Menu

Een goed rechtenbeheer is als een branddeur: ze vermijdt schade in andere ruimtes

Websites van overheidsinstanties en bedrijven bieden steeds vaker toegang tot bedrijfskritische of (privacy)gevoelige informatie, waardoor het ook voor cybercriminelen steeds interessantere doelwitten worden. Hoewel het handig lijkt dat alle medewerkers toegang hebben tot alle tools van je website, is een uitgedokterd rollen- en rechtenbeheer een noodzakelijk hulpmiddel om het cybercriminelen moeilijk te maken.

30-08-2021 - door Jurgen Gaeremyn

Ik vertrouw mijn personeel: iedereen mag alles!

Soms lijkt het praktisch om al je personeel toegang te geven tot alle documenten binnen het bedrijf. Toch zijn er een aantal belangrijke risico’s aan verbonden. Sterker nog, je plaatst je werknemers onnodig kwetsbaar op als er toch iets fout loopt in je onderneming.

Zo zal ransomware enkel schade kunnen aanrichten op de plaatsen waar de getroffen werknemer kan komen. Een goed rechtenbeheer is dus als een branddeur: ze vermijdt dat de schade overslaat op andere ruimtes.

Rechtenbeheer: niet meer toelaten dan nodig

In de meeste CMS’en is er een zeker rechtenbeheer mogelijk – de technische term die binnen een CMS gebruikt wordt, is ACL(Access Control List). Rechtenbeheer is een van de criteria die je niet over het hoofd mag zien als je een CMS opzet voor je organisatie. Heb je maar één of twee gebruikers en worden er enkel berichtjes gepost? Dan kun je met elk CMS wel verder. Joomla! heeft een geavanceerd rechtenbeheer (zij het met een zekere leercurve). Voor WordPress en Drupal moet je bijkomende modules installeren.

Rechtenbeheer: elke gebruiker een eigen account

De kracht van een CMS is dat je gemakkelijk accounts kunt bijmaken – telkens met hun eigen rechten. Door elke gebruiker een eigen account te geven, zorg je ervoor dat iedereen gevalideerd kan worden voor zijn of haar inzet en dat niemand per ongeluk zaken inkijkt of wijzigt die niet voor hem of haar bestemd waren. Bovendien voorkom je zo dat je bij een ontslag of ontevreden werknemer ineens alles moet veranderen om te voorkomen dat die aan alles kan.

Een fatsoenlijk authenticatiebeleid

Via SafeOnWeb loopt op dit moment een campagne: ‘Wachtwoorden zijn niet meer van deze tijd’1. De overheid voert een actief pleidooi om te kiezen voor een tweefactor-authenticatie (2FA, soms ook multifactor-authenticatie of MFA genoemd) voor alle accounts die er toe doen. In de eerste plaats voor je e-mail, maar ook voor alle toegang tot bedrijfskritische omgevingen. Ben je beheerder op het CMS van je organisatie? Dan valt dat daar zeker ook onder. Wat is 2FA? In essentie komt het erop neer dat je twee onafhankelijke zaken moet ingeven om toegang te krijgen tot een omgeving. Typisch is dit iets wat je weet (je wachtwoord) en iets wat je hebt (een app op je smartphone, een hardware token, …) dat ook een code voor je genereert.

Regelmatig kom je al eens tegen dat je een SMS of mailtje ontvangt als tweede factor. Dit is in elk geval al pakken beter dan géén 2FA, maar dit zijn de zwakste vormen van 2FA aangezien een wachtwoord-reset ook via deze weg gebeurt. En wie beschikt over (toegang tot) je smartphone, heeft dan ineens beide factoren2. Idealiter is je tweede factor zo onafhankelijk mogelijk van je e-mail.

Een app op je smartphone die je moet ontgrendelen met een vingerafdruk is al een betere keuze. Zo biedt Android een open source applicatie die Google Authenticator3 heet. Er zijn gelijkaardige applicaties op de markt die even goed werken. De bekendste is Authy4.

Wil je nog een stap verder gaan? Dan kun je een kijkje nemen naar een USB-dongle zoals de Yubikey5. Dit is een toestelletje dat lijkt op een kleine USB-stick met een knopje op. Elke keer dat je op het knopje drukt, typt het apparaatje een unieke lange code waar de cursor staat.

Waarom is een 2FA zo waardevol? Misschien heb je het al door: niet alleen kan iemand niks aanvangen met je wachtwoord, bovendien kan iemand ook geen brute-force aanval uitvoeren, waarbij duizenden wachtwoorden uitgeprobeerd worden om toch maar binnen te geraken in je account. Want zonder die tweede factor zal ook het juiste wachtwoord falen.

De meeste grote CMS’en hebben al 2FA functionaliteit ingebouwd in hun platform:

·       Wordpress heeft hiervoor een plugin6.

·       Bij Joomla! is dit al ettelijke jaren een standaardonderdeel van de installatie. Je moet het enkel nog instellen7.

·       Ook Drupal voorziet in een module voor 2FA8.

Jammer genoeg is het nog niet overal mogelijk om 2FA te gebruiken. Daarom geven we hieronder enkele pragmatische benaderingen voor een robuust gebruik van wachtwoorden.

Hoe kies je een betrouwbaar wachtwoord?

Het principe van een wachtwoord zit hem erin dat het statistisch onredelijk lang duurt om een wachtwoord te raden. Dit betekent dat er een paar zaken zijn die dit principe breken:

·       Hetzelfde wachtwoord hergebruiken op meerdere sites.

·       Een wachtwoord kiezen dat in een woordenboek bestaat.

·       Een ‘klassieker’ gebruiken zoals ‘Wachtwoord123!’ of ‘azerty’.

·       Een wachtwoordpatroon gebruiken (bv. Password4_website.be).

Tegelijk weten we allemaal dat niemand erin slaagt om voor elke website een absoluut uniek wachtwoord te genereren en die allemaal te onthouden. Dit is mijn aanpak: Voor een heel beperkt aantal accounts heb ik een sterk wachtwoord uitgewerkt (hetzij meer dan 12 tekens lang met cijfers en speciale tekens, hetzij meer dan 20 tekens lang, met enkel letters). Zelf ga ik graag winkelen bij de Vlaamse of anderstalige kleinkunstenaars die in het dialect zingen. Een wachtwoord als ‘Morregeuh,da’kEtZekerZalDoen!’ of ‘MieMoaten(2x)IkZieJunderGèrn’ zal niet zo vlug geraden worden. Toch kan ik dat wel onthouden. Voor de meeste wachtwoorden zal ik echter gebruikmaken van een wachtwoordkluis. Dat programma zal voor mij puur willekeurige wachtwoorden genereren en ik zal die zelfs niet kennen.

Mijn persoonlijke favoriet voor individueel gebruik is KeepassXC9. Moet je ook wachtwoorden kunnen delen tussen verschillende toestellen of met meerdere personen, dan zal een online wachtwoordkluis soelaas bieden. Hier is mijn persoonlijke favoriet BitWarden10. Zowel BitWarden als KeepassXC zijn open source oplossingen, waar al honderden of duizenden ogen kritisch op gekeken hebben. Het voordeel van een online oplossing zoals BitWarden is dat je ook de wachtwoorden of vertrouwelijke informatie van de organisatie hierin kunt delen en centraal beheren. Als een wachtwoord wijzigt, heeft iedereen direct het juiste wachtwoord. Als een werknemer uit beeld verdwijnt, kan hem of haar makkelijk toegang tot alle wachtwoorden ontnomen worden.

Dit artikel van Jurgen Gaeremyn maakt deel uit van de publicatie Content Management editie 2021, uitgegeven door Politeia.

Content Management editie 2021, uitgegeven door Politeia.

  1. https://campagne.safeonweb.be/nl/tweestapsverificatie
  2. Er bestaan ook technieken om een SMS te onderscheppen, maar dit gaat voorbij aan de diepgang van dit artikel.
  3. https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2& (Android) of https://apps.apple.com/us/app/google-authenticator/id388497605 (iPhone)
  4. https://authy.com/
  5. https://www.yubico.com/
  6. https://wordpress.org/plugins/wp-2fa/
  7. https://docs.joomla.org/J3.x:Two_Factor_Authentication
  8. https://www.drupal.org/project/tfa
  9. https://keepassxc.org/
  10. https://bitwarden.com/

 

 

Ook interessant

Communicatie & informatie

Webcare

Lie Lauwers

Bestel

Communicatie & informatie

Digitale Nieuwsbrieven

Kristof D'hanens

Bestel

Communicatie & informatie

2020 - Het visuele netwerk

Christophe Ruys

Bestel

Communicatie & informatie

Allemaal digitaal?

Ilse Mariƫn
Sara Van Damme

Bestel

Communicatie & informatie

Visuele identiteit in 10 stappen

Christophe Ruys

Bestel

Communicatie & informatie

Sociale media

Jan Van Hee

Bestel