Wachtwoorden beheer

Uit NORA Online
ISOR:Wachtwoorden beheer
Ga naar: navigatie, zoeken
Logo ISOR themaprincipes (vier hangsloten die in elkaar geklikt zitten met tekst ISOR Beveiliging Principe)

Verwante principes

BIO Thema Toegangsbeveiliging
Binnen dit normenkader èn beveiligingsaspect
Alle Normenkaders
Alle Beveiligingsprincipes
Alle Normen
Beveiligingsaspecten
ISOR

Wachtwoorden zijn middelen voor het authentiseren van gebruikers/beheerders. De onderstaande normen zijn gericht op het authentiseren van personen (gebruikers/beheerders). Voor het authentiseren van systemen die andere systemen/bedrijfsobjecten benaderen e/d) zijn soms stringentere eisen noodzakelijk.


Criterium

Systemen voor wachtwoordbeheer moeten interactief te zijn en sterke wachtwoorden te waarborgen.

Doelstelling

Bewerkstelligen dat alleen de beoogde geauthenticeerden toegang tot (vooraf bepaalde) bedrijfsobjecten krijgen.

Risico

Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken.

Indeling binnen ISOR

Dit beveiligingsprincipe:

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methode ingedeeld in drie aspecten:Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is NEN-ISO/IEC 27002 9.4.3., BIR (Baseline Informatiebeveiliging Rijksdienst) 9.4.3

Onderliggende normen

IDConformiteitsindicatorStellingPagina
LTV_U.05.01wachtwoordenAls geen gebruik wordt gemaakt van two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. is de wachtwoordlengte minimaal 8 posities en complex van samenstelling; vanaf een wachtwoordlengte van 20 posities vervalt de complexiteitseis.

Het aantal inlogpogingen is maximaal 10.

De tijdsduur dat een account wordt geblokkeerd na overschrijding van het aantal keer foutief inloggen is vastgelegd.
Wachtwoordlengte, complexiteit, toegestane inlogpogingen en blokkadetijdsduur
LTV_U.05.02wachtwoordenIn situaties waar geen two-factor authenticatieHet aantonen dat degene die zich identificeert ook daadwerkelijk degene is die zich als zodanig voorgeeft: ben je het ook echt? Authenticatie noemt men ook wel verificatie van de identiteit. mogelijk is, wordt minimaal halfjaarlijks het wachtwoord vernieuwd.Waar geen two-factor authenticatie mogelijk is, minimaal halfjaarlijks vernieuwen van wachtwoord
LTV_U.05.03wachtwoordenHet wachtwoordbeleid wordt geautomatiseerd uitgevoerd.Het wachtwoordbeleid wordt geautomatiseerd uitgevoerd
LTV_U.05.04wachtwoordenInitiële wachtwoorden en wachtwoorden die gereset zijn, hebben een maximale geldigheidsduur van een werkdag en moeten bij het eerste gebruik worden gewijzigd.Maximale geldigheidsduur en wijzihgen bij het eerste gebruik van initiële en geresette wachtwoorden
LTV_U.05.05wachtwoordenWachtwoorden die voldoen aan het wachtwoordbeleid hebben een maximale geldigheidsduur van een jaar. Daar waar het beleid niet toepasbaar is, geldt een maximale geldigheidsduur van 6 maanden.Geldigheidsduur van wachtwoordbeleid-conforme wachtwoorden is max. 1 jaar, overige 6 maanden