Technieken voor risicobeperking
Er zijn een aantal technieken voor risicobeperking beschikbaar die u kunt gebruiken om wachtwoorden beter te beveiligen. Deze technieken worden geïmplementeerd met behulp van een of meer van de volgende vier primaire technologieën.
| Technologie | Beschrijving |
|---|---|
| CryptoAPI | CryptoAPI biedt een set functies waarmee u cryptografische routines kunt toepassen op doelentiteiten. CryptoAPI kan hashes, digests, versleuteling en ontsleuteling bieden om de primaire functionaliteit ervan te vermelden. CryptoAPI heeft ook andere functies. Zie Cryptography Essentialsvoor meer informatie over cryptografie en de CryptoAPI. |
| Toegangsbeheerlijsten | Een toegangsbeheerlijst (ACL) is een lijst met beveiligingsbeveiligingen die van toepassing zijn op een object. Een object kan een bestand, proces, gebeurtenis of iets anders zijn met een beveiligingsdescriptor. Zie voor meer informatie over ACL's toegangsbeheerlijsten (ACL's). |
| Api voor gegevensbeveiliging | De GEGEVENSBEVEILIGINGS-API (DPAPI) biedt de volgende vier functies die u gebruikt voor het versleutelen en ontsleutelen van gevoelige gegevens: CryptProtectData, CryptUnprotectData, CryptProtectMemoryen CryptUnprotectMemory. |
| Opgeslagen gebruikersnamen en wachtwoorden | Opslagfunctionaliteit waarmee wachtwoorden en andere referenties van gebruikers worden verwerkt, zoals persoonlijke sleutels, eenvoudiger, consistenter en veiliger. Zie CredUIPromptForCredentialsvoor meer informatie over deze functionaliteit. |
Deze technologieën zijn niet beschikbaar op alle besturingssystemen. Daarom is de mate waarin de beveiliging kan worden verbeterd, afhankelijk van welke besturingssystemen betrokken zijn. Hier volgen de technologieën die beschikbaar zijn in elk besturingssysteem.
| Besturingssysteem | Technologie |
|---|---|
| Windows Server 2003 en Windows XP |
|
| Windows 2000 |
|
De volgende technieken voor bedreigingsbeperking gebruiken een of meer van de vier technologieën. Technieken waarvoor het gebruik van technologieën die niet zijn opgenomen in het besturingssysteem, kunnen niet worden gebruikt.
Wachtwoorden ophalen van de gebruiker
Wanneer u de gebruiker toestaat een wachtwoord in te stellen, dwingt u het gebruik van sterke wachtwoorden af. U moet bijvoorbeeld vereisen dat wachtwoorden een minimale lengte hebben, zoals acht tekens of meer. Wachtwoorden moeten ook hoofdletters en kleine letters, cijfers en andere toetsenbordtekens bevatten, zoals het dollarteken ($), uitroepteken (!) of groter dan (>).
Nadat u een wachtwoord hebt opgegeven, kunt u dit snel gebruiken (met zo weinig mogelijk code) en vervolgens alle overblijfselen van het wachtwoord wissen. Dit minimaliseert de tijd die beschikbaar is voor een indringer om het wachtwoord te 'traps'. De afweging met deze techniek is de frequentie waarmee het wachtwoord van de gebruiker moet worden opgehaald; het beginsel moet echter waar mogelijk worden toegepast. Zie De gebruiker vragen om referentiesvoor informatie over het correct verkrijgen van wachtwoorden.
Vermijd het opgeven van de gebruikersinterfaceopties 'mijn wachtwoord onthouden'. Vaak vragen gebruikers om deze optie. Als u dit moet opgeven, moet u er minimaal voor zorgen dat het wachtwoord op een veilige manier wordt opgeslagen. Zie de sectie Wachtwoorden opslaan verderop in dit onderwerp voor meer informatie.
Limiet voor wachtwoordinvoer. Nadat een bepaald aantal pogingen zonder succes is uitgevoerd, vergrendelt u de gebruiker gedurende een bepaalde periode. U kunt eventueel de reactietijd voor elke poging langer maken dan een maximum. Deze techniek is gericht op het verslaan van een schattingsaanval.
Wachtwoorden opslaan
Sla wachtwoorden nooit op in tekst zonder opmaak (niet-versleuteld). Het versleutelen van wachtwoorden verhoogt de beveiliging aanzienlijk. Zie CryptProtectDatavoor informatie over het opslaan van versleutelde wachtwoorden. Zie CryptProtectMemoryvoor informatie over het versleutelen van wachtwoorden in het geheugen. Sla wachtwoorden op zo weinig mogelijk plaatsen op. Hoe meer plaatsen een wachtwoord wordt opgeslagen, hoe groter de kans dat een indringer het kan vinden. Sla nooit wachtwoorden op een webpagina of in een webbestand op. Door wachtwoorden op te slaan op een webpagina of in een webbestand, kunnen ze eenvoudig worden aangetast.
Nadat u een wachtwoord hebt versleuteld en opgeslagen, gebruikt u beveiligde ACL's om de toegang tot het bestand te beperken. U kunt ook wachtwoorden en versleutelingssleutels opslaan op verwisselbare apparaten. Door wachtwoorden en versleutelingssleutels op te slaan op een verwisselbare media, zoals een smartcard, kunt u een veiliger systeem maken. Nadat een wachtwoord is opgehaald voor een bepaalde sessie, kan de kaart worden verwijderd, waardoor de mogelijkheid wordt verwijderd dat een indringer er toegang toe kan krijgen.