoorbeeld SMS; er na gebruik geen risico meer is op misbruik omdat ze maar eenmalig geldig zijn. eenmalige wachtwoorden kunnen niet worden hergebruikt over meerdere informatiesystemen. langdurig misbruik onmogelijk is Wachtwoordgebruik bij multi-factor authenticatie Bij multi-factor authenticatie wordt voor de authenticatie op minimaal twee factoren vertrouwd voor de authenticatie. Hoe meer factoren er gevraagd worden om de identiteit te bewijzen, hoe groter de zekerheid over de identiteit van de persoon die probeert in te loggen op een informatiesysteem. De factoren kunnen zijn: Kennis, iets wat de gebruiker weet zoals een wachtwoord; Eigendom, iets dat de gebruiker in bezit heeft zoals een smartcard of een mobiele telefoon; een inherente factor, iets wat de gebruiker is, zoals een vingerafdruk of de vorm van de tekening in de iris. Net als bij authenticatie met wachtwoorden voor eenmalig gebruik is ook bij multi-factor authenticatie de problematiek en het risicoprofiel anders. Het inherente risico is kleiner omdat niet meer vertrouwd wordt op het wachtwoord alleen, maar ook een tweede factor vereist is. Wachtwoordgebruik zonder identificatie Wachtwoorden worden ook gebruikt om informatie te beschermen zonder dat eerst identificatie nodig is. De toegang wordt dus verschaft aan iedereen die het wachtwoord weet. Dit valt buiten de scope omdat dit geen authenticatie betreft. Het doel van authenticatie is het vaststellen van iemands identiteit en daarvan is geen sprake wanneer er geen identificatie-stap is. Voorbeelden zijn USB-sticks met een wachtwoord, een wachtwoordkluis-bestand dat beveiligd is met een wachtwoord of een versleutelde harde schijf. Hoewel dit buiten de scope valt voor deze scriptie, is dit wel interessant, want wanneer iemand misbruik maakt van zo n wachtwoord, maakt deze zich niet schuldig aan identiteitsfraude. Is in dat geval dan nog sprake van ongeautoriseerd toegang? Risico s van wachtwoordauthenticatie die voortkomen uit specifieke systeemzwakheden Wachtwoorden die uitlekken door specifieke zwakheden in systemen worden buiten beschouwing gelaten. Het uitlekken van wachtwoorden wordt in deze scriptie gezien als een inherent risico, omdat het 7

8 voor de onderzoeksvraag niet relevant is hoe precies een wachtwoord kan uitlekken. Wel worden er op hoger abstractieniveau maatregelen besproken zoals het hardenen 1 en patchen 2 van een systeem. 1 Systeem-hardening: Het dichttimmeren van een systeem door onder andere het verwijderen van onnodige software en het instellen van systeemparameters, dusdanig dat een optimale beveiliging bereikt wordt. 2 Patchen is het aanbrengen van updates op software met als doel kwetsbaarheden en fouten in informatiesystemensystemen weg te nemen of te verminderen. 8

9 5 Wachtwoordauthenticatie 5.1 Wat is wachtwoordauthenticatie? Om ongeautoriseerd lezen of wijzigen van gegevens te voorkomen, zijn hedendaagse informatiesystemen voorzien van een mechanisme voor logische toegangsbeveiliging. Logische toegangsbeveiliging is mede een waarborg voor de betrouwbaarheid van de geautomatiseerde gegevensverwerking. Belangrijke aspecten van logische toegangsbeveiliging zijn het vaststellen van de identiteit van een gebruiker bij het inloggen en het toekennen, wijzigen en intrekken van toegangsrechten. Bij het onderzoek naar de definitie kwamen verschillende definities aan het licht, die in de kern hetzelfde zijn. We hanteren de definitie zoals staat in het Nederlandse OverheidsReferentieArchitectuur (Nora) [11]: Authenticatie is het aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. Bij authenticatie gaat het er dus om dat aangetoond wordt dat een identiteitsclaim geverifieerd wordt. De claim van een bepaalde identiteit wordt meestal gedaan door de loginnaam in te geven op het systeem. Het is ook mogelijk dat een computersysteem zich identificeert bij een ander computersysteem. In dat geval is het doel van authenticatie zekerheid te verschaffen over de identificatie van dat andere systeem. Voor het gemak spreken we in deze scriptie van hij, terwijl dat dus ook een zij of een het kan zijn. Bij wachtwoordauthenticatie wordt het bewijs geleverd door het overhandigen van een wachtwoord, gekoppeld aan deze identiteitsclaim. Wanneer authenticatie heeft plaatsgehad, heeft een computersysteem vastgesteld dat de persoon of systeem (z.g. claimant 3 ) is die hij zegt dat hij is. De verificatie van de identiteit is belangrijk, omdat de identiteit van een gebruiker een vereiste is voor de autorisaties. Het systeem geeft toegang tot bepaalde informatie, afhankelijk van onder welke naam er wordt ingelogd. Ook bepaalt het systeem wat er met de informatie gedaan kan worden: bijvoorbeeld alleen lezen of ook modificeren van gegevens. Een wachtwoord geeft toegang tot een gebruikersaccount. Een gebruikersaccount wordt gebruikt op z.g. multi-user systemen, waarbij het systeem onderscheid kan maken tussen verschillende gebruikers. In deze scriptie wordt de definite van Encyclopia [12] gehanteerd. Deze luidt als volgt: A collection of data associated with a particular user of a multiuser computer system. Each account comprises a user name and password, and defines security access levels, disk storage space, etc. The system administrator is responsible for setting up and overseeing user accounts. 5.2 Doelstelling van wachtwoordauthenticatie De doelstelling van wachtwoordauthenticatie binnen de scope van deze scriptie is het verifiëren van de identiteit van een claimant door middel van een wachtwoord. Dit levert een bijdrage aan de volgende doelen: Waarborgen van de vertrouwelijkheid van informatie. Alleen geautoriseerde personen mogen gegevens lezen. Mede een waarborg van de integriteit van de informatie. Alleen geautoriseerde personen mogen de gegevens aanpassen. Onweerlegbaarheid. Het kunnen bewijzen dat alleen een bepaald persoon bepaalde acties heeft uitgevoerd in het systeem. Dit hangt overigens wel van de loggingfaciliteiten van het systeem af. 3 Een claimant is een iemand of iets die een identiteit claimt. 9

10 Waarborg voor de beschikbaarheid van data en informatiesystemen. Wanneer iemand zich ongeautoriseerd toegang kan verschaffen tot een informatiesysteem, dan zou deze persoon de data of het systeem zelf onbeschikbaar kunnen maken door gegevens te wissen en/of het informatiesysteem te ontregelen. Het technisch afdwingen van functiescheidingen in informatiesystemen. Functiescheiding is een maatregel, waarbij functies worden verdeeld zodat iedere medewerker maar een deel van het totale proces kan beïnvloeden en de mogelijkheid bestaat tot wederzijdse controle. Een voorwaarde voor het inregelen van afgedwongen functiescheidingen in informatiesystemen is dat het systeem persoon X van persoon Y kan onderscheiden. 5.3 Hoe werkt wachtwoordauthenticatie? Om een beter inzicht te verschaffen in problematiek en risico s is het van belang de processen en technische achtergrondinformatie te kennen rond het instellen en controleren van het wachtwoord. Hieronder volgt daarom een korte uiteenzetting van deze twee onderwerpen. 1) Het instellen van het wachtwoord. Procedureel Initieel wordt het wachtwoord ingesteld door een gebruikersaccount en wachtwoorduitgifteproces. Een belangrijk aspect is de identificatie van de gebruiker, alvorens het wachtwoord ter beschikking te stellen. Wanneer de gebruiker zijn wachtwoord vergeten is, zal ervoor gezorgd moeten worden dat de gebruiker een nieuw wachtwoord krijgt. De procedure die in werking treedt hiervoor wordt de wachtwoordresetprocedure genoemd. Ook hier is het van het grootste belang dat het wachtwoord aan de juiste persoon overhandigd wordt, om te voorkomen dat het wachtwoord in de verkeerde handen valt. Technisch Praktisch alle moderne informatiesystemen die wachtwoordauthenticatie gebruiken, werken volgens het systeem dat staat beschreven in Handbook of applied cryptography [13]. Dit systeem, dat in hoofdstuk 10.2 Passwords is opgenomen, beschrijft eerst het instellen van het wachtwoord. Bij het instellen van het wachtwoord wordt niet het wachtwoord opgeslagen, maar de uitkomst van een niet-omkeerbare cryptografische hashfunctie. De uitkomst van deze functie wordt de hash of wachtwoordhash genoemd. De hash is niet op een triviale manier om te zetten in het leesbare wachtwoord. 2) Authenticatie. Procedureel De gebruiker voert gebruikersnaam en wachtwoord in. Het systeem controleert vervolgens of het ingevoerde wachtwoord identiek is aan het wachtwoord dat is ingevoerd bij het instellen van het wachtwoord. Technisch: Bij het controleren van het wachtwoord, wordt over hetgeen de gebruiker heeft ingevoerd een hashfunctie uitgerekend, net zoals dat bij het instellen van het wachtwoord is gebeurd. Wanneer deze hash gelijk is aan de hash die gegenereerd is bij het instellen van het wachtwoord, dan resulteert dit in een succesvolle authenticatie. Dit is schematisch uitgebeeld in het volgend schema uit Handbook of applied cryptography [13], Figuur 10.1 Use of one-way function for password checking : 10

11 figuur 1. Login mechanisme. Bron: [13], Figure 10.1 Use of one-way function for password checking. Claimant A is een gebruiker die wil inloggen op een systeem en een identiteit claimt door het invoeren van een login-naam. Hij voert bij het inloggen zijn wachtwoord (zie figuur 1 password ) en zijn loginnaam (zie figuur 1: A ) in. In het informatiesysteem wordt de cryptografische hash uitgerekend in de rekenbox (zie figuur 1: h ) en wordt de opgeslagen hash uit de tabel gelezen van de betreffende gebruiker A. Wanneer beide hashes identiek zijn, en dit is alleen zo als de gebruiker het juiste wachtwoord heeft ingevuld, dan volgt een acceptatie (ACCEPT), anders een afkeuring (REJECT). Ter illustratie volgt nu een stapsgewijze beschrijving van dit proces waarbij het wachtwoord wordt gehasht met het hashing-algoritme SHA-1. Stap 1: het instellen van het wachtwoord. Er wordt gekozen voor het wachtwoord De SHA-1 hash van dit wachtwoord is a3b18e7ac7db39e44681aaa5fd70a01e3d6c0542 en dit wordt opgeslagen bij de loginnaam van de gebruiker. Anders dan bij encryptie, waarbij een versleutelde boodschap met behulp van een wachtwoord terug omgezet kan worden in klare tekst, is dit bij een hashfunctie niet zondermeer mogelijk. Stap 2: Het controleren van het wachtwoord (authenticatie) De gebruiker wil nu inloggen. Hij voert zijn login-naam in en als wachtwoord hij toetst dus per ongeluk voor de n een m in. Door de eigenschappen van een hashfunctie resulteert dit in een compleet andere hash: 7fbd56aa6d0d5bc c964d0f31563f29c85. Het systeem vergelijkt de uitgerekende hash met de opgeslagen hash en constateert dat de hashes niet gelijk zijn en daarom zal het systeem de gebruiker niet authentiseren. De gebruiker probeert het nog een keer, nu met het juiste wachtwoord De SHA-1 hash die nu wordt uitgerekend, a3b18e7ac7db39e44681aaa5fd70a01e3d6c0542, is wél identiek aan de opgeslagen hash en de gebruiker wordt geauthentiseerd en daarna toegelaten tot het systeem. Opmerking: dit is een voorbeeld ter illustratie, waarbij specifieke risico s van het opslaan van wachtwoorden in hash-vorm niet zijn afgedekt. 11

12 5.4 Hoe wordt wachtwoordauthenticatie gebruikt? Wachtwoordauthenticatie wordt gebruikt voor de authenticatie van eindgebruikers en computerprocessen. Wachtwoordauthenticatie van eindgebruikers Dit is de meest bekende vorm van wachtwoordauthenticatie en dit behelst een eindgebruiker in de vorm van een mens, dat gebruik wil maken van een informatiesysteem. Kenmerkend voor wachtwoordwoordauthenticatie van eindgebruikers zijn de login-schermen met daarop de invoervelden voor loginnaam en wachtwoord. Hieronder enkele voorbeelden van een login op SalesForce en Windows 8: figuur 2: Salesforce login figuur 3: Windows 8 login Wachtwoordauthenticatie door computerprocessen Niet alleen mensen loggen in en gebruiken daarbij wachtwoorden, maar ook computerprocessen. Een computerproces is software dat actief is op een computersysteem. Een voorbeeld van zo n computer proces bijvoorbeeld een (Java) applicatieserver. Een applicatieserver gebruikt vaak data dat is opgeslagen in een databaseserver. Om gebruik te kunnen maken van de databaseserver zal de applicatieserver eerst moeten inloggen op de databaseserver. Dit gebeurt praktisch altijd met een wachtwoord. In figuur 4 is een z.g. 3-tier architectuur weer gegeven met daarin twee applicatieservers die gebruik maken van één databaseserver. 12

13 figuur 4: 3-tier architecture 5.5 Effectiviteit van wachtwoordauthenticatie. Een effectieve wachtwoordauthenticatie is zo ingericht dat het doel behaald wordt en (bedrijfs)processen zo min mogelijk gehinderd worden. Zoals besproken in hoofdstuk 5.2 Doelstelling van wachtwoordauthenticatie is het doel van wachtwoordauthenticatie het vast stellen van de identiteit van een claimant om als basis te kunnen fungeren voor het zekerstellen van de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens, alsmede voor het garanderen van functiescheidingen en het onweerlegbaarheid. Bij de definitie van wat een effectieve wachtwoordbeveiliging is, zouden we echter niet alleen naar het primaire doel moeten kijken, maar ook naar de kans van een onterechte uitsluiting, en gebruikersvriendelijkheid. Een effectieve wachtwoordbeveiliging zal met al deze aspecten rekening houden. We definiëren een effectieve wachtwoordbeveiliging daarom als volgt: Kleine kans op een geslaagde ongeautoriseerde login op een informatiesysteem. Een onterechte login treedt op wanneer iemand die niet is geautoriseerd om een bepaald gebruikersaccount te gebruiken, deze toch kan gebruiken en in staat is in te loggen met dit account. Kleine kans op het onterecht buitensluiten van legitieme gebruikers. Wanneer legitieme gebruikers onterecht worden uitgesloten, dan kan dit een negatieve impact hebben op de (bedrijfs-)processen. Vooral wanneer de productiviteit van medewerkers, de klanttevredenheid of de motivatie van medewerkers worden verminderd. Gebruiksvriendelijkheid. Een ongebruiksvriendelijke authenticatiemechanisme kan leiden tot verlies van productieve uren en/of ontevreden klanten. Op welk aspect de nadruk moet worden gegeven, hangt af van de doelen en prioriteiten van een onderneming. Vooral bij het selecteren van maatregelen om de risico s van wachtwoordauthenticatie (zie hoofdstuk 6) te verminderen, zal er een afweging tussen bovenstaande aspecten gemaakt moeten worden. Algemeen moeten de kosten van het totale pakket aan maatregelen rond wachtwoordauthenticatie altijd in verhouding staan met de mate van risico-mitigatie. Een uitzondering hierop is een eis die een maatregel wettelijk afdwingt. 13

14 6 Risico s bij wachtwoordauthenticatie In dit hoofdstuk is getracht alle inherente risico s te specificeren van wachtwoordauthenticatie om als hulp te dienen bij het maken van risicoanalyses. Wachtwoordauthenticatie wordt ingevoerd om een bijdrage te leveren aan een aantal organisatiedoelen. Wat deze doelen precies zijn, hangt uiteraard af van de organisatie; de processen; de computersystemen en de gegevens die erin zitten. Deze doelen zijn al in hoofdstuk 5.2 Doelstelling van wachtwoordauthenticatie behandeld: Waarborg van de vertrouwelijkheid van informatie. Waarborg van de integriteit van de informatie Onweerlegbaarheid. Waarborg voor de beschikbaarheid van data en informatiesystemen. Het (technisch) afdwingen van functiescheidingen in informatiesystemen. De risico s van wachtwoordauthenticatie kunnen worden gevonden in dreigingen, die er toe zouden kunnen leiden dat bovenstaande organisatiedoelen niet worden bereikt. Bij het samenstellen van de in dit hoofdstuk genoemde lijst van risico s is gebruik gemaakt van NIST s Guide to Enterprise Password Management [14], aangevuld met risico s uit een presentatie van Joe St Sauver Passwords [15] omdat de NIST een bruikbare structuur aan draagt voor risico s ten aanzien van wachtwoordauthenticatie en omdat de presentatie van Joe St Sauver een zeer uitgebreide lijst met risico s en incidenten in zich heeft. Risico 1: Wachtwoorden vallen in handen van een derde Zoals besproken in hoofdstuk 4.1 is een wachtwoord een vorm van één-factor authenticatie. De factor is hier kennis. Inherent risico s van kennis zijn dat het dupliceerbaar is en dat het dus kan uitlekken. Wanneer een wachtwoord in handen valt van een derde, dan weet hij het wachtwoord ook. Vanaf dat moment kan dat individu zich ongeautoriseerd toegang verschaffen tot het informatiesysteem en de autorisaties van de legitieme gebruiker misbruiken. Dit risico kan leiden tot het niet halen van alle vijf hierboven genoemde organisatiedoelen. Mogelijk oorzaken zijn: a) Ineffectieve processen voor wachtwoord uitgifte / reset ten aanzien van identificatie zoals: Inadequate identificatie van eindgebruiker. eenvoudig te raden wachtwoorden worden uitgegeven. De manier van communiceren van de wachtwoorden aan de eindgebruiker, als onderdeel van de gebruikersaccountcreatie- of wachtwoordresetprocedure, is kwetsbaar voor afluisteren. Medewerkers van de servicedesk weten het wachtwoord van de eindgebruiker. b) social-engineering of handelen van de gebruiker zoals: De gebruiker vertelt zijn wachtwoord vrijwillig door aan een derde, bijvoorbeeld omdat iemand tijdens vakantie zijn werk moet overnemen. een derde kan het wachtwoord raden omdat de gebruiker een eenvoudig te raden wachtwoord koos. Een derde gebruikt een elders gecompromitteerd wachtwoord doordat de gebruiker wachtwoorden hergebruikt. Een derde ontfutselt het wachtwoord bij een gebruiker door social-engineering technieken toe te passen zoals phishing 4. Een derde heeft toegang tot de door de gebruiker onveilig opgeslagen wachtwoorden Omkoping. 4 Phishing is een techniek waarbij door middel van informatie zoals bijvoorbeeld gebruikersnaam en wachtwoord van een gebruiker wordt ontfutseld. 14

15 Bedreiging. Samenspanning c) Een hardware/software keylogger of camera. d) Een hacker of kwaadaardige software steelt de wachtwoorden of wachtwoordhashes. e) Een hacker kraakt de wachtwoordhashes nadat hij het systeem gecompromitteerd heeft. f) Wachtwoorden worden afgeluisterd wanneer ze over het netwerk worden verstuurd. g) Online guessing. Het wachtwoord wordt gevonden door een groot aantal verschillende wachtwoorden te proberen op één of meerdere gebruikersaccounts. h) Een derde vindt het wachtwoord door een enkele eenvoudige wachtwoorden te proberen op alle of een groot aantal gebruikersaccounts. i) Een derde steelt de wachtwoorden of wachtwoordhashes van backup-media. Risico 2: Wachtwoorden van niet-persoonsgebonden accounts blijven bekend bij personen, terwijl dat niet (meer) hoort bij hun taken en verantwoordelijkheden In sommige gevallen is het onvermijdelijk dat niet-persoonlijke accounts gebruikt worden. Een niet persoonlijk account wordt vaak gedeeld met meerdere personen en is niet triviaal herleidbaar naar een natuurlijk persoon. Wanneer één van die geautoriseerde personen een niet-geautoriseerd persoon wordt, doordat deze persoon een andere rol krijgt of het bedrijf verlaat, dan kan deze persoon misbruik maken van het betreffende niet-persoonlijke account, omdat hij nog het wachtwoord weet. Dit risico kan leiden tot het niet halen van één of meer van de vijf hierboven genoemde doelen. De onweerlegbaarheid komt in gevaar omdat meerdere mensen één account delen. Mogelijke oorzaken zijn: a) Een wachtwoord van een niet-persoonsgebonden account is niet gewijzigd nadat iemand het team verlaat of ander werk gaat doen. b) Een standaard wachtwoord is niet gewijzigd Risico 3: Wachtwoorden worden vervangen door een bij een andere persoon bekend wachtwoord Om het wachtwoord bij het inloggen te kunnen controleren, moet het systeem een vorm van wachtwoordopslag hebben. Wanneer een kwaadwillende er in slaagt het opgeslagen wachtwoord van een account dat niet van hem is (tijdelijk) te vervangen door een wachtwoord dat hij wél kent dan kan de kwaadwillende persoon ongeautoriseerd inloggen op dat gebruikersaccount. Ook dit risico kan leiden tot het niet halen van alle vijf hierboven genoemde doelen omdat het leidt tot ongeautoriseerde toegang tot een gebruikersaccount. Mogelijk oorzaken zijn: a) Ondeugdelijke wachtwoordresetprocedures. b) Wachtwoorden of wachtwoordhashes zijn onvoldoende beschermd tegen ongeautoriseerd wijzigen. c) Social-engineering. Hierbij wordt de gebruiker verleid om zijn wachtwoord te veranderen op aangeven van een kwaadwillende. d) Een kwaadwillende wijzigt het wachtwoord door misbruik te maken van een werkstation of mobiel apparaat waarop de legitieme gebruiker is ingelogd. e) Een systeembeheerder vervangt (tijdelijk) het wachtwoord of wachtwoordhashes waarna deze tijdelijk misbruik kan maken van andermans gebruikersaccount. Dit is een bedreiging voor de onweerlegbaarheid. Risico 4: Wachtwoorden die eenmaal gecompromitteerd zijn, worden lange tijd misbruikt Dit behelst het risico dat in het geval een wachtwoord eenmaal gecompromitteerd is, deze lange tijd gebruikt kan worden. Ook dit risico kan leiden tot het niet halen van alle vijf hierboven genoemde doelen. 15

16 Mogelijk oorzaken zijn: a) wachtwoorden blijven lange tijd hetzelfde doordat wachtwoordwijzigingen niet worden afgedwongen. b) de gebruiker het uitlekken van zijn wachtwoord niet meldt en geen actie onderneemt. c) de gebruiker gebruikt opvolgende wachtwoorden waardoor het volgende wachtwoord steeds voorspelbaar is. Risico 5: Iemand wordt ten onrechte niet geauthentiseerd op een informatiesysteem Dit risico is een primair een beschikbaarheidsrisico. Wanneer een gebruiker niet kan inloggen doordat het authenticatiesysteem niet goed werkt, dan kost dit productieve uren en kunnen de bedrijfsprocessen in gevaar komen. Ook kan dit leiden tot ontevreden klanten. Mogelijke oorzaken kunnen zijn: a) De authenticatieserver is niet beschikbaar. b) De integriteit van de wachtwoordopslag (c.q. wachtwoordhashes) is aangetast. c) Het account is vergrendeld doordat het lockoutmechanisme wordt misbruikt voor een Denial of Service (DOS) aanval. Hierbij worden accounts moedwillig geblokkeerd door meerdere malen achter elkaar een fout wachtwoord te gebruiken. 16

17 7 Richtlijnen voor wachtwoordauthenticatie 7.1 Inleiding op de onderzochte richtlijnen Zoals behandeld in de hoofdstuk 3.3 Aanpak van onderzoek, wordt de nadruk gelegd op de ISO 27001/ISO 27002, PCI-DSS en de richtlijnen van het Open Web Application Security Project (OWASP) om een beeld te krijgen welke maatregelen aangedragen worden vanuit relevante richtlijnen. In dit hoofdstuk 7 wordt ingegaan op de aard van de gekozen normen, in welke mate de maatregelen de incidenten uit de inleiding hadden kunnen voorkomen en of de maatregelen uit de richtlijnen de onderkende risico s uit hoofdstuk 6 kunnen mitigeren. ISO / ISO [16] [17]. De ISO [16] en ISO [17] zijn ISO standaarden voor informatiebeveiliging. Hoewel er tijdens het schrijven van deze thesis een 2013 versie van deze standaarden uitgekomen is, is toch gebruik gemaakt van de 2005 versie omdat deze nog steeds het meest gebruikt wordt. Uit een artikel van Dejan Kosutic [18] blijkt dat er ten aanzien van wachtwoordauthenticatie geen nieuwe maatregelen zijn opgenomen in de 2013 versies van deze standaarden, dus de 2013 versie is verder buiten beschouwing gelaten. De ISO is een norm voor z.g. security management system. In wezen is de ISO een riskmanagement methodiek dat toegespitst is op informatiebeveiliging en heeft daarom als doel de risico s ten aanzien van informatiebeveiliging te beheersen. Belangrijke aspecten zijn de risicoanalyse; het bepalen van maatregelen en het continu verbeteren van het managementsysteem rond informatiebeveiliging. De maatregelen die in annex A van ISO genoemd zijn, zijn bedoeld om maatregelen te extraheren als onderdeel van het risicomanagement. Het is dus niet gezegd dat met de invoering van de maatregelen uit Annex A alle risico s adequaat gemitigeerd worden. Dit hangt namelijk sterk af van de specifieke risico s en beheersdoelstellingen. Ook beperkt de ISO zich ook niet tot de maatregelen in de Annex A. Men is vrij extra maatregelen te implementeren wanneer dat nodig is op basis van de risicoanalyse. De ISO bevat implementatie-adviezen voor de maatregelen die in Annex A van de ISO genoemd zijn. In bijlage B is een overzicht te vinden van de maatregelen in Annex A van ISO 27001, inclusief de implementatieadviezen uit ISO 27002, die relevant zijn voor wachtwoordauthenticatie PCI-DSS [19]. PCI-DSS staat voor Payment Card Industry Data Security Standard. Deze richtlijn wordt mondiaal opgelegd door de grote creditcard bedrijven zoals Visa en Mastercard aan bedrijven die creditcardgegevens verwerken. Deze norm bevat een aantal eisen aan wachtwoordauthenticatie die zijn opgesomd in bijlage C. Echter, de PCI-DSS sluit het gebruik van een wachtwoord alléén uit voor bepaalde toepassingen zoals remote access. OWASP OWASP staat voor Open Web Application Security Project en is een werkgroep dat zich toelegt op de beveiliging van webapplicaties. Omdat webapplicaties vaak blootgesteld worden aan het internet, is de kans op aanvallen van buitenaf groot en dat kunnen we bijna dagelijks zien in de media (zie ook de inleiding, hoofdstuk 3). Een deel van de OWASP aanbevelingen hebben betrekking op wachtwoordauthenticatie. OWASP heeft een aantal z.g. cheat sheets [20] gepubliceerd, met daarin maatregelen om de authenticatie met wachtwoorden veiliger te maken. Hoewel OWASP zich richt op webapplicaties, zijn de beschreven maatregelen breder toepasbaar. Omdat een webapplicatie een verbijzondering is van een applicatie kunnen de richtlijnen van de OWASP, die primair ontworpen zijn voor webapplicaties, vaak ook worden gebruikt voor niet-webapplicaties. De cheat sheets voor Authentication, Password Storage en, Forgot Password zijn het meest relevant voor het onderwerp wachtwoordauthenticatie. Naast de cheat sheets heeft OWASP nog publicaties op internet in de vorm van een Password length & complexity best practice een Developer Guide en een Authentication best practice. 17

18 In bijlage D is een op risico gestructureerd overzicht te vinden van relevante cheat sheets en de maatregelen die daarin beschreven staan. De doelgroep voor de ISO 27001/2 zijn alle organisaties waarvoor informatiebeveiliging belangrijk is en is daarmee de minst verbijzonderde richtlijn van de drie. De relevante maatregelen voor wachtwoordauthenticatie zijn: A.8.3.3: Het verwijderen van toegangsrechten; A : Wachtwoord beheer; A : Gebruikers verantwoordelijkheden ten aanzien van wachtwoorden; A : Veilige login procedures; A : Wachtwoord beheer systeem. Omdat de ISO 27001/2 het minst verbijzonderd is op een situatie, zijn de maatregelen ook het minst specifiek. Zelfs het implementatieadvies dat is opgenomen in de ISO geeft daardoor niet al te concreet advies. Voor wachtwoordauthenticatie betekent dat bijvoorbeeld dat er beleid moet zijn voor een minimale wachtwoordlengte, maar deze wordt niet gespecifieerd. De PCI-DSS daarentegen is concreter en normatiever hierin en dat leidt er toe dat een minimale wachtwoordlengte wordt geëist van 7 tekens. De meeste maatregelen, relevant voor wachtwoordauthenticatie in de PCI-DSS zijn ook in de bijlage van ISO opgenomen, ware het niet dat de maatregelen in de PCI-DSS concreter zijn geformuleerd. Waar ISO 27001/27002 en PCI DSS op een vrij hoog abstractieniveau zijn beschreven, is OWASP veel praktischer, gedetailleerder en technischer. OWASP geeft bijvoorbeeld gedetailleerde instructies hoe een wachtwoord veilig opgeslagen kan worden en waar dan precies een wachtwoordresetprocedure aan zou moeten voldoen. Voor belangrijke onderwerpen ten aanzien van wachtwoordauthenticatie zijn z.g. cheat sheets ontwikkeld. Uit de wijzigingshistorie van de OWASP documenten is te zien dat de laatste wijzigingsdatum niet langer geleden is dan 6 maanden. Daarmee zijn de OWASP documenten volatieler dan de ISO 27001/2 en PCI-DSS richtlijnen. Waarschijnlijk doordat de OWASP richtlijnen wat volatieler zijn, zijn ze ook op punten ook wat minder consistent. Zo adviseert de OWASP s Authentication Cheat Sheet een minimale wachtwoordlengte van 10 tekens, waar de het advies in Password length & complexity 8 karakters als veilig minimum is en in de Developer guide wordt gesteld dat wachtwoorden onder de 16 karakters niet veilig zijn. 7.2 Kunnen de maatregelen uit de richtlijnen de incidenten voorkomen? De vraag rijst nu, waren de incidenten genoemd in de inleiding ook op getreden als de onderzochte normeringen waren toegepast? Dit hoofdstuk geeft daar per richtlijn een antwoord op. In de basis zouden de ISO en PCI-DSS de incidenten geheel kunnen afdekken als onderdeel van goed riskmanagement. Hieronder worden echter alleen de concrete maatregelen uit de richtlijnen aan gehouden om het concreet te houden. 1. Adobe gebruikte zwakke encryptie voor opslag wachtwoorden [1]. Bij dit incident zijn hackers ingebroken op het netwerk van Adobe en hebben de versleutelde wachtwoorden gestolen. De wachtwoorden waren wel versleuteld maar met een symmetrische encryptie. Deze manier van versleutelen is in strijd met alle drie de onderzochte normeringen. De OWASP geeft de meest gedetailleerde instructies door ook adviezen te geven welke one-way versleuteling (oftewel hashing) betrouwbaar zijn voor het opslaan van wachtwoorden. Wanneer het advies van de OWASP was opgevolgd, was er geen symmetrische encryptie gebruikt en zou een sterk hashingalgoritme zijn gebruikt. De OWASP adviseert ook trivialiteitscontroles bij het instellen van wachtwoorden door gebruikers, wat zwakke wachtwoorden kan voorkomen. Met deze OWASP maatregelen zouden er nog steeds wachtwoorden worden gecompromitteerd maar een kleiner aantal en het zou langer duren om ze te kraken waarbij ook meer rekenkracht nodig is. 18

19 ISO / ISO PCI-DSS OWASP deels omdat wel one-way encryptie wordt voorgeschreven maar niet hoe precies. deels omdat wel one-way encryptie wordt voorgeschreven maar niet hoe precies. ja, zwakke encryptie van wachtwoorden zou niet gebeurd zijn. 2. 1,9 miljoen Adobe-gebruikers hadden '123456' als wachtwoord [2]. Dit bericht gaat over de keuze van eenvoudig te raden wachtwoordkeuze door gebruikers. Onderzoeken, genaamd Consumer Password Worst Practices [21], A Large-Scal Study of Web Password Habits [22] en A brief Sony password analysis [23] wijzen uit dat gebruikers eenvoudig te raden wachtwoorden kiezen. Zowel de ISO 27001/2, PCI-DSS als OWASP adviseren een minimale wachtwoordlengte en eisen te stellen aan de wachtwoordcomplexiteit. ISO stelt dat gebruikers geadviseerd moet worden om eenvoudig te raden wachtwoorden te mijden. Dit laatste is een relatief zwakke maatregel, omdat dit niet technisch wordt afgedwongen. De OWASP Developer guide adviseert een trivialiteitscontrole bij het instellen van wachtwoorden, wat een maatregel is tegen gebruikers die eenvoudig te raden wachtwoorden kiezen. ISO / ISO PCI-DSS OWASP deels, door adviezen aan gebruikers deels door wachtwoordeisen te stellen, echter eenvoudige wachtwoorden zijn nog steeds een risico binnen de grenzen van het wachtwoordbeleid. ja, door controle op triviale wachtwoorden. 3. Facebook waarschuwt gebruikers voor Adobe-hack [3]. Facebook waarschuwt gebruikers dat hun Facebook account in gevaar kan komen indien hun wachtwoord identiek is aan hun Adobe wachtwoord. Dit is een voorbeeld van wachtwoordhergebruik. Uit de onderzoeken: A Large-Scal Study of Web Password Habits [22] en What do Sony and Yahoo have in common? Passwords! [24] blijkt dat gebruikers op grote schaal wachtwoorden hergebruiken over verschillende informatiesystemen. Wanneer één informatiesysteem wordt gecompromitteerd, kan dat een direct gevaar betekenen voor andere informatiesystemen. In een slechter scenario kunnen wachtwoorden, die gestolen zijn van een externe website, zelfs gebruikt worden om in te loggen op een bedrijfsnetwerk. Alle drie de richtlijnen adviseren reguliere wachtwoordwisselingen en het bijhouden van oude wachtwoorden om te voorkomen dat steeds dezelfde wachtwoorden gebruikt worden. De ISO adviseert nog extra om gebruikers te adviseren om verschillende wachtwoorden voor business en non-business toepassingen te gebruiken. Alle drie de normen bieden maatregelen tegen wachtwoordhergebruik, die met grote waarschijnlijkheid hier niet zijn toegepast. Een mogelijke reden hiervoor is dat Facebook een bedrijf is die als businessmodel heeft, het verkopen van marktgegevens en het tonen van advertenties. Dit kan er voor zorgen dat gebruiksvriendelijkheid meer prioriteit krijgt dan beveiliging. ISO / ISO PCI-DSS OWASP ja ja ja miljoen wachtwoorden gestolen bij inbraak datingsite [4]. Twee zwakheden met betrekking tot wachtwoordbeveiliging zijn hieruit te extraheren: wachtwoorden werden opgeslagen in klare tekst en gebruikers kozen eenvoudig te raden wachtwoorden. Zie incident 1 en 2 voor opslag van wachtwoorden en keuze van wachtwoorden door gebruikers. 19

20 5. GitHub reset wachtwoorden na brute force-aanval [5]. Hierbij zijn een beperkt aantal zwakke wachtwoorden op alle accounts geprobeerd door een aanvaller, ervan uitgaande dat er altijd wel een paar gebruikers zijn met een zeer eenvoudig wachtwoord. Alleen de ISO heeft hiervoor een maatregel: adviseer de gebruiker om geen wachtwoorden te kiezen die eenvoudig te raden zijn. Deze maatregel is echter niet sterk, omdat het af hangt van het gedrag van eindgebruikers. ISO / ISO PCI-DSS OWASP deels, door gebruikers te adviseren sterke wachtwoorden te kiezen nee ja, door een controle op triviale wachtwoorden 6. Klantendatabase goksite Racing Post gestolen [6]. Door een kwetsbaarheid in de webapplicatie is de inhoud van de achterliggende database gestolen en daarmee ook de (versleutelde) wachtwoorden. Dit incident betreft het uitlekken van one-way versleutelde wachtwoorden. Deze manier van opslaan van wachtwoorden is conform alle drie de richtlijnen. Diverse nieuwsartikelen op internet (oa op de website TheCyberSecuritySentinel [25]) suggereren dat er gebruik gemaakt is van Rainbow Tables 5 om de wachtwoorden te kraken. De maatregelen hiertegen is het gebruik van z.g. salt bij het hashen van de wachtwoorden. Alleen de OWASP adviseert dit in de Password Storage Cheat Sheet. ISO / ISO PCI-DSS OWASP nee, geen maatregelen tegen aanvallen met rainbow tables nee, geen maatregelen tegen aanvallen met rainbow tables Ja, OWASP adviseert het gebruik van salt tegen een aanval met rainbow tables. 7. Microsoft: Europarlementariërs niet gehackt via Exchange-lek [7]. Dit bericht verwijst naar het onderscheppen van wachtwoorden door een zogenaamde man-in-the-middel-aanval op een open WiFi internetverbinding. De onderkende kwetsbaarheid is hier afluisteren, terwijl het wachtwoord over het netwerk wordt getransporteerd. Alle drie de richtlijnen dekken dit af doordat wordt aangereaden om wachtwoorden niet in klare tekst te versturen over een netwerk, maar een communicatie met encryptie te kiezen. ISO / ISO PCI-DSS OWASP ja, middels encryptie op netwerk niveau ja, middels encryptie op netwerk niveau ja, middels encryptie op netwerk niveau 8. Forbes-personeel gebruikte zeer zwakke wachtwoorden [8]. Dit is opnieuw een voorbeeld waarbij gebruikers eenvoudig te raden wachtwoorden kiezen, zie incident Malware steelt 600 wachtwoorden van Duitse overheid [9]. Het betreft hier malware, dat de logingegevens inclusief wachtwoorden afvangt en doorstuurt naar kwaadwillenden. Alle drie de richtlijnen bevatten algemene maatregelen tegen malware. ISO / ISO PCI-DSS OWASP ja, met algemene maatregelen tegen malware ja, met algemene maatregelen tegen malware ja, met algemene maatregelen tegen malware 5 Een rainbow table is een tabel met daarin een groot aantal potentiele wachtwoorden samen met de hashwaarde die daar bij hoort. Het wachtwoord in klare tekst kan dan vervolgens worden gevonden door de hashwaarde op te zoeken in een tabel. 20

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Onderzoeksverslag Beveiliging

Onderzoeksverslag Beveiliging Onderzoeksverslag Beveiliging Project 3 TI1B - Mohamed, Ruben en Adam. Versie 1.0 / 29 maart 2016 Pagina 1 Inhoud 1. INLEIDING... 3 2. VEILIGHEID EISEN... 3 3. SOFTWARE... FOUT! BLADWIJZER NIET GEDEFINIEERD.

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Factsheet Penetratietest Webapplicaties

Factsheet Penetratietest Webapplicaties Factsheet Penetratietest Webapplicaties Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

Gebruik tweefactorauthenticatie

Gebruik tweefactorauthenticatie Gebruik tweefactorauthenticatie Overweeg een wachtwoordmanager, simpele wachtwoorden zijn onveilig Factsheet FS-2015-02 versie 1.0 24 maart 2015 Accounts worden beveiligd door middel van een gebruikersnaam

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI

Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Beknopte dienstbeschrijving beveiligen van Webapplicaties m.b.v. digitale certificaten en PKI Document: Beknopte dienstbeschrijving beveiligen van Webapplicaties Versie: maart 2002 mei 2002 Beknopte dienstbeschrijving

Nadere informatie

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V.

HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. HANDLEIDING SMTP DIENST BEDRIJVENWEB NEDERLAND B.V. Uitgave : 1.0 KORTE OMSCHRIJVING In dit document wordt beschreven hoe u gebruik kunt maken van de SMTP dienst van Bedrijvenweb Nederland B.V. om e-mail

Nadere informatie

HANDLEIDING EXTERNE TOEGANG CURAMARE

HANDLEIDING EXTERNE TOEGANG CURAMARE HANDLEIDING EXTERNE TOEGANG CURAMARE Via onze SonicWALL Secure Remote Access Appliance is het mogelijk om vanaf thuis in te loggen op de RDS omgeving van CuraMare. Deze handleiding beschrijft de inlogmethode

Nadere informatie

Zest Application Professionals Training &Workshops

Zest Application Professionals Training &Workshops Het in kaart krijgen van kwetsbaarheden in Websites & Applicaties en hoe deze eenvoudig te voorkomen zijn, wordt in Applicatie Assessments aangetoond en in een praktische Workshop behandelt. U doet hands-on

Nadere informatie

Factsheet Penetratietest Infrastructuur

Factsheet Penetratietest Infrastructuur Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP

Beveiligingsaspecten van webapplicatie ontwikkeling met PHP RADBOUD UNIVERSITEIT NIJMEGEN Beveiligingsaspecten van webapplicatie ontwikkeling met PHP Versie 1.0 Wouter van Kuipers 7 7 2008 1 Inhoud 1 Inhoud... 2 2 Inleiding... 2 3 Probleemgebied... 3 3.1 Doelstelling...

Nadere informatie

Security web services

Security web services Security web services Inleiding Tegenwoordig zijn er allerlei applicaties te benaderen via het internet. Voor bedrijven zorgt dit dat zei de klanten snel kunnen benaderen en aanpassingen voor iedereen

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Arrix Automatisering Heideanjer 2 9202 PG DRACHTEN Tel. (0512) 54 32 21 www.arrix.nl

Arrix Automatisering Heideanjer 2 9202 PG DRACHTEN Tel. (0512) 54 32 21 www.arrix.nl 10 security tips Security wordt vaak als hinderlijk ervaren. Wachtwoorden worden vergeten en software wordt niet geupdate. Kortom, men ziet niet altijd het belang van informatiebeveiliging en voelt zich

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Help! Mijn website is kwetsbaar voor SQL-injectie

Help! Mijn website is kwetsbaar voor SQL-injectie Help! Mijn website is kwetsbaar voor SQL-injectie Controleer uw website en tref maatregelen Factsheet FS-2014-05 versie 1.0 9 oktober 2014 SQL-injectie is een populaire en veel toegepaste aanval op websites

Nadere informatie

Authenticatie wat is dat?

Authenticatie wat is dat? Authenticatie wat is dat? Authenticatie Authenticatie is het proces waarbij iemand nagaat of een gebruiker, een andere computer of applicatie daadwerkelijk is wie hij beweert te zijn. Bij de authenticatie

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Smartphones onder vuur

Smartphones onder vuur Smartphones onder vuur Dominick Bertens Account Manager NAVO & NL Agenda Sectra Communications Bedreigingen Bring Your Own Device Panthon 3 Samenvatting Security Masterclass Vragen Sectra Communications

Nadere informatie

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard Pagina 1 van 6 Inhoudsopgave 1. Aanleiding 3 2. Structureel / incidenteel 3 3. Opdrachtgever 3 4. Opdrachtnemer 3 5. Relevante wet- en regelgeving 3 6.

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie

Concept. Inleiding. Advies. Agendapunt: 04 Bijlagen: - College Standaardisatie Forum Standaardisatie Wilhelmina v Pruisenweg 104 2595 AN Den Haag Postbus 84011 2508 AA Den Haag www.forumstandaardisatie.nl COLLEGE STANDAARDISATIE Concept CS07-05-04I Agendapunt: 04 Bijlagen: - Aan:

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT

ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT ONDERZOEKSRAPPORT SELF SERVICE RESET PASSWORD MANAGEMENT Achtergrondinformatie Dit onderzoek ging over de mogelijkheid om eindgebruikers in staat te stellen om hun eigen wachtwoorden te resetten en de

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

WACHTWOORDBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

WACHTWOORDBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) WACHTWOORDBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Wachtwoordbeleid Versienummer 1.1 Versiedatum Januari

Nadere informatie

Handleiding voor beheerders SesamID

Handleiding voor beheerders SesamID Handleiding voor beheerders SesamID Versie 3.0 Mei 2013 2013 Copyright KPN Lokale Overheid Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Lokale overheid mag niets uit

Nadere informatie

PRIVACY STATEMENT. Toelichting De informatie die VraagHugo uit jouw antwoorden verkrijgt, bestaat uit de volgende informatie:

PRIVACY STATEMENT. Toelichting De informatie die VraagHugo uit jouw antwoorden verkrijgt, bestaat uit de volgende informatie: PRIVACY STATEMENT De Diensten van VraagHugo zijn gericht op ondernemingen en ondernemers. Toch worden er persoonsgegevens verwerkt, van jou als zelfstandig ondernemer of van jou als contactpersoon namens

Nadere informatie

Informatiebeveiliging

Informatiebeveiliging Informatiebeveiliging Jeroen van Luin 30-11-2011 jeroen.van.luin@nationaalarchief.nl Wat is informatiebeveiliging? Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve

Nadere informatie

Software Test Plan. Yannick Verschueren

Software Test Plan. Yannick Verschueren Software Test Plan Yannick Verschueren November 2014 Document geschiedenis Versie Datum Auteur/co-auteur Beschrijving 1 November 2014 Yannick Verschueren Eerste versie 1 Inhoudstafel 1 Introductie 3 1.1

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Identify and mitigate your IT risk

Identify and mitigate your IT risk Identify and mitigate your IT risk ICT risico = bedrijfsrisico In de ontwikkeling die organisaties doormaken, speelt ICT een belangrijke rol. ICT heeft bedrijfsprocessen efficiënter en effectiever gemaakt.

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Externe toegang met ESET Secure Authentication. Daxis helpdesk@daxis.nl Versie 2.0

Externe toegang met ESET Secure Authentication. Daxis helpdesk@daxis.nl Versie 2.0 Externe toegang met ESET Secure Authentication Daxis helpdesk@daxis.nl Versie 2.0 Inhoudsopgave: Inhoudsopgave:... 1 Inleiding:... 2 Stap 1: Download eenmalig Eset Secure Authentication op uw smartphone...

Nadere informatie

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth

Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth Wie bewaakt mijn geld? Financiële controle en risicobeheersing binnen de gemeente Nuth De taak van de raad onder het dualisme Kaders stellen (WMO, Jeugdwet, handhaving) Budgetteren (begroting) Lokale wetgeving

Nadere informatie

Installatie Remote Backup

Installatie Remote Backup Juni 2015 Versie 1.2 Auteur : E.C.A. Mouws Pagina 1 Inhoudsopgave BusinessConnect Remote Backup... 3 Kenmerken... 3 Beperkingen... 3 Gebruik op meerdere systemen... 3 Systeemeisen... 4 Support... 4 Installatie...

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

Code signing. Door: Tom Tervoort

Code signing. Door: Tom Tervoort Code signing Door: Tom Tervoort Wat is code signing? Digitale handtekening onder stuk software Geeft garanties over bron Voorkomt modificatie door derden Bijvoorbeeld met doel malware toe te voegen Ontvanger

Nadere informatie

WET MELDPLICHT DATALEKKEN FACTSHEET

WET MELDPLICHT DATALEKKEN FACTSHEET WET MELDPLICHT DATALEKKEN FACTSHEET Wettekst De Wet Meldplicht Datalekken introduceert onder andere een meldplicht. Dit wordt geregeld in een nieuw artikel, artikel 34a Wbp dat uit 11 leden (onderdelen)

Nadere informatie

PRIVACY STATEMENT. Toelichting De informatie die Facturis uit uw antwoorden verkrijgt, bestaat onder andere uit de volgende informatie:

PRIVACY STATEMENT. Toelichting De informatie die Facturis uit uw antwoorden verkrijgt, bestaat onder andere uit de volgende informatie: PRIVACY STATEMENT De Diensten van Facturis zijn gericht op ondernemingen en ondernemers. Toch worden er persoonsgegevens verwerkt, van jou als zelfstandig ondernemer of van jou als contactpersoon namens

Nadere informatie

Cookiebeleid: Privacybeleid:

Cookiebeleid: Privacybeleid: Cookiebeleid: Om je meer service te bieden bij het bezoeken van websites maken de meeste sites gebruik van cookies. Dat zijn handige technieken die informatie verzamelen en gebruiken. Websites worden daardoor

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Privacyverklaring ViopTo

Privacyverklaring ViopTo Privacyverklaring ViopTo Voor ons is een zorgvuldige omgang met persoonsgegevens van groot belang. Persoonlijke gegevens worden dan ook zorgvuldig verwerkt en beveiligd. Hierbij houden wij ons aan de eisen

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Sebyde Web Applicatie Security Scan. 7 Januari 2014

Sebyde Web Applicatie Security Scan. 7 Januari 2014 Sebyde Web Applicatie Security Scan 7 Januari 2014 Even voorstellen Sebyde BV is Certified IBM Business Partner voor security systems, gespecialiseerd in applicatie security en security awareness. We leveren

Nadere informatie

Opslag van Creditcard Gegevens if you don t need it, don t store it

Opslag van Creditcard Gegevens if you don t need it, don t store it E-commerce & Mail Order-Telephone Order Opslag van Creditcard Gegevens if you don t need it, don t store it Opslag van Creditcard Gegevens Creditcard accepterende bedrijven vormen een potentieel doelwit

Nadere informatie

Systeemconfiguratie Policy VICnet/SPITS

Systeemconfiguratie Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Systeemconfiguratie Policy VICnet/SPITS 15 Februari 2005 Eindverantwoordelijkheid Opgesteld Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie

Single Sign On. voor. Residentie.net en Denhaag.nl

Single Sign On. voor. Residentie.net en Denhaag.nl Single Sign On voor Residentie.net en Denhaag.nl Omschrijving : -- Opgesteld door : Leon Kuunders Referentie : -- Datum : 30 augustus 2003 Versie : 0.31 (draft) Versiebeheer Versie Datum Auteur Wijziging

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Gedragscode Stichting BrowseSafe. Normen en waarden voor een betere online veiligheid, bescherming en vertrouwen op het internet

Gedragscode Stichting BrowseSafe. Normen en waarden voor een betere online veiligheid, bescherming en vertrouwen op het internet Gedragscode Stichting BrowseSafe Normen en waarden voor een betere online veiligheid, bescherming en vertrouwen op het internet Voorwoord Deze Gedragscode behorend bij het BrowseSafe Keurmerk is tot stand

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Gebruikershandleiding

Gebruikershandleiding Gebruikershandleiding versie: 18 maart 2013 Multrix Desktop Portal Toegang tot uw applicaties via het internet Handleiding Multrix Desktop Portal - NED Pagina 1 van 12 Inleiding Dit document biedt u een

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Software Requirements Specification

Software Requirements Specification Software Requirements Specification PEN: Paper Exchange Network Software Engineering groep 1 (se1-1415) Academiejaar 2014-2015 Jens Nevens - Sander Lenaerts - Nassim Versbraegen Jo De Neve - Jasper Bevernage

Nadere informatie

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet

Veilig e-mailen. Waarom e-mailen via een beveiligde verbinding? U vertrouwt de verbinding met de e-mailserver van InterNLnet niet Veilig e-mailen E-mail heeft zich inmiddels ruimschoots bewezen als communicatiemiddel. Het is een snelle en goedkope manier om met anderen waar ook ter wereld te communiceren. Als gevolg hiervan vindt

Nadere informatie

Veilig internetbankieren

Veilig internetbankieren Veilig internetbankieren Malware en dan met name de digitale bankrovers die bekend staan onder de naam "bankingtrojanen" worden natuurlijk steeds geavanceerder, vandaar dat er ook steeds meer maatregelen

Nadere informatie

Handleiding Back-up Online

Handleiding Back-up Online Handleiding Back-up Online April 2015 2015 Copyright KPN Zakelijke Markt Alle rechten voorbehouden. Zonder voorafgaande schriftelijke toestemming van KPN Zakelijke Markt mag niets uit dit document worden

Nadere informatie

NETQ Healthcare: Voor inzicht in het effect van therapie

NETQ Healthcare: Voor inzicht in het effect van therapie NETQ Healthcare: Voor inzicht in het effect van therapie INHOUD Inleiding 3 Eisen vanuit NEN 7510 en de Wet Bescherming Persoonsgegevens 4 Beheerst wijzigingsproces 4 Toegankelijkheid geautoriseerde gebruikers

Nadere informatie

Remote Toegang Policy VICnet/SPITS

Remote Toegang Policy VICnet/SPITS Ministerie van Verkeer en Waterstaat opq Rijkswaterstaat Remote Toegang Policy VICnet/SPITS 16 Februari 2005 Eindverantwoordelijkheid Goedgekeurd Naam Datum Paraaf Security Manager SPITS E.A. van Buuren

Nadere informatie

Beveiligingsrisico s bij internetverkopen

Beveiligingsrisico s bij internetverkopen Beveiligingsrisico s bij internetverkopen Er komen ieder jaar meer webwinkels in Nederland. De omzet groeit hard. Uit beveiligingsopdrachten van PwC blijkt dat de beveiliging van een webwinkel nog wel eens

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

Instructies Eudora OSE Pagina 1

Instructies Eudora OSE Pagina 1 Instructies Eudora OSE Pagina 1 Instructies Eudora OSE Deze handleiding gaat er vanuit dat u al een e-mail account geconfigureerd heeft in Eudora OSE en we laten zien hoe u de SMTP server kunt wijzigen

Nadere informatie

Secure Application Roles

Secure Application Roles Secure Application Roles Beheer de toegang tot de database 1. Inleiding Het realiseren van geautoriseerde toegang tot een database lijkt eenvoudig. Echter, vaak blijkt dat dezelfde combinatie van gebruikersnaam

Nadere informatie

UWV Security SSD Instructies

UWV Security SSD Instructies UWV Security SSD Instructies BESTEMD VOOR : Patrick van Grevenbroek AUTEUR(S) : Gabriele Biondo / T. Uding (vertaling) VERSIE : 1.0 DATUM : 20-03-2014 HISTORIE Datum Auteur(s) Omschrijving 20/03/2014 Gabriele

Nadere informatie

Onderzoeksresultaten infosecurity.nl

Onderzoeksresultaten infosecurity.nl Onderzoeksresultaten infosecurity.nl Pagina 1 Introductie Tijdens de beurs infosecurity.nl, die gehouden werd op 11 en 12 oktober 2006, heeft Northwave een onderzoek uitgevoerd onder bezoekers en exposanten.

Nadere informatie

Productpaper Z login: inlog en signing service

Productpaper Z login: inlog en signing service Productpaper Z login: inlog en signing service VetCIS 21-10-2009 Z login is een product van ZET solutions b.v. Adres: Postbus 18, 8200 AA Plaats: Lelystad KvK nummer: 39078749 Website: www.zetsolutions.nl

Nadere informatie

Seclore FileSecure: beveiliging zonder grenzen!

Seclore FileSecure: beveiliging zonder grenzen! Seclore FileSecure: beveiliging zonder grenzen! Naam auteur : S. Liethoff Type document : Whitepaper Datum versie : 14-02-2013 1. Seclore FileSecure: Beveiliging zonder grenzen! Seclore FileSecure is een

Nadere informatie

Single sign on kan dé oplossing zijn

Single sign on kan dé oplossing zijn Whitepaper Single sign on kan dé oplossing zijn door Martijn Bellaard Martijn Bellaard is lead architect bij TriOpSys en expert op het gebied van security. De doorsnee ICT-omgeving is langzaam gegroeid

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet.

SURFconext Cookbook. Het koppelen van Alfresco aan SURFconext. Versie: 1.0. Datum: 8 december 2013. 030-2 305 305 admin@surfnet.nl www.surfnet. SURFconext Cookbook Het koppelen van Alfresco aan SURFconext Auteur(s): Frank Niesten Versie: 1.0 Datum: 8 december 2013 Radboudkwartier 273 3511 CK Utrecht Postbus 19035 3501 DA Utrecht 030-2 305 305

Nadere informatie

WEBAPPLICATIE-SCAN. Kiezen op Afstand

WEBAPPLICATIE-SCAN. Kiezen op Afstand WEBAPPLICATIE-SCAN Kiezen op Afstand Datum : 1 september 2006 INHOUDSOPGAVE 1 t Y1anagementsamen"'v atting 2 2 Inleiding 3 2.1 Doelstelling en scope ".".. " " " ".".3 2.2 Beschrijving scanproces.. """

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Naslag voor de security issues uit de game

Naslag voor de security issues uit de game Naslag voor de security issues uit de game Issue Advies Denk goed na waar je gevoelige informatie neerzet. Bij voorkeur op de beheerde netwerkomgeving van de instelling: die is beveiligd en wordt automatisch

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

FAQ - Veelgestelde Vragen. Over het incident

FAQ - Veelgestelde Vragen. Over het incident FAQ - Veelgestelde Vragen Over het incident 1. Ik heb gehoord dat een onbevoegde partij toegang heeft gehad tot de de Explor@ Park database - kunnen jullie bevestigen of dit waar is? We kunnen bevestigen

Nadere informatie

Dit Privacystatement is van toepassing op alle producten en diensten van BlueNovius B.V., waaronder MedKey en Poh- educa.

Dit Privacystatement is van toepassing op alle producten en diensten van BlueNovius B.V., waaronder MedKey en Poh- educa. Dit Privacystatement is van toepassing op alle producten en diensten van BlueNovius B.V., waaronder MedKey en Poh- educa. MedKey is een single sign- on dienst waarbij medische professionals na eenmalige

Nadere informatie

Remcoh Mobile Device beheer. Remcoh legt uit

Remcoh Mobile Device beheer. Remcoh legt uit Remcoh Mobile Device beheer Remcoh legt uit White Paper Middels deze white paper informeert en adviseert Remcoh u over slim beheer van mobiele apparaten en toegang daarmee tot uw bedrijfsgegevens. Waarom

Nadere informatie

WHITE PAPER. Informatiebeveiliging

WHITE PAPER. Informatiebeveiliging WHITE PAPER Informatiebeveiliging Door een goede, geïntegreerde inrichting van de informatiebeveiliging wordt een onderneming geholpen op een flexibele, kostenbewuste manier klanten beter te bedienen.

Nadere informatie