NIST past requirements voor wachtwoorden aan

We hebben allemaal met het National Institute of Standards and Technology te maken. Het is beter bekend onder de afkorting NIST. Bij die naam zullen de meesten zich waarschijnlijk herinneren dat daar de definities voor zaken als cloud computing vandaan komen. Wat het Amerikaanse NIST beschrijft heeft dus ook in Nederland de nodige impact.

Wat is SP 800-63?

Vanwege die impact wijst ISP Today op de herziene versie van Special Publication (SP) 800-63. Deze is op op 22 juni live gezet op de NIST site en door nog maar een enkele techsite opgemerkt. Dat is naar onze mening onterecht, want SP 800-63 gaat ons allemaal aan. Waar gaat het over? Het document beschrijft: “technical requirements for federal agencies implementing digital identity services. The publication includes: an overview of identity frameworks; using authenticators, credentials, and assertions in a digital system; and a risk-based process to select assurance levels. Organizations have the flexibility to choose the appropriate assurance level for their needs.” (Link naar webinar)

Voor wie?

Federal Agencies, dat zijn overheden. Maar je moet je daardoor niet laten afleiden of afschrikken. Voorschriften voor een overheidsdienst komen immers heel vaak ook terug bij het bedrijfsleven. Zi maar de definities van cloud, iedereen weet dat het betekent en als een ambtenaar om IaaS vraagt krijgt hij echt iet iets anders dan de IT afdeling van een bedrijf.

SP 800-63 beschrijft hoe op een meer verantwoorde manier met digitaal identiteits- management kan worden omgegaan. Hoe weet je dat iemand die inlogt daadwerkelijk die persoon is en hoe maak je dat proces zo veilig mogelijk. Dat dit onderwerp een SP waard is zal niet mogen verbazen. Met net weer een datalek van 200 miljoen Amerikaanse kiezers de afgelopen week begrijpt iedereen dat er over de volle breedte meer veiligheid nodig is.

Wachtwoorden

In dit SP worden specifiek ten aanzien van wachtwoordbeleid een aantal “aanbevelingen” gedaan die waarschijnlijk heel snel de oceaan zullen oversteken. De reden is dat het lijstje gewoon klopt en actueel is. De punten staan vermeld in hoofdstuk 5 van SP 800-63B, waar het ook over 2FA en dergelijke gaat. We beperken ons hier slecht tot de wachtwoorden:

  • wachtwoorden (“memorized secrets”) moeten langer dan 8 karakters zijn
  • wachtwoorden mogen langer dan 64 karakters zijn
  • een verplichte mix van karakters, leestekens, et cetera wordt afgeraden!
  • wachtwoorden moeten worden gecontroleerd en zijn af te wijzen als ze voorkomen in een woordenboek
  • lijsten van (combinaties met?) wachtwoorden die bij eerdere hacks zijn gestolen (LinkedIN, Sony, Yahoo…)
  • opvolgende cijfers en/of letters
  • en mogen geen verwijzing naar de gebruiker of de dienst zijn

Adviezen opvolgen

Iedereen die in de USA iets met wachtwoorden aanbiedt aan een federale klant – dus ook hosting voor een wordpress site – moet als het aan NIST ligt kunnen aantonen dat hij deze adviezen opvolgt. Dat zal wel bij tenders en aanbestedingen naar voren komen. Dat is ook de route die dit advies in Europa en Nederland zal gaan volgen.

Je kunt de quasi verplichting voor wachtwoorden afwachten. Je kunt het ook voor zijn door je eigen processen aan te passen op SP 800-63. Technisch verstandig, marketingwise is het ook best slim.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen