Een lezer vroeg me:
Het valt me op dat organisaties bij accounthacks zeer verschillend handelen. Bij sommige websites werd mijn wachtwoord proactief door de betreffende website gereset, maar bij andere getroffen sites kreeg ik alleen het advies dit te doen. Het werd niet afgedwongen. Zijn hier wettelijke richtlijnen over?Er zijn geen specifieke regels over hoe een organisatie de gevolgen van een securitybreach of datalek moet oplossen. Algemeen moeten de betrokkenen worden geïnformeerd en de gevolgen gecompenseerd. Daarnaast moet je maatregelen nemen om te zorgen dat het niet nog een keer gebeurt. Maar welke dat zijn, hangt vrijwel volledig af van je situatie.
Het resetten van wachtwoorden is een eenvoudige maatregel wanneer gebleken is dat een derde toegang tot accounts heeft gekregen. De eigenaar wordt zo gedwongen een nieuw wachtwoord in te stellen, zodat de derde er niet meer bij kan. Dit lijkt me algemeen dus een prima maatregel.
Moet het? Allereerst is het goed mogelijk (zeker bij kleine organisaties) dat dit niet eenvoudig kan. Niet alle webshopsoftware of beheertools hebben een knop “reset dit account”. En dan kun je weinig anders dan de klant vragen het te doen. Ten tweede, als de wachtwoorden zelf niet gelekt zijn (de hacker kwam binnen via een achterdeur of beheerdersaccount) dan is er geen dwingende reden om dan ook maar de wachtwoorden te resetten.
Arnoud
Het afdwingen van wijzigen van een wachtwoord liefst met tijdsdruk is een uitstekend moment om identiteiten over te nemen via een gerichte hack. Indien behoorlijk neergezet zou bij een hack op site de wachtwoorden niet herleid moeten kunnen worden naar de plain-tekst versies. Als dat zo gedaan is waarom zou je dan wachtwoorden gaan resetten?
Ze zijn niet direct te herleiden maar kunnen wellicht wel via brute force herleid worden. Over het algemeen niet de moeite en/of te duur maar theoretisch wel een risico.
Je moet wachtwoorden versleuteld (en gezouten) opslaan, dat weten we allemaal (in de computer-security-business). Maar als de aanvaller geen toegang verkregen heeft tot de versleutelde wachtwoorden, dan heeft hij niets om te brute-forcen. Het blijft natuurlijk altijd mogelijk om aan “password spraying” te doen.
Als er aanwijzingen zijn dat de aanvaller geen toegang had tot de versleutelde wachtwoorden, is een wachtwoordreset overbodig.
Als versleuteling en zoutje(s) goed gedaan zijn en er een deftig wachtwoord is is een wachtwoordreset vaak onnodig voor beperkt risico websites.
Het lijkt me nuttiger om preventief af en toe zelf een controle te doen op de meest voorkomende wachtwoorden en die gebruikers aan te spreken. Lees de top 10.000 wachtwoorden intern uitrekenen per user. (Ik ga uit van een extra zoutje per user.)
Nee je slaat geen versleuteld wachtwoord op, je slaat de hash van het wachtwoord plus zout op, da’s fundamenteel iets anders.