Het debat over gedwongen wachtwoordwijzigingen laait weer op. Het geregeld vervangen van wachtwoorden wordt gezien als achterhaald, maar er zijn redenen voor IT om nog steeds een vervalperiode in te stellen voor wachtwoorden. Microsoft besloot eind april om de Maximum Password Age (de tijd dat een wachtwoord geldig mag zijn voor je een nieuwe moet pakken) te schrappen uit Windows en dat leidde tot veel discussies. De default - en aanbevolen - duur was 45 tot 60 dagen, afhankelijk van de OS-versie. Het volledig verwijderen van de feature volgt de aanbevelingen van NIST om enkel wachtwoordwijzigingen af te dwingen als je weet dat het wachtwoord is gestolen.

De gedachte erachter is dat wachtwoorden vaker worden omzeild op heel andere manieren dan brute force- of guessing-aanvallen. Door gebruikers te dwingen om regelmatig hun wachtwoord te wijzigen, moedig je ze aan om dezelfde wachtwoorden of wachtwoordpatronen te gebruiken op meerdere plekken. De meeste wachtwoorden worden gestolen via phishing-aanvallen en een gedwongen reset om de zoveel tijd doet daar niets tegen.

Zou je het beleid van NIST en Microsoft moeten volgen en een vervaldatum voor wachtwoorden schrappen? Ik denk van niet en leg je hier uit waarom.

1. Compliance
Ik ben nog geen organisatie tegengekomen die niet moet voldoen aan een securitymaatregel of wetgeving: AVG, HIPAA, NERC, etc. Deze richtlijnen vereisen dat je geautomatiseerd en met enige regelmaat wachtwoorden wijzigt. Ook als je gelooft in het advies van NIST, zul je in de praktijk vaak vanwege compliance alleen al vastzitten aan het geregeld wijzigen van wachtwoorden.

2. Je weet zelden dat een wachtwoord is gestolen
M'n grootste bezwaar tegen 'verander je wachtwoord pas als je weet dat hij is gestolen' is dat de meeste mensen dat niet weten. Als ik kijk naar de data over hoe lang aanvallers in netwerken rondhangen voor ze worden opgemerkt, hebben we het niet over dagen, maar over maanden. Dat gebeurt omdat mensen niet weten dat hun credentials zijn gestolen.

Honderden miljoenen wachtwoorden, sommige zijn al jaren geleden gestolen, kom je regelmatig tegen op het darkweb of een pastebin. Veel van deze inloggegevens zijn nog steeds geldig, omdat mensen hun wachtwoord niet wijzigen. Dat feit alleen al is een aardige indicatie dat een gedwongen wachtwoordwijziging op z'n tijd wel op z'n plek is. De kans dat een wachtwoordaanval succes heeft verklein je met een vervalperiode voor wachtwoorden.

3. Leidt gedwongen wijziging wel tot recycling?
De aanname is dat een gedwongen wijziging ervoor zorgt dat mensen hetzelfde wachtwoord of patroon gebruiken voor meerdere diensten en websites. NIST heeft geen data gedeeld om te laten zien dat dit inderdaad het geval is. Die harde data bestaat misschien wel ergens, maar ik zoek er al jaren tevergeefs naar.

Als sites periodiek vragen om je wachtwoord te wijzigen, komt het niet vaak voor dat gebruikers deze synchroniseren voor alle diensten. Voor zakelijke netwerken geldt het vooral dat dit weinig verandert aan de andere sites. Als een organisatie gedwongen wachtwoorden wijzigt, garandeert dat bijna dat dit gaat om een unieker wachtwoord dan op andere sites wordt gebruikt. Door nooit te vragen om een wijziging, werk je juist in de hand dat mensen hun statische wachtwoord op een andere plek gebruiken.

NIST denkt zelfs dat complexere wachtwoordeisen ervoor zorgen dat gebruikers ze hergebruiken. Ook hier heb ik geen ondersteunende data van gezien en ik ben er niet eens zeker van dat dit mogelijk is. Als je graag lange of complexe wachtwoorden als default gebruikt, merk je al snel dat wat lang of complex is erg varieert per website. Sommige accepteren acht tot twaalf tekens. Anderen geen speciale tekens. Weer andere vereisen dat juist. Succes als je hetzelfde lange en complexe wachtwoord op meerdere plekken wilt gebruiken.

4. Cracking gebeurt nog steeds
Hoewel guessing-aanvallen en password-cracking niet meer zo populair is als vroeger, gebeurt het nog steeds. Het leidt tot tienduizenden inbraken. Verschillende malwaresoftware heeft een feature om wachtwoorden te raden. Die worden dagelijks gebruikt voor RDP, Putty, VNC, SSH en andere inlogportals. Die inbraken zouden niet mogelijk zijn met lange en complexe wachtwoorden, maar veel slachtoffers gebruiken die niet. Met een wachtwoordwijziging heeft een aanvaller minder lang de tijd om een wachtwoord te achterhalen.

Zolang cracking nog gebeurt, waarom zou je dat risico dan niet verminderen? Wil je me van gedachten doen veranderen, hoef je me alleen maar data te laten zien dat afgedwongen wachtwoordwijzigingen inderdaad een groter risico oplevert. Dat heb ik namelijk niet gezien, maar ik heb wel tienduizenden voorbeelden gezien van accounts die worden veroverd door een bot die wachtwoorden kraakt.

5. Ik kan je wachtwoord via e-mail stelen
Ik kan een linkje embedden in een e-mail die ervoor zorgt dat je browser me je Windows-wachtwoordhash opstuurt zodra je op de link klikt. Er zijn manieren om dit te voorkomen, maar de meeste organisaties implementeren hier geen goede beveiliging tegen, vooral met mobiele gebruikers die regelmatig het netwerk verlaten.

Ik krijg niet je wachtwoord in platte tekst, maar het stuurt de NTLM-challenge response handshake van Windows en diverse hacktools kunnen daar de hash uithalen. Die hash kan worden ingezet voor andere aanvallen om binnen te komen of het wachtwoord kan eruit worden gehaald met andere tools.

Wachtwoorden van acht tekens zijn kinderspel om te kraken, zelfs als ze heel complex zijn. Ik heb meerdere voorbeelden gezien van hashes op basis van 12 tekens die worden gekraakt en zelfs een aantal wachtwoorden van 16 tekens waren niet veilig. Dit waren geen supercomplexe wachtwoorden, maar leken op een aardige weergave van het soort wachtwoord dat de gemiddelde eindgebruiker inzet in een zakelijke omgeving. Zolang aanvallers op deze manier gemakkelijk een hash kunnen verkrijgen, is het niet periodiek wijzigen van wachtwoorden een verhoogd risico.

Hoe vaak zou je wachtwoorden moeten wijzigen?
Microsoft raadde officieel niet aan om wachtwoorden niet meer te laten vervallen, maar laat dit over aan de systeembeheerder. Dat is een subtiel verschil.

Als je moet voldoen aan compliance kunnen we het hier lang of kort over hebben, maar komt her erop neer dat je geen keus hebt. Als het is vereist hangt het af van het type organisatie en het soort risico waar het mee te maken heeft om te zien wat de interval moet zijn. Ik vind dat gedwongen wijzigingen elke 30 tot 45 dagen krankzinnig is. Dat is inderdaad vragen om recycling-issues.

De gemiddelde organisatie doet het waarschijnlijk elke 90 dagen en dat lijkt me (gezien het ontbreken van garde cijfers om me een goede richtlijn te geven) een aardige periode voor organisaties die wachtwoordkraken een groter risico achten. Maar met een gemiddeld risicoprofiel acht ik 180 tot 365 dagen ook als een redelijke interval.

Het schrappen van vervalperiodes voor wachtwoorden in alle organisaties lijkt me een recept voor meer inbraken in plaats van minder, tenminste totdat iemand me praktijkgegevens kan laten zien die anders aangeven.

13-05-2019