Nieuwe wachtwoordrichtlijn NIST

Nieuwe wachtwoordrichtlijn NIST

DearBytesBlogNieuwe wachtwoordrichtlijn NIST

maandag 19 september 2016

Ieder jaar wordt door het bedrijf SplashData een lijst geproduceerd van meest voorkomende wachtwoorden. En ieder jaar neem ik met enige huivering kennis van deze lijst. Om het compact te houden, dit is de top 3 meest gebruikte wachtwoorden:

  1. 123456
  2. password
  3. 12345

Creativiteit is dus ver te zoeken. Laten we het dan maar toegeven: we zijn superslecht met wachtwoorden. Geboortedata, de naam van onze hond, een hobby, het keert allemaal terug in ons wachtwoord.

In de loop der jaren zijn verschillende adviezen voorbij gekomen:

  • Gebruik lange wachtwoorden van 12 karakters of meer.
  • Gebruik random gegenereerde wachtwoorden.
  • Gebruik een wachtzin in plaats van een wachtwoord.
  • Combineer twee of drie random woorden (bijv. ‘FietsSchoorsteenZonnebloem’).
  • Gebruik in een wachtwoord alle karaktersets: Hoofdletters, kleine letters, getallen en symbolen.

Wat mij betreft is de uitkomst van dergelijke adviezen meestal dat een wachtwoord vooral door de eindgebruiker of menselijke aanvaller moeilijk te onthouden of raden valt. Maar voor een geautomatiseerd computersysteem wat bij een brute force aanval heel snel achter elkaar random wachtwoorden gaat proberen is het niet zo moeilijk.

Wachtwoordsterkte wordt uitgedrukt in termen van informatie entropie, gemeten in bits. De entropie van het eerste karakter in een wachtwoord is 4 bits. Dat betekent dat er -gemiddeld- 24 dus 16 pogingen nodig zijn om een wachtwoord van 1 karakter te kraken. De entropie van de volgende 7 karakters na het eerste karakter is 2 bits per karakter.

Het Amerikaanse National Institute of Standards and Technology (NIST) is bezig met het formuleren van (opnieuw) een nieuwe richtlijn voor wachtwoordbeleid. Wie het wil, kan alvast een kijkje nemen in de publieke preview van de ‘Digital Authentication Guideline’: https://pages.nist.gov/800-63-3/. Waarom zou het deze keer wel belangrijk zijn? Wel, omdat de omschreven beleidsmaatregelen aannemelijk zijn, grijpbaar en daarmee een goed sjabloon voor hoe we met wachtwoorden kunnen omgaan binnen organisaties en applicaties. Wat is het NIST nu aan het aanbevelen?

De Do’s

  • In het voordeel van de gebruiker
    Om te beginnen, maak wachtwoorden gebruiksvriendelijk en leg de last voor sterke authenticatie bij de ‘verificator’. Laten we de eindgebruikers niet meer vragen om security te verbeteren.
  • Lengte doet ertoe
    In ieder geval wel als het op wachtwoorden aankomt. Volgens de nieuwe richtlijnen zijn minimaal 8 karakters nodig. Het afdwingen van een groter minimum wordt aanbevolen. Aan de andere kant wordt aanbevolen om een maximale paswoordlengte van 64 karakters toe te staan. Applicaties zouden ASCII- en UNICODE karakters moeten toestaan en zelfs emoji!
  • Check wachtwoorden tegen een woordenboek van slechte keuzes
    De top van slechte wachtwoorden zouden niet gekozen moeten kunnen worden. Zoek naar dit soort lijsten op internet, een 2016 voorbeeld is te vinden op Security.nl.

Nu is die lijst op Security.nl nog maar een top 25. Er wordt echter gesuggereerd om een top 100.000 lijst aan te leggen.

De Dont’s

  • Compositieregels
    Met andere woorden, schrijf niet voor dat een wachtwoord een kleine letter, hoofdletter, een getal, vier symbolen (behalve #$%^) moet bevatten. Laat mensen vrij hun wachtwoord kiezen. Beter lange wachtwoorden die ze eenvoudig kunnen onthouden dan complexe wachtwoorden die ze niet onthouden (en mogelijk op briefjes gaan schrijven om onder op het toetsenbord te plakken).
  • Wachtwoord hints
    Gewoon. Helemaal. Niet. Anders krijg je hints als “Rijmt op aap, maar dan met wol”.
  • Wachtwoord herstelvragen
    Dit zijn van die vragen die voor directe collega’s, vrienden, kennissen, kroegmaten en voor medeleden van de tennisclub en bridge vereniging (en kwaadwillenden) helemaal niet lastig te beantwoorden zijn. “Wat is mijn favoriete voetbalteam? Wat is de naam van mijn hond? Wat is mijn favoriete hobby?”
  • Een wachtwoord verloopdatum
    Het NIST zegt dat als we van eindgebruikers vragen om lange en moeilijk te raden wachtwoorden te gebruiken dan moeten we niet van ze vragen om ze (vaak) te hoeven veranderen.

Sterker nog: het advies is om wachtwoorden alleen te resetten als ze zijn vergeten of als ze (mogelijkerwijs) zijn achterhaald en de vertrouwelijkheid is gecompromitteerd. Dat kan zijn door phishing of doordat een wachtwoord database is gehackt/gelekt, al dan niet door middel van een brute force aanval.

En verder

Het NIST adviseert verder om alle wachtwoorden te ‘salten’, ‘hashen’ en ‘stretchen’ en ze veilig op te slaan. Ook dat is een tak van sport op zich. Een interessant artikel over het veilig opslaan van wachtwoorden lees je hier: https://nakedsecurity.sophos.com/2013/11/20/serious-security-how-to-store-your-users-passwords-safely.

En dit is wel een bommetje: SMS zou niet langer gebruikt moeten worden in two-factor authenticatie.

Beschouwend

Best practices ten aanzien van wachtwoorden willen nog weleens wat verschuiven. Het doet me denken aan hoe dat gaat met onze voeding. Het ene jaar is melk goed voor je, het jaar daarop weer slecht. En enige tijd later zal het vast wel weer goed zijn voor je.

Toch denk ik dat het NIST hier wel een paar goede punten aanhaalt die voor de langere termijn goed zijn om te handhaven. Zo was ik er zelf al langer voorstander van om te kiezen voor wachtwoorden die lang zijn maar eenvoudig te onthouden voor de gebruiker, dan voor relatief kortere maar complexe wachtwoorden die moeilijk te onthouden zijn (voor de mens dan). Het zou wel goed zijn om te kiezen voor karakters uit verschillende karaktersets (hoofdletters, kleine letters, cijfers, symbolen), omdat daarmee de wachtwoordsterkte enorm toeneemt. Maar dat zou mijns inziens door middel van user awareness moeten worden bijgebracht aan mensen. Al met al zijn de DO’s dus erg goed en mijn advies aan iedereen zou dan ook zijn om dit te volgen.

Voor wat betreft de toekomst. Op termijn gaan kwantumcomputers een rol spelen. Google en NASA hebben er al eens een gebouwd. De NSA heeft een budget van 80 miljoen vrijgemaakt voor de ontwikkeling ervan. Als de NSA eenmaal zo’n apparaat heeft dan komen ze overal lachend binnen. Maar er komt een moment waarop ze betaalbaar worden en op dat moment zijn wachtwoorden echt waardeloos, net als iedere huidige vorm van encryptie. Want een kwantumcomputer is naar schatting 100 miljoen keer zo snel als een computer vandaag. Dus iets wat nu honderden jaren rekenen zou kosten is dan nog een kwestie van seconden. Maar we hebben nog even de tijd voor alternatieven.