Zou je me geloven als ik zou beweren dat tegenwoordig minder dan 1% van alle wachtwoorden die in gebruik zijn werkelijk willekeurige wachtwoorden zijn? Dit is helaas waar. Een recent onderzoek laat zien dat minder dan 1% van wachtwoorden die op dit moment in gebruik zijn willekeurig of aselect zijn. In feite laat dit onderzoek zien hoe mensen hun wachtwoorden samenstellen. Resultaten uit het onderzoek zijn:
• 14% van alle wachtwoorden zijn afgeleid van een naam (JanSmit)
• 8% van alle wachtwoorden zijn een afgeleide van een plaatsnaam – vaak een naam van een stad of een dorp waar de persoon in kwestie woont of geboren is (Utrecht)
• 14% van wachtwoorden zijn zuiver numeriek van aard en soms zijn het opeenvolgende nummers (12345)
• 25% van wachtwoorden zijn willekeurige wachtwoorden uit het woordenboek (computer)
• Nog eens 8% zijn samengesteld uit toetsenbordpatronen, korte uitdrukkingen, woorden in het e-mail adres en herhalende woorden (asdf, zwartekat, @apple, roodrood – respectievelijk)
• De resterende 31% van wachtwoorden kon tijdens dit onderzoek niet in kaart worden gebracht
Deze informatie is alarmerend voor alle netwerk- en securitybeheerders in alle branches. Hoewel wachtwoordcomplexiteitsregels steeds vaker worden toegepast, geldt dit zeker nog niet voor alle organisaties. En zelf met wachtwoordcomplexiteit, zullen er werknemers zijn die wachtwoorden gebruiken die makkelijk te raden zijn. Dus om inbreuken op het netwerk te voorkomen, zullen organisaties moeten overwegen om password management serieuzer te nemen om het netwerk beter te beschermen. Er zijn diverse software oplossingen die organisaties kunnen implementeren om de risico’s op hun netwerkbeveiliging te reduceren.
Een mogelijkheid waar ik me graag op wil focussen is de implementatie van een oplossing met zogenaamde ‘two-factor authenticatie’. Deze oplossing omvat het veiligstellen van de primaire login door middel van een gebruikerspas of biometrie. In plaats van het invoeren van een gebruikersnaam of wachtwoord, kunnen gebruikers inloggen door gebruik te maken van een gebruikerspas/biometrie in combinatie met een lezer en het invoeren van hun pincode. Het combineren van een gebruikerspas/biometrie en een pincode zorgt voor een sterke authenticatie. Dit is een sterke combinatie omdat two-factor authenticatie gebaseerd is op iets wat de gebruikers bezitten (gebruikerspas/biometrie) en iets wat ze weten (pincode).
Enterprise Single Sign On Manager (E-SSOM) van Tools4ever biedt volledige integratie met alle gangbare two-factor authenticatie kaartreader, zoals HID, Mifare, Biometrie, Gridtoken, Proximity-based devices en RFID readers. E-SSOM biedt een ingebouwde integratie met de driver software van de (kaart) reader en koppelt de pass-card ID met de credentials van de gebruiker(gebruikersnaam/wachtwoord) in de Active Directory. Er is geen extra software nodig om deze koppeling te maken. Deze functie garandeert een gebruikersvriendelijke en veilige login voor alle gebruikers.
* Bron: The science of password selection door Troy Hunt
maandag 22 augustus 2011
woensdag 3 augustus 2011
IAM: Goliath versus David
Eind 2010 gaf Gartner het rapport ‘Magic Quadrant for User Provisioning’ uit. Hierin geeft Gartner haar visie op Identity & Access Management (IAM) voor de komende jaren en de bijbehorende trends. Het Magic Quadrant maakt een splitsing tussen marktleiders, uitdagers, visionairs en kleine spelers. In het betreffende kwadrant staan de markleiders geclusterd op eenzame hoogte. In deze groep bevinden zich onder andere Oracle, IBM, Novell en CA. De overige leveranciers staan allen dicht bij elkaar in de overige kwadranten. Je zou kunnen concluderen dat er een elite bestaat van IAM leveranciers die klaarblijkelijk alles op orde hebben. Is dat dan ook een reden om voor deze partijen te kiezen?
Uit mijn ervaring met IAM-projecten zie ik regelmatig dat projecten worden gestart met leveranciers die tot de elite behoren. Deze leveranciers zetten een zwaar product als middelpunt in, om vervolgens een IAM oplossing om dit product heen te bouwen. Vaak wordt geprobeerd een utopie te creƫren die vereist dat de IAM oplossing intensief aangepast moet worden. Er wordt gestart met het automatiseren van processen in de organisatie (workflow management en RBAC) en vervolgens worden IT procedures voor het beheren van user accounts in het netwerk geautomatiseerd. Het probleem hierbij is dat het lastig is om organisatieprocessen te automatiseren en dat het nog lastiger is om RBAC informatie te vullen met gewenste autorisatie-informatie. Tijdens de lange doorlooptijd treden wijzigingen in de organisatie op ten gevolge van re-organisaties, fusies en/of splitsingen. Deze projecten stranden vaak na een grote investering of worden maar deels in productie genomen.
Ik kan dus concluderen dat de keuze voor een leverancier die tot de elite behoord niet automatisch resulteert in een geslaagd IAM-project. Dit wordt ook door Gartner beaamd in het rapport. Elite leveranciers hanteren vaak zware projectstructuren en een groot aantal voorwaarden. Gartner maakt de opmerking dat te complexe benaderingen ervoor zorgen dat IAM-projecten vaak spaak lopen.
Gartner schetst nog een groot aantal punten, scenario’s en voorwaarden waaraan een IAM leverancier zou moeten voldoen. Opmerkelijk genoeg voldoet Tools4ever als Nederlandse niche speler aan al deze voorwaarden met een stabiele eigenwijze benadering die door veel klanten als prettig wordt ervaren. Vaak wordt er in aanbestedingstrajecten gekozen voor oplossingen van Tools4ever vanwege korte doorlooptijden, de vele succesvolle implementaties en een mix van een bottom-up en topdown benadering. Het succes van Tools4ever zit hem vooral in de volgende onderdelen die ook Gartner noemt als succesfactoren:
• Het niet splitsen van de implementatieverantwoordelijkheid tussen productleverancier en implementatiepartner. Tools4ever heeft reeds jaren geleden onderkend dat het succes van een IdM implementatie zit in de kennis en kunde van de IdM consultants en de complexe implementaties niet eenvoudig over te laten valt aan een implementatiepartner.
• Fasering: door IAM in allerlei kleinere deelprojecten op te splitsen over een lineaire tijdlijn wordt een logge scoop voorkomen. IAM-trajecten zijn vaak eenvoudig te splitsen in deeltrajecten waarbij ieder deeltraject al zichtbaar resultaat oplevert.
• Modulair: De technische oplossingen worden modulair opgebouwd waardoor er eenvoudig doorgebouwd kan worden. Hierdoor bereik je deelresultaten in plaats van eindpunten.
• Flexibel: Het stroomlijnen van de huidige situatie is meestal de start van een IAM traject. Door optimalisatie van huidige processen komt er tijd en ruimte vrij komt om aan vervolgstappen te kunnen werken.
• Een volledig portfolio: Tools4ever kan een volledig portfolio aan oplossingen bieden die zijn bewezen in productie bij klanten. Daarnaast kan Tools4ever een prima rol vervullen als deel supplier.
Het resultaat van de benadering van Tools4ever is dat vrijwel alle projecten slagen. De meeste klanten zitten in een fase waarbij er gemakkelijk kan worden doorgebouwd naar de volgende trends binnen IAM of een volgende fase van de huidige trends.
David won toch ook van Goliath!
Uit mijn ervaring met IAM-projecten zie ik regelmatig dat projecten worden gestart met leveranciers die tot de elite behoren. Deze leveranciers zetten een zwaar product als middelpunt in, om vervolgens een IAM oplossing om dit product heen te bouwen. Vaak wordt geprobeerd een utopie te creƫren die vereist dat de IAM oplossing intensief aangepast moet worden. Er wordt gestart met het automatiseren van processen in de organisatie (workflow management en RBAC) en vervolgens worden IT procedures voor het beheren van user accounts in het netwerk geautomatiseerd. Het probleem hierbij is dat het lastig is om organisatieprocessen te automatiseren en dat het nog lastiger is om RBAC informatie te vullen met gewenste autorisatie-informatie. Tijdens de lange doorlooptijd treden wijzigingen in de organisatie op ten gevolge van re-organisaties, fusies en/of splitsingen. Deze projecten stranden vaak na een grote investering of worden maar deels in productie genomen.
Ik kan dus concluderen dat de keuze voor een leverancier die tot de elite behoord niet automatisch resulteert in een geslaagd IAM-project. Dit wordt ook door Gartner beaamd in het rapport. Elite leveranciers hanteren vaak zware projectstructuren en een groot aantal voorwaarden. Gartner maakt de opmerking dat te complexe benaderingen ervoor zorgen dat IAM-projecten vaak spaak lopen.
Gartner schetst nog een groot aantal punten, scenario’s en voorwaarden waaraan een IAM leverancier zou moeten voldoen. Opmerkelijk genoeg voldoet Tools4ever als Nederlandse niche speler aan al deze voorwaarden met een stabiele eigenwijze benadering die door veel klanten als prettig wordt ervaren. Vaak wordt er in aanbestedingstrajecten gekozen voor oplossingen van Tools4ever vanwege korte doorlooptijden, de vele succesvolle implementaties en een mix van een bottom-up en topdown benadering. Het succes van Tools4ever zit hem vooral in de volgende onderdelen die ook Gartner noemt als succesfactoren:
• Het niet splitsen van de implementatieverantwoordelijkheid tussen productleverancier en implementatiepartner. Tools4ever heeft reeds jaren geleden onderkend dat het succes van een IdM implementatie zit in de kennis en kunde van de IdM consultants en de complexe implementaties niet eenvoudig over te laten valt aan een implementatiepartner.
• Fasering: door IAM in allerlei kleinere deelprojecten op te splitsen over een lineaire tijdlijn wordt een logge scoop voorkomen. IAM-trajecten zijn vaak eenvoudig te splitsen in deeltrajecten waarbij ieder deeltraject al zichtbaar resultaat oplevert.
• Modulair: De technische oplossingen worden modulair opgebouwd waardoor er eenvoudig doorgebouwd kan worden. Hierdoor bereik je deelresultaten in plaats van eindpunten.
• Flexibel: Het stroomlijnen van de huidige situatie is meestal de start van een IAM traject. Door optimalisatie van huidige processen komt er tijd en ruimte vrij komt om aan vervolgstappen te kunnen werken.
• Een volledig portfolio: Tools4ever kan een volledig portfolio aan oplossingen bieden die zijn bewezen in productie bij klanten. Daarnaast kan Tools4ever een prima rol vervullen als deel supplier.
Het resultaat van de benadering van Tools4ever is dat vrijwel alle projecten slagen. De meeste klanten zitten in een fase waarbij er gemakkelijk kan worden doorgebouwd naar de volgende trends binnen IAM of een volgende fase van de huidige trends.
David won toch ook van Goliath!
Abonneren op:
Posts (Atom)
