Bij access management weet iedereen dat accountgegevens en wachtwoorden goed geborgd moeten zijn. Er moet afstand worden genomen van de volgende denkwijze, “Zolang het goed gaat, merk je niets van de risico’s”. (On)bewuste risico's worden genomen, terwijl eenvoudige security tools bestaan die deze risico’s kunnen verlagen en of voorkomen. Om een beeld te geven waar de grootste risico’s liggen hebben wij een top 5 meest bekende kwetsbaarheden samengesteld.
1. De ex-medewerker
Als een medewerker ontslagen worden moeten alle fysieke eigendommen en toegangsmiddelen worden ingeleverd bij de werkgever. Digitale toegang tot interne systemen, zoals e-mail, wordt soms vergeten. Daarom moeten we ons afvragen, hoe vaak heeft een medewerker nog beschikking over inloggegevens van de vorige werkgever?
Best-practices wijzen erop dat het implementeren van centrale authenticatie en decentrale autorisatie werkt. Door iedere medewerker op één centrale plek te laten authenticeren en valideren tegen een Active Directory worden niet gevalideerde ex-medewerkers direct buitengesloten van Single Sign-On koppelingen, wachtwoorden en server-toegang.
Decentrale autorisatie legt de verantwoordelijkheid bij zelfstandige teams. Zij weten het beste wie wel en niet meer werkzaam zijn bij het bedrijf. Zo worden de beveiligingsrisico's verminderd door niet alleen de verantwoordelijkheid bij de IT-afdeling te leggen. Zorg daarbij voor goede monitoring van (niet) gebruikte accounts waardoor ook het bewustzijn breed in de organisatie komt te liggen.
2. De gedeelde accounts
Het gebruik van externe, niet-persoonlijke accounts kan niet worden voorkomen. Beheer accounts voor bijvoorbeeld het Google Workspace-pakket, Twitter en CMS-accounts worden vaak gedeeld met meerdere (groepen) mensen. Deze accounts staan niet op naam, waardoor het gebruik moeilijk te controleren is. Daarnaast zou het wachtwoord iedere keer veranderd moeten worden op het moment dat een medewerker vertrekt. Inzicht en controle zijn hier cruciaal.
Er zijn meerdere best practises bij gedeelde accounts. Als eerste moet je ervoor zorgen dat de toegang tot een gedeeld account zoveel mogelijk op naam wordt gelogd. Door gebruik te maken van een wachtwoordmanager wordt dit al veel eenvoudiger, applicatie security. Bij het kiezen van een wachtwoordmanager zou je op moeten letten of die de mogelijkheid biedt om accounts onder te verdelen in teams (groepen). Zodat niet alle medewerkers over alle wachtwoorden beschikken, beveiligingsrisico. Daarnaast zou je kunnen kijken of je accounts voorzien kan worden van twee factor authenticatie (2FA). Kies dus een wachtwoordmanager waarbij je ook TOTP-codes kunt genereren vanuit de wachtwoordkluis.
3. Het wachtwoordbeleid
Het belangrijkste bij het maken van een nieuwe wachtwoord is de lengte, hoe langer de wachtwoord hoe beter. De meeste accounts worden gehackt vanwege zwakke wachtwoorden. Dit betekent dus dat je op alle plekken een ander wachtwoord moet gebruiken en dat hergebruik geen goed idee is. Wachtwoorden zijn dan voorspelbaar.
Ieder authenticatiesysteem zou moeten controleren of een ingevoerd wachtwoord in de lijst van veelgebruikte wachtwoorden voorkomt. Dit is een eenvoudige controle die de sterkte van ‘zelfgekozen’ wachtwoorden aanzienlijk verbetert.
Ook moet er een onderscheid gemaakt worden tussen zakelijke en privé accounts. Zakelijke accounts zijn eenvoudig te beveiligen door gebruik te maken van een wachtwoordmanager. Vanuit de manager kunnen nieuwe wachtwoorden gecreëerd worden, zodat overal een sterk en uniek wachtwoord wordt gebruikt.
4. Wachtwoorden opslaan
Het gebeurt helaas nog te vaak dat er wachtwoorden onversleuteld worden opgeslagen. Iedereen kent wel iemand die sticky note, bloknoot of een Excel-bestand met wachtwoorden hebben. Het zijn allemaal beveiligingsrisico's.
Het opslaan van wachtwoorden wordt met een zakelijke wachtwoordmanager al grotendeels opgelost. Daarnaast is het toepassen van twee factor authenticatie (2FA) niet weg te denken. Dit verkleint direct de risico’s die gecompromitteerde wachtwoorden met zich meebrengen. Als een wachtwoord uitgelekt is, kan iemand hier niet zomaar gebruik van maken.
5. De superadmins
Superadmin-accounts behoren tot de gevaarlijkste accounts binnen een organisatie. Met toegang tot alle systemen, alle accounts en alle wachtwoorden. Superadmin-accounts zijn één van de belangrijkste doelwitten voor hackers, want daarmee kunnen ze onopvallend alles binnen een organisatie doen. De macht die aan dit soort accounts hangt is enorm en daarmee een groot risico.
Wij hebben geconstateerd dat een superadmin wordt geassisteerd door een junior of stagiaire. De beveiliging van de gehele organisatie ligt in de handen van een onervaren collega. Er wordt veel aandacht besteed aan de beveiliging van dit soort accounts. Ondanks dat de super-accounts beter beschermd worden, wordt het probleem niet opgelost.
Het is mogelijk om de ‘super-admin’ zoveel mogelijk uit te bannen. Door decentraliseren van verantwoordelijkheden en het toepassen van het 4-ogen principe wordt alleenheerschappij voorkomen. Misbruik of compromised accounts kunnen hierdoor beperkt leed veroorzaken.
De kwetsbaarheden van Access Management zijn bekend. Het aannemen dat alles goed komt, betekent dat je altijd op je tenen moet lopen en hopen dat er geen security incidenten plaatsvinden. Eenvoudige security tools bestaan die Access Management veiliger maken. Lees meer over Identity Access Management.