Wachtwoordbeheer

Uit NORA Online
ISOR:Wachtwoorden beheer
Ga naar: navigatie, zoeken
Het BIO Thema logische toegangsbeveiliging is opgevolgd door BIO Thema Toegangsbeveiliging in december 2019.
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Wachtwoorden zijn middelen voor het authenticeren van gebruikers en beheerders. Onderstaande indicatoren (maatregelen) zijn gericht op het authenticeren van personen (gebruikers en beheerders). Voor het authenticeren van systemen die andere systemen/bedrijfsobjecten e.d. benaderen) zijn soms stringentere eisen noodzakelijk.


Criterium

Systemen voor wachtwoordbeheer moeten interactief zijn en sterke wachtwoorden waarborgen.

Doelstelling

Het bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen.

Risico

Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.4.3

Onderliggende normen

IDConformiteitsindicatorStellingPagina
TVZ_U.05.01sterke wachtwoordenAls geen gebruik wordt gemaakt van 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit., dan:
  • is de wachtwoordlengte minimaal 8 posities en complex van samenstelling;
  • vervalt de complexiteitseis vanaf een wachtwoordlengte van 20 posities;
  • is het aantal inlogpogingen maximaal 10;
  • is de tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen vastgelegd.
Aanvullende eisen wanneer geen gebruik gemaakt wordt van 2-factor authenticatie
TVZ_U.05.02sterke wachtwoordenIn situaties waar geen 2-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.Daar waar geen 2-factor authenticatie mogelijk is, wordt minimaal het wachtwoord halfjaarlijks vernieuwd