password

Beveilig tegen missers met Windows-wachtwoorden

Gestolen wachtwoorden en credential-stuffing aanvallen hoeven niet funest te zijn.

Een van de grootste beveiligingsissues die organisaties parten speelt, gezien de hacks die op deze manier gebeuren, is credential-stuffing van veroverde wachtwoorden. Een paar manieren om hiertegen te beveiligen.

Er gaat vrijwel geen dag voorbij dat je niet hoort over een credential-stuffing aanval, waarbij gestolen gebruikersnamen en wachtwoorden tegen een andere site worden aangelegd om binnen te komen met gerecyclede credentials. Zo zagen we dit onlangs nog bij TurboTax, waar belastinggegevens van Amerikaanse burgers werden bemachtigd met deze methode.

Dit onderstreept het risico van het hergebruik van wachtwoorden. Organisaties dienen sterke wachtwoorden niet alleen af te dwingen, maar ook om goed wachtwoordgebruik te stimuleren bij personeel. Hier knelt het: Met een te complex wachtwoordbeleid vergroot je de kans op gefrustreerde gebruikers die manieren gaan bedenken om wachtwoorden simpel te houden of te hergebruiken.

Daarnaast is het een probleem dat eindgebruikers een sterk wachtwoord ontwikkelen, maar deze vervolgens op andere sites gebruiken. Het is immers een veiliger wachtwoord, nietwaar? Als de database vervolgens bij die andere site wordt gestolen, gebruiken aanvallers deze opnieuw met een credential-stuffing aanval en loopt het bedrijf het risico om op die manier gepenetreerd te worden.

Wachtwoorden controleren
Op een website als Have I Been Pwned van beveiliger Troy Hunt kun je zien of jouw e-mailadres (plus wachtwoordhash) is buitgemaakt in een databasediefstal. Je kunt hier ook een gratis monitoringsdienst afnemen die je waarschuwt wanneer een e-mailadres opduikt in een roof. De site levert ook een API en andere diensten die je kunt gebruiken om de beveiliging van wachtwoorden van registreren te controleren op bekende en gestolen wachtwoorden.

Als je ooit een account hebt aangemaakt op GitHub heb je deze wachtwoordcontrole in de praktijk gezien. Het controleren op hergebruik van wachtwoorden is een goede zet als je bedenkt dat aanvallers credentials van geroofde wachtwoorddatabases overal hergebruiken, zoal GitHub opmerkt in diens blog. Verschillende leveranciers gebruiken hetzelfde platform in controlerende features van verschillende webapplicaties en mobiele apps.

2FA gebruiken
Ook het afdwingen van 2FA binnen je organisatie beperkt de risico’s van gelekte wachtwoorden. Je kunt dit op meerdere manieren doen. Zo is er de optie om het op de locatie zelf te doen met Remote Desktop Services (RDS) en Azure Active Directory. Om dit te gebruiken heb je de volgende dingen nodig:

    • Een RDS-infrastructuur
    • Een Azure MFA-licentie
    • Windows Server
    • Een Network Policy-rol (NPS) en Access Services
    • Azure Active Directory gesynchroniseerd met de on-prem AD
    • Azure Active Directory GUID ID

Je kunt ook oplossingen van third party-leveranciers gebruiken die multifactor-authenticatie (MFA) gebruiken voor Active Directory. Zo heeft ESET een oplossing die integreert met Active Directory-implementaties.

Met Microsoft Office 365 kun je app Microsoft Authenticator (beschikbaar voor iOS en Android) gebruiken en die vereist aanvullende authenticatie als je van een onbekende locatie inlogt. Om deze in te stellen, ga je naar de admin-account van Office 365 om 2FA in te configureren voor gebruikers. Ga naar Gebruikers > Actieve gebruikers en klik op Meer… om daar voor Instellingen multifactor authenticatie te kiezen.

Als je zo MFA hebt ingesteld voor Office 365 kun je eindgebruikers doorverwijzen naar Microsofts MFASetup-portal om het voor zichzelf af te ronden. Op deze manier zijn Office-gebruikers alvast beschermd tegen phishingaanvallen.

Als je eenmaal 2FA hebt ingesteld op een Microsoft-account, zie je dat je een nieuw ‘app-wachtwoord’ nodig hebt om in te loggen bij oudere software, zoals Outlook of Hotmail. Je kunt via deze beveiligingspagina een applicatiewachtwoord instellen zodat oudere applicaties kunnen authenticeren.

Waarom je hier aandacht aan moet besteden
Vaak is de enige barrière tussen jou en een aanvaller een wachtwoord. Het is dus zaak om deze ten eerste goed te beveiligen en ten tweede om extra hordes neer te leggen om de barrière te verstevigen. Als ook maar één account met hogere rechten wordt bemachtigd, kunnen aanvallers je Active Directory veroveren om vrij spel te hebben binnen het netwerk.

Ik zie vaak gerichte e-mails die proberen om credentials te bemachtigen van online en gehoste platforms. Zorg ervoor dat het huidige wachtwoordbeleid onder de loep wordt genomen en gebruikers worden geïnformeerd over het nuttig gebruik van wachtwoorden op externe sites (neem bijvoorbeeld een wachtwoordmanager).

Zet als dat enigszins mogelijk is MFA in op je eigen domeinen en interne resources – vooral op gevoelige accounts met eventueel hogere rechten, die sneller het doelwit zullen zijn van spearphishers. Als MFA niet mogelijk is op alle accounts, inventariseer dan welke de hoogste risico’s met zich meebrengen en zorg voor extra beveiliging hierop. Druk eindgebruikers op het hart dat ze MFA gebruiken wanneer dat wordt aangeboden en praktisch is.

Geplaatst in Beveiliging, Business Solutions, Corporate ICT, ICT-nieuws, Microsoft, Tips en getagd met .

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *