Vandaag is het weer zo ver. Ik wil inloggen op mijn computer en mijn wachtwoord is verlopen. Ik moet een nieuw wachtwoord bedenken. Een complex wachtwoord. Volgens Windows is een complex wachtwoord minimaal acht karakters lang en bevat in ieder geval karakters uit drie van de volgende vier groepen: kleine letters, grote letters, cijfers en bijzondere tekens. Als dit niet complex genoeg is, schrijf je gewoon je eigen passfilt.dll. Hiermee kan je dan je eigen criteria vaststellen en eventueel een woordenboek controle uitvoeren op nieuwe wachtwoorden.
Met een spontane creatieve ingeving bedenk ik de volgende variatie op een woord dat iets te maken heeft met mijn ervaringen of indrukken van de afgelopen dagen. Zo weer een paar weken voort totdat ik weer een nieuw wachtwoord moet bedenken. Nu maar hopen dat ik mijn creatieve ingeving morgen niet ben vergeten.
Door Raymond P.L. Comvalius
De zwakste schakel
Wachtwoorden zijn ongeveer de zwakste schakel in de beveiliging van een doorsnee netwerk. Gebruikers worden gedwongen om voor heel veel toepassingen thuis en op het werk een wachtwoord te bedenken. Daarbij wordt een welhaast onmenselijk niveau van creativiteit verwacht. Want een verstandige gebruiker moet voor iedere toepassing een ander wachtwoord bedenken. Eén wachtwoord voor het systeem op het werk, een voor de mail thuis, een voor iedere krant op het Internet, voor de Microsoft-site en voor MSN Messenger. Tel daar een aantal webwinkels en forumsites bij op en je hebt een lijst om u tegen te zeggen.
Als gebruiker met menselijke trekjes heb je hierop maar één antwoord: we gebruiken gewoon overal hetzelfde wachtwoord en als we het iedere maand moeten aanpassen gebruiken we in het wachtwoord gewoon een getal dat we iedere keer met 1 verhogen. Kinderen en partners zijn daarbij bijzonder populair als onderwerp voor het wachtwoord. Met genoeg kennis van de privé situatie wordt het zo wel erg makkelijk een ‘lucky guess' te doen naar het wachtwoord van onze collega's. Gelukkig worden wachtwoorden goed ontwikkelde systemen opgeslagen als in een hash-tabel. Een hash is een rekenkundige bewerking van het wachtwoord waaruit het woord zelf niet is af te leiden. Het wachtwoord zelf wordt ook versleuteld opgeslagen en toegang er toe beperkt. Dat dit principe niet voor alle systemen met wachtwoorden geldt, bleek onlangs weer toen een grote internet boekhandel in Nederland doodleuk verklaarde dat iedere medewerker van de helpdesk daar inzage heeft in de wachtwoorden van alle gebruikers van de site. Een ex-medewerker van deze helpdesk bleek achteraf in staat om met een aantal van deze wachtwoorden en de bijbehorende e-mail adressen, de mailboxen van diverse klanten te misbruiken.
Service-accounts
Ook beheerders hebben te maken met het wachtwoordenprobleem. Een doorsnee beheerder heeft daarbij ook nog eens de verantwoordelijkheid voor nog meer wachtwoorden dan een gebruiker. Hij heeft een ‘gewoon' gebruikersaccount voor de mail en andere zaken en een beheeraccount voor zijn beheerwerkzaamheden en daarnaast nog het beheer over diverse accounts die in het netwerk worden gebruikt voor bijvoorbeeld services of applicaties. Gebruik van hetzelfde wachtwoord voor al deze toepassingen kan desastreus gevolgen hebben. Wanneer één wachtwoord wordt gekraakt, zijn direct alle accounts van deze beheerder open.
Voor service-accounts gelden aparte regels. Doorgaans geldt voor deze accounts de regel: ‘Set it and forget it'. Het account wordt gedefinieerd, er wordt een wachtwoord voor bepaald en dit wachtwoord wordt nooit meer aangepast. Dit maakt deze accounts - die doorgaans zijn voorzien van alle privileges die je maar kunt toewensen - zeer vatbaar voor een ‘brute force' aanval. Eigenlijk moeten de wachtwoorden van deze accounts uit mensenhanden worden gehouden en net zoals de wachtwoorden van de computer accounts in het netwerk automatisch worden gegenereerd. Totdat Windows ons hiervoor de ideale oplossing gaat bieden, kunnen we dit als beheerder met een script uitstekend oplossen. Voor meer informatie over scripts kan je onder andere terecht op het TechNet scriptcenter (US).
Onderzoek heeft uitgewezen dat lange wachtwoorden moeilijker te kraken zijn dan korte. Voor een echt complexe toegangscode kan dus ook een zin worden gebruikt. Dit vereist wel een behoorlijke typvaardigheid van de eigenaar van het wachtwoord. Niet iedereen is namelijk in staat om meer dan tien karakters in een keer foutloos in te tikken. Al zwetend merk je na drie of vijf keer een typefout, dat jezelf aangeleerde typkunst genadeloos wordt afgestraft.
Raymond Comvalius is Microsoft Certified Professional/Trainer en werkzaam als zelfstandig consultant/trainer op het gebied van Active Directory en beveiliging. Raymond is mede-auteur van het Handboek Windows Security van WEKA Uitgeverij. zijn website is te vinden op www.xpworld.com (US)