Purism-cso: Microsoft heeft met slecht beleid wachtwoorden kapotgemaakt

[Captain Kirk]

Microsoft kondigde vorige week aan dat gebruikers voortaan zonder wachtwoord op hun account kunnen inloggen, mede omdat wachtwoorden kwetsbaar zijn, maar het is juist Microsoft dat wachtwoorden kapot heeft gemaakt, zegt Kyle Rankin, chief security officer (cso) van computer- en smartphonefabrikant Purism.

Rankin stelt dat Microsoft met slecht wachtwoordbeleid voor Active Directory ervoor heeft gezorgd dat gebruikers uiteindelijk slechte wachtwoordkeuzes maakten. Via Active Directory kunnen systeembeheerders werkstations beheren en beleid vanuit een centrale locatie doorvoeren. "Het eerste wachtwoord dat veel mensen moesten onthouden was degene waarmee ze op hun werkstation inlogden, dus Microsofts wachtwoordbeleid werd gauw de gouden standaard voor wachtwoorden overal, niet alleen op werk", stelt Rankin.

Via Active Directory was het eenvoudig voor organisaties om Microsofts aanbeveling om wachtwoorden elke maand of kwartaal te veranderen door te voeren. Deze "best practices" van Microsoft, zoals het periodiek wijzigen van wachtwoorden en eisen voor wachtwoordcomplexiteit, zorgden ervoor dat gebruikers wachtwoorden kozen die eenvoudig door aanvallers zijn te raden, gaat de Purism-cso verder.

"Systeembeheerders volgden Microsofts best practices zonder vragen en gaven gebruikers, niet het beleid, de schuld van slechte wachtwoorden die het gevolg waren", merkt Rankin op. Hij stelt dat veel systeembeheerders dezelfde wachtwoordregels voor Active Directory ook toepasten voor online accounts. Er werd echter niet stilgestaan bij de gevolgen die dit had voor gebruikers en hoe gebruikers deze regels zouden volgen.

Rankin laat weten dat er nog een reden is dat Microsoft voor een wachtwoordloze toekomst kiest. Namelijk dat deze toekomst afhankelijk is van het vertrouwen in de hardware en leverancier van het besturingssysteem. Zo vereist Windows 11 de aanwezigheid van een TPM (Trusted Platform Module). "Deze vereiste legt nog meer controle over je hardware in de handen van Microsoft. Het is een volgende stap richting het net zo beperkt maken van desktops en laptops als telefoons zijn", waarschuwt Rankin. "In de naam van security en gemak zal je computer steeds minder van jou zijn."

 

 

bron: https://www.security.nl