Werkgroep BIO actiepunt 300624-2 - mogelijke herformulering o-maatregel 5.17.02

Nog even de volledige schriftelijke uitkomst en onderbouwing van actiepunt “300624-2 - mogelijke herformulering o-maatregel 5.17.[0]2” uit de werkgroep BIO. Onderzocht door Bureau Forum Standaardisatie.

Huidige tekst

5.17.02 Een wachtwoordmanager of vergelijkbaar of webbrowser is in staat om een waarschuwing te geven als de het wachtwoord voorkomt op lijsten met gecompromitteerde wachtwoorden of het vermoeden bestaat dat het wachtwoord gecompromitteerd is. In dat geval moet het wachtwoord worden gewijzigd.

Git: https://github.com/MinBZK/Baseline-Informatiebeveiliging-Overheid/blob/10293d270fbebfc10ce300e45891e5e97c7440fb/docs/maatregelen/index.md#L370

Aanleiding

Vanuit deelnemer aan werkgroep BIO kwam de vraag of deze waarschuwingsfunctie in (veelgebruikte) free open source programmatuur beschikbaar is, zoals KeePass.

Uitkomst

Herformulering is niet noodzakelijk.

Onderbouwing

Het heeft geen beperking voor gebruik van (veelgebruikte) free open source programmatuur: KeePass heeft hiervoor free open source KeePass 2.x plug-in sectie met de volgende Breach/Leak Checkers:

HaveIBeenPwned by Andrew Schofield; This plugin checks entries against breach lists.
HIBPOfflineCheck by Mihai Ciuraru; This plugin performs offline checks against the 'Have I Been Pwned' passwords file.
KeePassHIBP by Janis Estelmann; KeePassHIBP tests your passwords against the 'Have I Been Pwned' database. The plugin hooks into two windows in KeePass (the 'Create Master Key' form and the 'Edit Entry' form). When you type into the password field, your input gets checked whether it has previously appeared in a data breach.
HaveIBeenPwnedKeePassPlugin by kapsiR; This plugin integrates the k-anonymity pwned password search from 'Have I Been Pwned'.

KeePassXC 2.6.0 (uitgebracht in 2020) heeft dit ingebouwd zonder plug-in, zie voor implementatie screenshots: Check passwords against the HIBP online service by wolframroesler · Pull Request #4438 (wel met aardig wat waarschuwingen).

Verdere overwegingen

Er zou gekozen kunnen worden om het alsnog wél te herformuleren zodat ook een server-side check (tijdens inloggen) afdoende zou zijn. Maar ik zou liever én/én zien, zodoende wijzig ik deze liever niet hieromtrent. De vraag is wel of ‘is in staat om’ sterk genoeg is, als deze functionaliteit ‘enterprise’ vier menu’s diep aan te roepen zijn, dan is dit niet wenselijk. Maar je wilt ook niet dat er permanent voor veelgebruikte wachtwoorden waarschuwingen zijn (bijv. 6 cijferige pincode van iets, is altijd gelekt, want alle 6 cijferige pincodes combinaties zijn gemakkelijk te genereren). Zodoende denk ik ook dat dit deel lastiger te verscherpen is.

MinBZK / Baseline-Informatiebeveiliging-Overheid