Wachtwoordbeheer

Risico

Indien het wachtwoordbeheer van onvoldoende kwaliteit is, bestaat het risico dat het wachtwoord achterhaald kan worden en onbevoegden toegang kunnen krijgen tot de omgeving van het algoritme.

Onderzoeksvraag

Zijn de systemen voor wachtwoordbeheer interactief en waarborgen zij sterke wachtwoorden?

Beheersmaatregelen

  • Als er geen gebruik wordt gemaakt van two-factor authenticatie, is de wachtwoordlengte minimaal 8 posities en complex van samenstelling.
  • De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
  • In situaties waar geen two-factor authenticatie mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.
  • De eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen.
  • Initiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van 24 uur en moeten bij het eerste gebruik worden gewijzigd.

Inspectiestappen

Opzet

  1. Stel vast dat het systeem van wachtwoordbeheer en de wachtwoordbeveiligingseisen zijn beschreven.
  2. Stel vast dat de beschreven wachtwoordbeveiligingseisen overeenkomen met de eisen uit de Baseline Informatiebeveiliging Overheid (BIO). 
    Mogelijke bronnen: security-beleid, technische beschrijvingen van algoritme-omgeving.

Bestaan

  1. Stel vast dat de wachtwoordbeveiligingseisen daadwerkelijk zijn geïmplementeerd en functioneren.
    Mogelijke bronnen: observatie van systeeminstellingen / security-parameters van algoritme-omgeving. Controlerapportages. Eventuele testen van wachtwoordbeveiligingseisen.

Ethische principes

Privacy en data-bescherming