search

MinBZK / Baseline-Informatiebeveiliging-Overheid

Samen werken aan de nieuwe Baseline Informatiebeveiliging Overheid: BIO2
https://minbzk.github.io/Baseline-Informatiebeveiliging-Overheid/
Other
32 stars 6 forks source link

5.17.01, 5.17.02 en 5.17.03 #151

Open swinkelsrick opened 2 months ago

swinkelsrick commented 2 months ago

Feedback en suggesties - BIO 2.0 maatregelen 5.17.01, 5.17.02 en 5.17.03.

Feedback op twee aspecten:

Samenvatting adviezen in het kort (zie 1.3 en 1.4 voor nadere toelichting en tekstvoorstellen):

  1. Adresseer en specificeer onderstaande eisen aan wachtwoorden in de BIO of in de nog uit te werken Implementatierichtlijn.

    • Sterkte van wachtwoord (o.a. lengte en willekeur)
    • Hergebruik wachtwoord
    • Gecompromitteerd wachtwoord

  2. Maak duidelijk wat wordt bedoeld met 'geautomatiseerd afdwingen' in de BIO.

1. Eisen aan wachtwoorden

1.1 Context De volgende kwaliteitscriteria/wachtwoordeisen dragen significant bij aan voorkomen van misbruik van wachtwoorden:

1.2 Huidige situatie - BIO 2.0 Eisen aan wachtwoorden komen op verschillende manieren terug onder 5.17:

Eisen m.b.t. hergebruik komen niet terug. Terwijl hergebruik van wachtwoorden een groot risico vormt. Een hergebruikt wachtwoord vergroot de kans op misbruik. Wanneer een hergebruikt wachtwoord niet langer vertrouwelijk is (omdat deze wordt geraden of gecompromitteerd is), kan dat leiden tot ongeautoriseerde toegang van alle accounts waarop dat hergebruikte wachtwoord wordt gebruikt.

1.3 Gewenste situatie - advies en voorstel tekstuele wijzigingen Adresseer en specificeer onderstaande eisen aan wachtwoorden:

Twee opties met voorstel tekstuele wijzigingen:

  1. Neem de eisen aan wachtwoorden op in de BIO. Hanteer hetzelfde format als 5.17.02 (wat in feite een voorbeelduitwerking is van 5.17.03). Tekstvoorstellen:

    • Een wachtwoordmanager of webbrowser is in staat om een waarschuwing te geven als een wachtwoord wordt hergebruikt op meerdere accounts. In dat geval moet het wijzigen van het wachtwoord conform de eisen geautomatiseerd worden afgedwongen.
    • Een wachtwoordmanager of webbrowser is in staat om een waarschuwing te geven als een wachtwoord niet sterk genoeg is (eisen aan sterkte zie implementatierichtlijn). In dat geval moet het wijzigen van het wachtwoord conform de eisen geautomatiseerd worden afgedwongen.

  2. Neem de eisen aan wachtwoorden - waaronder wachtwoordsterkte, voorkomen van hergebruikte en gecompromitteerde wachtwoorden - op in de Implementatierichtlijn en herformuleer 5.17.03 in de BIO. Tekstvoorstel:

    • De eisen aan wachtwoorden zoals omschreven in de Implementatierichtlijn moeten geautomatiseerd worden afgedwongen. In het geval een wachtwoord niet voldoet aan de eisen moet het wijzigen van het wachtwoord conform de eisen geautomatiseerd worden afgedwongen.

2. Geautomatiseerd afdwingen

2.1 Context Geautomatiseerd afdwingen van wachtwoordeisen is voorwaardelijk om wachtwoorden veilig te maken en houden. Positief dat dit is opgenomen in de BIO 2.0! Echter, de huidige formulering is te ruim voor interpretatie vatbaar. Wat wordt bedoeld met 'geautomatiseerd afdwingen'?

2.2 Huidige situatie - BIO 2.0 5.17.03 adresseert afdwingen als volgt: de eisen aan wachtwoorden moeten geautomatiseerd worden afgedwongen.

2.3 Gewenste situatie - advies en voorstel tekstuele wijzigingen Definieer 'geautomatiseerd worden afgedwongen' in lijn met huidige maatregel 15.07.02. Tekstvoorstel: 15.07.03 - de eisen aan wachtwoorden zoals omschreven in de Implementatierichtlijn moeten geautomatiseerd worden afgedwongen. In het geval een wachtwoord niet voldoet aan de eisen moet het wijzigen van het wachtwoord geautomatiseerd worden afgedwongen.

Overig - vraag m.b.t. Implementatierichtlijn Is het mogelijk om input te leveren op de nader uit te werken Implementatierichtlijn? Mijn team en ik brengen graag onze expertise over wachtwoordveiligheid in!

keeshint commented 2 months ago

We zullen je voorstel voorleggen aan de werkgroep BIO.