Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

Werkgroep BIO actiepunt 300624-2 - mogelijke herformulering o-maatregel 5.17.02 #167

Closed
bwbroersma opened this issue Oct 15, 2024 · 1 comment
Closed

Werkgroep BIO actiepunt 300624-2 - mogelijke herformulering o-maatregel 5.17.02 #167

bwbroersma opened this issue Oct 15, 2024 · 1 comment

Comments

@bwbroersma
Copy link

Nog even de volledige schriftelijke uitkomst en onderbouwing van actiepunt “300624-2 - mogelijke herformulering o-maatregel 5.17.[0]2” uit de werkgroep BIO. Onderzocht door Bureau Forum Standaardisatie.

Huidige tekst

5.17.02 Een wachtwoordmanager of vergelijkbaar of webbrowser is in staat om een waarschuwing te geven als de het wachtwoord voorkomt op lijsten met gecompromitteerde wachtwoorden of het vermoeden bestaat dat het wachtwoord gecompromitteerd is. In dat geval moet het wachtwoord worden gewijzigd.

Git:

Baseline-Informatiebeveiliging-Overheid/docs/maatregelen/index.md

Line 370 in 10293d2

#### 5.17.02 Een wachtwoordmanager of vergelijkbaar of webbrowser is in staat om een waarschuwing te geven als de het wachtwoord voorkomt op lijsten met gecompromitteerde wachtwoorden of het vermoeden bestaat dat het wachtwoord gecompromitteerd is. In dat geval moet het wachtwoord worden gewijzigd.

Aanleiding

Vanuit deelnemer aan werkgroep BIO kwam de vraag of deze waarschuwingsfunctie in (veelgebruikte) free open source programmatuur beschikbaar is, zoals KeePass.

Uitkomst

Herformulering is niet noodzakelijk.

Onderbouwing

Het heeft geen beperking voor gebruik van (veelgebruikte) free open source programmatuur:
KeePass heeft hiervoor free open source KeePass 2.x plug-in sectie met de volgende Breach/Leak Checkers:

  • HaveIBeenPwned by Andrew Schofield; This plugin checks entries against breach lists.
  • HIBPOfflineCheck by Mihai Ciuraru; This plugin performs offline checks against the 'Have I Been Pwned' passwords file.
  • KeePassHIBP by Janis Estelmann; KeePassHIBP tests your passwords against the 'Have I Been Pwned' database.
    The plugin hooks into two windows in KeePass (the 'Create Master Key' form and the 'Edit Entry' form). When you type into the password field, your input gets checked whether it has previously appeared in a data breach.
  • HaveIBeenPwnedKeePassPlugin by kapsiR; This plugin integrates the k-anonymity pwned password search from 'Have I Been Pwned'.

KeePassXC 2.6.0 (uitgebracht in 2020) heeft dit ingebouwd zonder plug-in, zie voor implementatie screenshots: Check passwords against the HIBP online service by wolframroesler · Pull Request #4438 (wel met aardig wat waarschuwingen).

Verdere overwegingen

Er zou gekozen kunnen worden om het alsnog wél te herformuleren zodat ook een server-side check (tijdens inloggen) afdoende zou zijn. Maar ik zou liever én/én zien, zodoende wijzig ik deze liever niet hieromtrent.
De vraag is wel of ‘is in staat om’ sterk genoeg is, als deze functionaliteit ‘enterprise’ vier menu’s diep aan te roepen zijn, dan is dit niet wenselijk. Maar je wilt ook niet dat er permanent voor veelgebruikte wachtwoorden waarschuwingen zijn (bijv. 6 cijferige pincode van iets, is altijd gelekt, want alle 6 cijferige pincodes combinaties zijn gemakkelijk te genereren). Zodoende denk ik ook dat dit deel lastiger te verscherpen is.
@bwbroersma
Copy link
Author

Issue aangemaakt ter verslaglegging.

@bwbroersma bwbroersma mentioned this issue Oct 15, 2024
Open
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
1 participant
@bwbroersma