Embed Size (px)
Citation preview
WACHTWOORDBELEID
Een van de producten van de operationele variant van de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG)
2
Colofon
Naam document
Wachtwoordbeleid
Versienummer
1.3
Versiedatum
Augustus 2016
Versiebeheer
Het beheer van dit document berust bij de Informatiebeveiligingsdienst voor gemeenten (IBD).
Copyright
© 2016 Kwaliteitsinstituut Nederlandse Gemeenten (KING).
Alle rechten voorbehouden. Verveelvoudiging, verspreiding en gebruik van deze uitgave voor
het doel zoals vermeld in deze uitgave is met bronvermelding toegestaan voor alle gemeenten en
overheidsorganisaties.
Voor commerciële organisaties wordt hierbij toestemming verleend om dit document te bekijken, af
te drukken, te verspreiden en te gebruiken onder de hiernavolgende voorwaarden:
1. KING wordt als bron vermeld;
2. het document en de inhoud mogen commercieel niet geëxploiteerd worden;
3. publicaties of informatie waarvan de intellectuele eigendomsrechten niet bij de verstrekker
berusten, blijven onderworpen aan de beperkingen opgelegd door de KING;
4. ieder kopie van dit document, of een gedeelte daarvan, dient te zijn voorzien van de in deze
paragraaf vermelde mededeling.
Rechten en vrijwaring
KING is zich bewust van haar verantwoordelijkheid een zo betrouwbaar mogelijke uitgave te
verzorgen. Niettemin kan KING geen aansprakelijkheid aanvaarden voor eventueel in deze uitgave
voorkomende onjuistheden, onvolledigheden of nalatigheden. KING aanvaardt ook geen
aansprakelijkheid voor enig gebruik van voorliggende uitgave of schade ontstaan door de inhoud
van de uitgave of door de toepassing ervan.
Met dank aan
De expertgroep en de reviewgemeenten die hebben bijgedragen aan het vervaardigen van dit
product.
Wijzigingshistorie:
versie datum Opmerkingen
1 01-10-2014 Eerste versie
1.1 01-10-2014 Kleine aanpassingen, nagekomen review opmerkingen verwerkt.
1.11 10-08-2015 Openstaande opmerkingen verwerkt, links aangepast, beleid aangepast (items
van eindgebruikers verplaatst naar beheerders)
1.3 19-08-2016 wachtwoord managers en multifactor authenticatie toegevoegd. Kleine
aanpassingen, nagekomen review opmerkingen verwerkt
3
Voorwoord
De IBD is een gezamenlijk initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en
het Kwaliteitsinstituut Nederlandse Gemeenten (KING). De IBD is de sectorale CERT /
CSIRT voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied
van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber
Security Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse
Gemeenten (BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD
kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en
met leveranciers.
De IBD heeft drie doelen:
1. het preventief en structureel ondersteunen van gemeenten bij het opbouwen en
onderhouden van bewustzijn als het gaat om informatiebeveiliging.
2. het leveren van integrale coördinatie en concrete ondersteuning op gemeente
specifieke aspecten in geval van incidenten en crisissituaties op het vlak van
informatiebeveiliging.
3. het bieden van gerichte projectmatige ondersteuning op deelgebieden om
informatiebeveiliging in de praktijk van alle dag naar een hoger plan te tillen. De
ondersteuning die de IBD biedt bij het ICT-Beveiligingsassessment DigiD is een
voorbeeld van zo’n project.
Hoe realiseert de IBD haar doelen?
Om invulling te kunnen geven aan haar doelen is door de IBD op basis van de Baseline
Informatiebeveiliging Rijksdienst (BIR) een vertaalslag gemaakt naar een baseline voor de
gemeentelijke markt. Deze Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
betreft twee varianten, een Strategische- én een Tactische Baseline. Beide varianten van de
BIG zijn beschikbaar voor alle gemeenten op de website en community van de IBD, zodat door
iedere gemeente tot implementatie van de BIG kan worden overgegaan. Bestuur en
management hebben met deze baseline een instrument in handen waarmee zij in staat zijn om
te meten of de organisatie ‘in control’ is op het gebied van informatiebeveiliging. Om de
implementatie van de Strategische en Tactische Baseline te ondersteunen, zijn door de IBD
producten ontwikkeld op operationeel niveau. Dit heeft een productenportfolio opgeleverd,
genaamd de Operationele Baseline Nederlandse Gemeenten. Onderhavig product is er één van.
Naast een productenportfolio, heeft de IBD voor gemeenten ook een dienstenportfolio
ontwikkeld. Voor een volledig overzicht van het producten- en dienstenportfolio, kunt u terecht
op de website van de IBD.
De gemeente is zelf verantwoordelijk voor het opstellen en/of uitvoeren en/of handhaven van
de regels. Hierbij gelden de volgende uitgangspunten:
- Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: WBP, BRP,
SUWI, BAG en PUN, maar ook de archiefwet.
- Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging
Nederlandse Gemeenten (BIG).
- De gemeente stelt dit normenkader vast, waarbij er ruimte is in de naleving van dat
kader voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.
4
Leeswijzer
Dit product maakt onderdeel uit van de operationele variant van de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG).
Doel
Dit product bevat aanwijzingen en een beleid rondom het gebruik van wachtwoorden binnen de
gemeente.
Doelgroep
Dit document is van belang voor medewerkers binnen de gemeente die verantwoordelijk zijn
voor wachtwoordbeleid en voor de eindgebruikers.
Relatie met overige producten
Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)
o Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten
o Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten
Het voorbeeld Informatiebeveiligingsbeleid van de gemeente, H7.1
Maatregelen tactische variant Baseline Informatiebeveiliging Nederlandse
Gemeenten (BIG).
Maatregel 9.1.2 (leveranciers wachtwoorden)
Maatregel 11.2.3 (beheer van wachtwoorden)
Maatregel 11.3.1 (gebruik van wachtwoorden)
Maatregel 11.5.1 (beveiligde inlogprocedures)
Maatregel 11.5.2 (gebruikers identificatie en authenticatie)
Maatregel 11.5.3 (systemen voor wachtwoordbeheer)
Maatregel 11.7.1 (draagbare computers)
Maatregel 12.1.1 (beveiligingseisen ICT-systemen)
5
Inhoud
1 Inleiding 6 1.1 Het belang van correcte omgang met wachtwoorden 6
1.2 Raakvlakken 6
2 Wachtwoorden 7 2.1 Algemeen 7
2.2 Eenmalige wachtwoorden versus statische wachtwoorden 7
2.3 Sterke en zwakke wachtwoorden 7
2.4 Risico’s in relatie tot wachtwoorden 8
2.5 Hoe kiest men sterke wachtwoorden 10
2.6 Wachtwoord gedragsregels 11
2.7 Wachtwoordmanagers 11
2.8 Multifactor authenticatie 12
2.9 Controle van wachtwoorden 12
Bijlage: wachtwoordbeleid gemeente <naam gemeente> 13
6
1 Inleiding
Ten behoeve van de beveiliging van informatie binnen gemeentelijke systemen is dit
aanvullend beleid er op gericht hoe met wachtwoorden omgegaan moet worden.
In de BIG worden eisen benoemd met betrekking tot wachtwoorden en daarnaast staan in
hoofdstuk 7 van het voorbeeld Informatiebeveiligingsbeleid van de gemeente,
beheersmaatregelen in relatie tot wachtwoorden. Dit document geeft algemene aanwijzingen
over het omgaan met wachtwoorden. Als laatste is er aanvullend een gemeentelijk
wachtwoordbeleid.
1.1 Het belang van correcte omgang met wachtwoorden
Wachtwoorden vormen een belangrijk aspect van de gemeentelijke informatiebeveiliging.
Wachtwoorden zorgen ervoor dat onbevoegden minder makkelijk toegang kunnen krijgen tot
gemeentelijke informatie. Een gemakkelijk wachtwoord evenals onduidelijke of niet gevolgde
wachtwoord procedures zijn niet alleen een bedreiging voor de vertrouwelijkheid en integriteit
van gemeentelijke informatie, maar uiteindelijk ook slecht voor het imago van de gemeente.
Alle gebruikers van gemeentelijke informatiesystemen dienen goede wachtwoorden te kiezen
en zijn verantwoordelijk voor de geheimhouding van hun wachtwoorden en login-gegevens.
1.2 Raakvlakken
Overige raakvlakken die wachtwoorden hebben met de BIG zijn:
Informatiebeveiligingsbeleid van de gemeente
ICT-beheer
Logisch Toegangsbeleid
7
2 Wachtwoorden
2.1 Algemeen
Een wachtwoord is een reeks tekens waarmee toegang wordt verkregen tot informatie, een
computer of een mobile device (smartphone, ipad etc. ) Naast wachtwoorden wordt er
tegenwoordig ook steeds vaker de kans geboden om gebruik te maken van wachtwoordzinnen.
Wachtwoordzinnen zijn meestal langer dan wachtwoorden met het oog op extra beveiliging en
bevatten meerdere woorden die samen een zin vormen. Wachtwoordzinnen vragen vanwege
hun lengte om veel meer ruimte in het invoer vak of veld. Wachtwoorden en wachtwoordzinnen
helpen te voorkomen dat onbevoegde personen toegang krijgen tot bestanden, programma's
en andere bronnen. Wanneer u een wachtwoord of wachtwoordzin maakt dan moet u deze
sterk maken. Dit betekent dat het wachtwoord of de wachtwoordzin moeilijk te raden of kraken
is. Het is een goed idee om sterke wachtwoorden te gebruiken voor alle gebruikersaccounts op
uw computer. Als u een bedrijfsnetwerk gebruikt, kan uw netwerkbeheerder van u eisen dat u
een sterk wachtwoord gebruikt. Een wachtwoord behoort altijd te zijn toegewezen aan een
gebruikersnaam, die een fysieke gebruiker uniek identificeert. Alle handelingen van een
gebruiker moeten uniek kunnen worden toegewezen aan die gebruiker.
2.2 Eenmalige wachtwoorden versus statische wachtwoorden
Deze handleiding gaat over statische wachtwoorden, er bestaan echter ook nog eenmalige
wachtwoorden (one time passwords). Een voorbeeld daarvan is het eenmalige wachtwoord dat
gegenereerd kan worden door een token of door een applicatie. Denk aan google authenticator
of een wachtwoord token dat steeds een nieuwe reeks cijfers of cijfers en letters genereerd. Dit
laatste gebeurt dan op tijd of uit een bepaalde lijst.
2.3 Sterke en zwakke wachtwoorden
Wachtwoorden hebben een bepaalde sterkte nodig om het moeilijker te maken dat ze worden
geraden. Dit kan door middel van bijvoorbeeld een brute force attack1 of door middel van
bestaande wachtwoordlijsten (rainbow tables). De sterkte van een wachtwoord wordt bepaald
door de lengte, de complexiteit en de onvoorspelbaarheid. Zwakke wachtwoorden zijn vaak te
kort of een te eenvoudig woord of te eenvoudige toetsencombinatie.
Het gebruiken van een sterk wachtwoord reduceert het risico dat het wachtwoord kan worden
geraden. Er zijn echter ook maatregelen nodig om de beveiliging, die verkregen kan worden
door het gebruik van wachtwoorden, in stand te houden. Deze aanvullende maatregelen zijn:
Het vaststellen van een beleid over wachtwoord gebruik binnen de organisatie, met
daarin onder andere wachtwoord geldigheid.
Het implementeren van goede wachtwoord processen voor verstrekken en resetten van
wachtwoorden.
De manier waarop in de applicaties wordt omgegaan met wachtwoorden.
1 Uit Wikipedia: Brute force (Engels voor "brute kracht") is het gebruik van rekenkracht om een probleem op te lossen met een computer zonder gebruik te maken van algoritmen of heuristieken om de berekening te versnellen. Brute force wordt gebruikt als er geen algoritme bekend is dat sneller of efficiënter tot een oplossing leidt. De methode bestaat uit het botweg uitproberen van alle mogelijke opties, net zolang tot er een gevonden is die overeenkomt met de gewenste invoer.
8
Het vaststellen van een beleid
Als bijlage bij dit document zit een voorbeeld ‘Wachtwoordbeleid voor de gemeente’, gebaseerd
op de BIG. Hierin worden door het college van B&W de regels met betrekking tot
wachtwoorden bekrachtigd en uitgedragen.
Wachtwoordprocessen
Het verstrekken en wijzigen van wachtwoorden dient met een gestandaardiseerd proces te
gebeuren. Bijvoorbeeld: er komt een medewerker in dienst, de manager vraagt een
gebruikersaccount aan bij ICT (inclusief applicatie toegangsrechten), ICT maakt een nieuwe
user aan en verstrekt het wachtwoord op een veilige manier aan de nieuwe gebruiker. Dit
tijdelijke wachtwoord moet de eerste keer dat het wordt gebruikt direct worden gewijzigd.
Denk hier ook aan een veilig wachtwoord wijzig proces voor het geval dat een medewerkers
zijn of haar wachtwoord vergeten is, zowel voor computersystemen als voor applicaties.l
Bij verandering van functie/afdeling of uitdiensttreding moeten ICT en de betrokken
applicatiebeheerders ook in staat worden gesteld om tijdig rechten te kunnen veranderen en/of
weg te nemen. Voor elke personeelsmutatie moeten ook de beheerders van applicaties in de
Cloud of bij ketenpartners in staat worden gesteld om tijdig rechten te kunnen veranderen of
weg te nemen.
Applicaties en wachtwoorden
Functioneel applicatiebeheerders kunnen voor al hun applicaties zelf gebruikers en
wachtwoorden bijhouden in een tabel of gebruik maken van een centrale gebruikers database.
In beide gevallen staat de gebruikersnaam en het wachtwoord in een tabel. In deze tabel
mogen de wachtwoorden niet in klare (leesbare) taal staan. Standaard wordt van een
wachtwoord een ‘Hash’ gemaakt en opgeslagen. Tevens moet men deze hashwaarde extra
beschermen door het toevoegen van een getal, de zogenaamde ‘Salt’2. Als een Salt wordt
gebruikt is het voor een aanvaller die de wachtwoordtabel weet te bemachtigen zo goed als
niet meer mogelijk de wachtwoorden terug te berekenen of de tabellen te gebruiken.
2.4 Risico’s in relatie tot wachtwoorden
Risico’s die niet direct te maken lijken te hebben met wachtwoorden maar dat wel zijn:
Afluisteren van netwerkkabels
Als netwerkverkeer kan worden afgeluisterd kan ook de challenge response tussen systemen
worden afgeluisterd. Daarmee kan informatie worden verkregen om wachtwoorden eenvoudig
te raden en te gebruiken. Een tegenmaatregel kan zijn om gebruik te maken van encrypted
verbindingen.
Keyboard-loggers
Met een keyboard-logger wordt in dit geval een toetsenbord stekker bedoeld die tussen het
toetsenbord en de PC wordt gestoken. Deze keyboard-loggers slaan alle toetsaanslagen op, en
2 https://nl.wikipedia.org/wiki/Salt_%28cryptografie%29
9
daarmee ook de ingetoetste gebruikersnamen en wachtwoorden. Er bestaan ook
softwarematige keyboard-loggers. Een tegenmaatregel tegen fysieke keyboard-loggers is om
regelmatig aan de buitenkant van de PC de toetsenbord aansluiting te controleren. De meeste
antivirussoftware herkent de meeste softwarematige keyboard-loggers. Een maatregel tegen
het risico van keyboard-loggers kan zijn om gebruik te maken van eenmalige wachtwoorden.
Phishing
Bij phishing wordt gebruik gemaakt van een e-mail waarbij de eindgebruiker wordt verleid om
zijn gebruikersgegevens, waaronder het wachtwoord, in te vullen op een malafide website.
Tegenmaatregelen die kunnen helpen zijn: gebruik maken van een goede up-to-date antivirus
scanner en er dient aandacht te zijn voor het openen van e-mailbijlagen in
bewustwordingscursussen. Eenmalige wachtwoorden kunnen ook helpen tegen phishing, mits
de gebruiker niet verleid wordt om een eenmalig wachtwoord of tan-code af te geven.
Social engineering
Een social engineer zal proberen gebruikersgegevens te krijgen door zich bijvoorbeeld voor te
doen als helpdeskmedewerker. Er wordt dus gewoon om wachtwoord en gebruikersgegevens
gevraagd en vaak gekoppeld aan een probleem dat moet worden opgelost. Een tegenmaatregel
tegen social engineering is dat het geaddresseerd moet zijn in bewustwordingscursussen. Een
tegenmaatregel is ook dat er een waterdicht wachtwoord wijzig proces is, zodat een vreemde
niet zomaar een wachtwoord kan laten wijzigen om zo toegang te krijgen tot systemen.
Dumpster diving
Met dumpster diving wordt bedoeld dat iemand in staat is om informatie te verzamelen door te
zoeken in afval. Hier zit bijvoorbeeld informatie bij om een social engineering aanval uit te
voeren. Een tegenmaatregel is dat voorkomen moet worden dat vuilnis makkelijk toegankelijk
is en dat (gevoelige) informatie op papier wordt versnipperd/vernietigd.
Shoulder surfing
Meekijken met het invoeren van wachtwoorden. Een tegenmaatregel is dat men zich bewust
moet zijn van deze vorm van een aanval en dat men het meekijken over de schouder
voorkomt.
Side channel attacks
Met een side channel attack wordt een aanval bedoeld, waarbij door het kijken naar
bijvoorbeeld processor tijd en stroomverbruik van hardware en software in cryptografie
modules zwakheden worden gevonden. Tegenwoordig wordt ook het afluisteren en analyseren
van netwerkverkeer onder side-channel attacks begrepen, bijvoorbeeld het kraken van WEP of
WPA van WiFi-netwerken. Als netwerken gekraakt worden dan gebeurd dat door vaak genoeg
het versleutelde wachtwoord op te vangen, waarna de overeenkomsten en de verschillen
gebruikt worden om het wachtwoord te herleiden. Hier kan men zich moelijk tegen wapenen,
een tegenmaatregel kan zijn dat het vermogen en de uitstraling van WiFi naar buiten wordt
beperkt.
10
Software fouten
Door gebrek aan kwaliteit van wachtwoord-algoritmen kunnen wachtwoorden worden geraden,
bijvoorbeeld het niet gebruiken van een Salt bij het hashen van een wachtwoord waardoor
opgeslagen wachtwoorden eenvoudig te kraken zijn. Een ander voorbeeld van een fout is dat
webapplicaties gevoelig kunnen zijn voor SQL injectie aanvallen. Hierdoor kunnen bijvoorbeeld
gebruikersnamen en wachtwoorden worden gelezen uit een tabel van de database, die bij de
website hoort. Een tegenmaatregel kan zijn dat men software kwaliteitsprocessen
invoert/handhaaft en software test voordat het in gebruik genomen wordt, door bijvoorbeeld
een Pentest.
Post-it briefjes
Wachtwoorden worden soms op briefjes opgeschreven en aan de monitor geplakt, of onder het
toetsenbord of op een andere onveilige plaats bewaard. Dit dient geaddresseerd te worden in
bewustwordingscursussen.
Gecompromitteerde database
Regelmatig komt het voor dat er op internet gebruikersnamen en wachtwoorden worden
gepubliceerd. Dit zijn gegevens uit gecompromitteerde databases. Het kan bijvoorbeeld zijn
dat er een gemeentelijk e-mailadres in de database aanwezig is. Tegenmaatregelen kunnen
zijn: regelmatig het wachtwoord wijzigen, andere wachtwoorden kiezen dan voor privé
doeleinden, gebruik maken van tweefactorauthenticatie of van een eenmalige wachtwoord
generator en gemeentelijke e-mailadressen alleen gebruiken voor zakelijke registraties op
internet.
2.5 Hoe kiest men sterke wachtwoorden
Sterke wachtwoorden zijn doorgaans niet zo gemakkelijk om te onthouden. Het is daarom
beter om een wachtwoordzin te gebruiken die wel voor de gebruiker betekenis heeft. Als
algemene regel geldt dat wachtwoordzinnen op grond van hun lengte veiliger zijn dan
zogenaamd ‘sterke’ (complexe) wachtwoorden. Deze zin kan bijvoorbeeld de eerste regel uit
een boek zijn. Hoe gaat dit in zijn werk:
Neem een zin die u kunt onthouden.
Neem van ieder woord de eerste letter.
Bijvoorbeeld: ‘Onze gemeente is een veilige organisatie in 2014’ wordt dan
OGIEVOI2014. Als dan ook nog letters vervangen worden door leestekens en hoofd- en
kleine letters worden gemixt ontstaat een erg moeilijk te kraken wachtwoord dat toch
onthouden kan worden, het resultaat is dan:
Og=€V0!2o14.
Indien toegestaan kan ook de gehele zin ingevoerd worden.
Zie het voorbeeldbeleid in dit document voor de wachtwoord regels op basis van de BIG.
11
2.6 Wachtwoord gedragsregels
Algemeen
Gebruik verschillende wachtwoorden voor verschillende systemen/doelen, gebruik geen
privé-wachtwoorden op het werk.
Gebruik verschillende wachtwoorden voor verschillende applicaties op het werk, minimaal
voor de essentiële systemen die meer gevoelige informatie bevatten.
Gebruik voor essentiële systemen een sterk wachtwoord en wissel dit regelmatig.
Geef wachtwoorden aan niemand. Binnen de gemeente wordt logging gebruikt voor het
analyseren van incidenten en misbruik wordt de betreffende gebruiker aangerekend.
Wachtwoorden mogen niet worden opgeschreven.
Geef geen wachtwoorden door via e-mail, chat of andere elektronische communicatie en
als dat toch moet, dan gescheiden (via een andere weg) van de gebruikersnaam.
Geef geen al te gemakkelijke hints of controlevraag over het wachtwoord, bijvoorbeeld je
naam of de meisjesnaam van je moeder.
Geef nooit een wachtwoord op voor onderzoeken, vragen van anderen of om iemand te
helpen, het vragen om een wachtwoord moet worden aangemerkt als een
veiligheidsincident. Dit dient te worden gemeld aan de binnen de gemeente vastgestelde
persoon of organisatie.
Maak geen gebruik van de ‘wachtwoord onthoud’ functie van sommige webbrowsers.
Maak geen gebruik van de functie om ingelogd te blijven.
Maak altijd gebruik van sterke wachtwoorden.
Wijzig een wachtwoord direct bij vermoeden van misbruik.
Wachtwoorden moeten niet worden gebruikt in automatische inlogprocedures
(bijvoorbeeld opgeslagen onder een functietoets of in een macro).
Bij een grote hoeveelheid logins en wachtwoorden is het aan te bevelen om deze op te
slaan in een daarvoor bedoelde veilige applicatie of app, zie: wachtwoordmanagers.
Aanwijzingen voor applicaties en applicatie ontwikkeling
Wachtwoorden worden uitsluitend gebruikt voor natuurlijke en unieke aanwijsbare
personen, en systemen indien mogelijk moet het gebruik van groepsaccounts worden
vermeden.
Wachtwoorden mogen niet in klare (leesbare) taal of ongezouten (Un Salted) worden
opgeslagen.
2.7 Wachtwoordmanagers
Wachtwoordmanagers3 worden steeds vaker gebruikt. Een wachtwoordmanager is een tool om
wachtwoorden te beheren. In de tool kunnen de huidige wachtwoorden worden opgeslagen,
maar ook nieuwe “sterke” wachtwoorden aangemaakt worden. Om de tool te gebruiken hoeft
de gebruiker maar één wachtwoord te onthouden. Dit wachtwoord geeft toegang tot de
opgeslagen wachtwoorden. Er zijn twee categorieën wachtwoordmanagers: centraal beheerd
en stand-alone (online en offline varianten). Zakelijk gezien kan het gebruik van een centraal
beheerde wachtwoordmanager nog meer voordelen opleveren omdat ook bij vertrek of
rol/functie wijziging gelijk de toegang tot applicaties/informatie kan worden ontnomen of
aangepast. Ook kunnen wachtwoordregels per applicatie/toegang beter afgedwongen worden
en doorgaans audit proof gelogd worden. Wachtwoordmanagers worden bij voorkeur gebruikt
met tweefactorauthenticatie en een unlock-time na succesvolle authenticatie, dat wil zeggen
dat de wachtwoordmanager na een bepaalde tijd weer op slot gaat.
3 https://www.ncsc.nl/actueel/factsheets/factsheet-gebruik-tweefactorauthenticatie.html
12
2.8 Multifactor authenticatie
Een normaal gebruikersaccount kent een gebruikersnaam en een wachtwoord, dit noemen we
vaak: “iets wat je weet”. Tweefactorauthenticatie voegt daar een extra dimensie aan toe: “iets
wat je hebt” of “iets wat je bent”. In het eerste geval heeft men het dan over verschillende
soorten tokens: USB token, een nummer generator, een sms code. In het tweede geval heeft
men het dan over de biometrische kenmerken van een persoon, de meest gangbare zijn: een
vingerafdruk, een irisscan of je stem. Naast het wachtwoord wordt er om een extra
verificatiemethode gevraagd. Door tweefactorauthenticatie te gebruiken wordt het voor
kwaadwillenden moeilijker om toegang te krijgen tot een account. Tweefactorauthenticatie
geeft een extra zekerheid dat de persoon die inlogt ook daadwerkelijk diegene is die toegang
mag hebben. Voor heel erg streng beveiligde systemen spreekt men soms ook nog van 3-
factor authenticatie, in dit geval wordt gebruik gemaakt van iets wat je weet (wachtwoord,
gebruikersnaam), iets wat je hebt (token) en iets wat je bent (biometrie).
2.9 Controle van wachtwoorden
Minimaal eens per 60 dagen wordt gecontroleerd of gebruikers nog toegang moeten hebben tot
bepaalde informatie systemen, bij voorkeur wordt dit maandelijks gecontroleerd.
Wachtwoordbeleid dient zo veel als mogelijk binnen (informatie-)systemen te worden
afgedwongen en indien mogelijk te worden gecontroleerd. De controle en de gevonden
afwijkingen dienen te worden gerapporteerd aan het management zodat maatregelen kunnen
worden genomen om fouten te herstellen.
13
Bijlage: wachtwoordbeleid gemeente <naam
gemeente>
Beleidsuitgangspunten voor het gebruik van wachtwoorden van gemeente <naam gemeente>
Ten behoeve van de beveiliging van informatie binnen gemeentelijke systemen is dit beleid er
op gericht hoe met wachtwoorden omgegaan moet worden.
Wachtwoorden vormen een belangrijk aspect van de gemeentelijke informatiebeveiliging.
Wachtwoorden zorgen ervoor dat onbevoegden minder makkelijk toegang kunnen krijgen tot
gemeentelijke informatie. Een gemakkelijk wachtwoord evenals onduidelijke of niet gevolgde
wachtwoord procedures zijn een bedreiging voor de vertrouwelijkheid en integriteit van
gemeentelijke informatie, maar uiteindelijk ook voor het imago van de gemeente. Alle
gebruikers van gemeentelijke informatiesystemen dienen goede wachtwoorden te kiezen en
zijn verantwoordelijk voor de geheimhouding van hun wachtwoorden en inloggegevens.
Het doel van dit wachtwoordbeleid is drieledig:
Het vaststellen van regels waar wachtwoorden en wachtwoord procedures aan moeten
voldoen.
Het vaststellen van de bescherming van de wachtwoorden.
Het vaststellen van de wijzigingscriteria voor wachtwoorden.
De gemeente <naam gemeente> hanteert de volgende beleidsuitgangspunten en deze zijn
ontleend aan de Baseline Informatiebeveiliging Gemeenten (BIG).
Algemeen beleid
1. Standaard wachtwoorden, die in systemen zitten, worden voor ingebruikname gewijzigd.
2. Wachtwoorden worden nooit in originele vorm (plaintext) opgeslagen of verstuurd, maar in
plaats daarvan wordt bijvoorbeeld de hashwaarde van het wachtwoord gecombineerd met
een Salt opgeslagen.
Ten aanzien van wachtwoorden geldt:
Wachtwoorden worden op een veilige manier uitgegeven (controle identiteit van de
gebruiker).
Tijdelijke wachtwoorden of wachtwoorden die standaard in software of hardware
worden meegegeven worden bij eerste gebruik vervangen door een persoonlijk
wachtwoord.
Gebruikers bevestigen de ontvangst van een wachtwoord.
Wachtwoorden zijn alleen bij de gebruiker bekend.
Wachtwoorden bestaan uit minimaal 8 vrij te kiezen karakters, waarvan tenminste
1 kleine letter, 1 hoofdletter, 1 cijfer en 1 vreemd teken.
Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 keer
herhaald worden.
14
Wachtwoorden voor alle gebruikers
Gebruikers behoren goede beveiligingsgewoonten in acht te nemen bij het kiezen en gebruiken
van wachtwoorden.
1. Aan de gebruikers is een set gedragsregels aangereikt met daarin minimaal het volgende:
Wachtwoorden worden niet opgeschreven.
Gebruikers delen hun wachtwoord nooit met anderen.
Wachtwoorden mogen niet opeenvolgend zijn.
Een wachtwoord wordt onmiddellijk gewijzigd indien het vermoeden bestaat dat het
bekend is geworden aan een derde.
Wachtwoorden worden niet gebruikt in automatische inlogprocedures (bijvoorbeeld
opgeslagen onder een functietoets of in een macro).
Misbruik van wachtwoorden dient als beveiligingsincident gemeld te worden aan de
servicedesk.
Nadat voor een gebruikersnaam drie keer een foutief wachtwoord gegeven is,
wordt het account minimaal 10 minuten geblokkeerd. Indien er geen lock-out periode
ingesteld kan worden, dan wordt het account geblokkeerd totdat de gebruiker een
verzoek indient deze lock-out op te heffen of het wachtwoord te resetten volgens de
geldende procedure.
Aanvullend beleid voor wachtwoorden van systeembeheerders
Toegang tot besturingssystemen van de gemeente behoort te worden beheerst met een
beveiligde inlogprocedure.
1. Toegang tot kritische toepassingen of toepassingen met een hoog belang wordt verleend
op basis van twee-factor authenticatie.4
2. Het wachtwoord wordt niet getoond op het scherm tijdens het ingeven. Er wordt geen
informatie getoond die herleidbaar is tot de authenticatiegegevens.
3. Voorafgaand aan het aanmelden wordt aan de gebruiker een melding getoond dat alleen
geautoriseerd gebruik is toegestaan voor expliciet door de organisatie vastgestelde
doeleinden.
4. Bij een succesvol loginproces wordt de datum en tijd van de voorgaande login of
loginpoging getoond. Deze informatie kan de gebruiker enige informatie verschaffen over
de authenticiteit en/of misbruik van het systeem.
5. Voor mobiele apparaten wordt de Wipe functie geactiveerd bij vaker dan 5 maal5 foutief
inloggen.
4 Met twee-factor authenticatie wordt bedoelt : iets dat je weet (je wachtwoord) en iets dat je hebt (bijvoorbeeld een fysieke/soft token, key generator of vingerafdruk). 5 Zelf aanpassen naar wat gebruikelijk is binnen de gemeente op basis van een risicoinschatting.
15
Wachtwoordbeheer
Systemen voor wachtwoordbeheer behoren interactief te zijn en moeten bewerkstelligen dat
wachtwoorden van geschikte kwaliteit worden gekozen.
1. Er wordt automatisch gecontroleerd op goed gebruik van wachtwoorden (onder andere
voldoende sterke wachtwoorden, regelmatige wijziging, directe wijziging van initieel
wachtwoord).
2. Wachtwoorden hebben een geldigheidsduur zoals beschreven in maatregel 11.2.3 van de
BIG. Binnen deze tijd dient het wachtwoord te worden gewijzigd. Wanneer het wachtwoord
verlopen is, wordt het account geblokkeerd.
3. Wachtwoorden die gereset zijn en initiële wachtwoorden hebben een zeer beperkte
geldigheidsduur en moeten bij het eerste gebruik worden gewijzigd.
4. De gebruikers hebben de mogelijkheid hun eigen wachtwoord te kiezen en te wijzigen.
Hierbij geldt het volgende:
Voordat een gebruiker zijn wachtwoord kan wijzigen, wordt de gebruiker opnieuw
geauthenticeerd.
Rapportage en controle
Het management controleert minimaal eens per kwartaal of toegangsrechten van
medewerkers nog juist zijn binnen de informatiesystemen waar zij verantwoordelijk voor
zijn.
Aldus vastgesteld door burgemeester en wethouders van [gemeente] op [datum],
[Naam. Functie] [Naam. Functie]
_______________ _______________
16
INFORMATIEBEVEILIGINGSDIENST V00R GEMEENTEN (IBD)
NASSAULAAN 12 2514 JS DEN HAAG
POSTBUS 30435 2500 GK DEN HAAG HELPDESK 070 373 80 11 ALGEMEEN 070 373 80 08 FAX 070 363 56 82
[email protected] WWW.IBDGEMEENTEN.NL
