Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

5.17.01, 5.17.02 en 5.17.03 #151

Open
swinkelsrick opened this issue Jul 23, 2024 · 1 comment
Open

5.17.01, 5.17.02 en 5.17.03 #151

swinkelsrick opened this issue Jul 23, 2024 · 1 comment

Comments

@swinkelsrick
Copy link

swinkelsrick commented Jul 23, 2024
edited
Loading

Feedback en suggesties - BIO 2.0 maatregelen 5.17.01, 5.17.02 en 5.17.03.

Feedback op twee aspecten:

  • Eisen aan wachtwoorden
  • Geautomatiseerd worden afgedwongen

Samenvatting adviezen in het kort (zie 1.3 en 1.4 voor nadere toelichting en tekstvoorstellen):

  1. Adresseer en specificeer onderstaande eisen aan wachtwoorden in de BIO of in de nog uit te werken Implementatierichtlijn.
  • Sterkte van wachtwoord (o.a. lengte en willekeur)
  • Hergebruik wachtwoord
  • Gecompromitteerd wachtwoord
  1. Maak duidelijk wat wordt bedoeld met 'geautomatiseerd afdwingen' in de BIO.

1. Eisen aan wachtwoorden

1.1 Context
De volgende kwaliteitscriteria/wachtwoordeisen dragen significant bij aan voorkomen van misbruik van wachtwoorden:

  • Sterkte: minimaal aantal karakters, willekeurig gebruik (hoofd)letters, cijfers en leestekens
  • Uniekheid: geen hergebruik van wachtwoorden en delen van wachtwoorden (bijv. zomer1, zomer2 etc.)
  • Vertrouwelijkheid: wachtwoorden mogen niet openbaar / gecompromitteerd zijn

1.2 Huidige situatie - BIO 2.0
Eisen aan wachtwoorden komen op verschillende manieren terug onder 5.17:

  • 5.17.03 - adresseert 'Eisen aan wachtwoorden' in algemene zin zonder deze eisen nader te specificeren.
  • 5.17.01 - adresseert eisen m.b.t. sterkte van wachtwoorden zonder te specificeren wat onder 'sterkte' wordt verstaan. Voor 'Eisen voor sterke wachtwoorden' wordt verwezen naar nog uit te werken implementatierichtlijn.
  • 5.17.02 - adresseert eisen m.b.t. gecompromitteerd wachtwoord. Bij (vermoeden van) gecompromitteerd wachtwoord moet er worden gewaarschuwd en het wachtwoord worden gewijzigd.

Eisen m.b.t. hergebruik komen niet terug. Terwijl hergebruik van wachtwoorden een groot risico vormt. Een hergebruikt wachtwoord vergroot de kans op misbruik. Wanneer een hergebruikt wachtwoord niet langer vertrouwelijk is (omdat deze wordt geraden of gecompromitteerd is), kan dat leiden tot ongeautoriseerde toegang van alle accounts waarop dat hergebruikte wachtwoord wordt gebruikt.

1.3 Gewenste situatie - advies en voorstel tekstuele wijzigingen
Adresseer en specificeer onderstaande eisen aan wachtwoorden:

  • Sterkte van wachtwoord (o.a. lengte en willekeur)
  • Hergebruik wachtwoord
  • Gecompromitteerd wachtwoord

Twee opties met voorstel tekstuele wijzigingen:

  1. Neem de eisen aan wachtwoorden op in de BIO. Hanteer hetzelfde format als 5.17.02 (wat in feite een voorbeelduitwerking is van 5.17.03). Tekstvoorstellen:
  • Een wachtwoordmanager of webbrowser is in staat om een waarschuwing te geven als een wachtwoord wordt hergebruikt op meerdere accounts. In dat geval moet het wijzigen van het wachtwoord conform de eisen geautomatiseerd worden afgedwongen.
  • Een wachtwoordmanager of webbrowser is in staat om een waarschuwing te geven als een wachtwoord niet sterk genoeg is (eisen aan sterkte zie implementatierichtlijn). In dat geval moet het wijzigen van het wachtwoord conform de eisen geautomatiseerd worden afgedwongen.
  1. Neem de eisen aan wachtwoorden - waaronder wachtwoordsterkte, voorkomen van hergebruikte en gecompromitteerde wachtwoorden - op in de Implementatierichtlijn en herformuleer 5.17.03 in de BIO. Tekstvoorstel:
  • De eisen aan wachtwoorden zoals omschreven in de Implementatierichtlijn moeten geautomatiseerd worden afgedwongen. In het geval een wachtwoord niet voldoet aan de eisen moet het wijzigen van het wachtwoord conform de eisen geautomatiseerd worden afgedwongen.

2. Geautomatiseerd afdwingen

2.1 Context
Geautomatiseerd afdwingen van wachtwoordeisen is voorwaardelijk om wachtwoorden veilig te maken en houden. Positief dat dit is opgenomen in de BIO 2.0! Echter, de huidige formulering is te ruim voor interpretatie vatbaar. Wat wordt bedoeld met 'geautomatiseerd afdwingen'?

2.2 Huidige situatie - BIO 2.0
5.17.03 adresseert afdwingen als volgt: de eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen.

2.3 Gewenste situatie - advies en voorstel tekstuele wijzigingen
Definieer 'geautomatiseerd worden afgedwongen' in lijn met huidige maatregel 15.07.02. Tekstvoorstel:
15.07.03 - de eisen aan wachtwoorden zoals omschreven in de Implementatierichtlijn moeten geautomatiseerd worden afgedwongen. In het geval een wachtwoord niet voldoet aan de eisen moet het wijzigen van het wachtwoord geautomatiseerd worden afgedwongen.

Overig - vraag m.b.t. Implementatierichtlijn
Is het mogelijk om input te leveren op de nader uit te werken Implementatierichtlijn? Mijn team en ik brengen graag onze expertise over wachtwoordveiligheid in!
@keeshint
Copy link
Collaborator

We zullen je voorstel voorleggen aan de werkgroep BIO.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
2 participants
@keeshint @swinkelsrick