De eerste onboardingfase is een cruciale stap voor zowel werknemers als werkgevers. Dit proces omvat echter vaak het delen van tijdelijke wachtwoorden voor de eerste dag, wat organisaties kan blootstellen aan beveiligingsrisico’s.
Traditioneel worden IT-afdelingen in het nauw gedreven door het delen van wachtwoorden in platte tekst via e-mail of sms, of door persoonlijke vergaderingen te organiseren om deze gegevens mondeling te communiceren. Beide methoden brengen inherente risico’s met zich mee, van man-in-the-middle-aanvallen tot de simpele menselijke fout van wachtwoordmismanagement. Deze kwetsbaarheid creëert openingen voor hackers, die zwakke of onderschepte wachtwoorden zullen proberen te gebruiken om ongeautoriseerde toegang te krijgen tot bedrijfssystemen.
In dit bericht onderzoeken we de valkuilen van traditionele wachtwoorddistributiemethoden tijdens het onboarden van werknemers en introduceren we een oplossing die de beveiliging verbetert zonder de gemakkelijke toegang voor nieuwe werknemers in gevaar te brengen. Het is mogelijk voor organisaties om hun digitale omgevingen vanaf het begin te beveiligen, wat zorgt voor een veilige en soepele overgang voor nieuwe teamleden.
Blijven tijdelijke wachtwoorden tijdelijk?
Tijdelijke wachtwoorden vormen een aanzienlijk beveiligingsrisico, voornamelijk omdat ze vaak niet worden gewijzigd door eindgebruikers, ondanks hun beoogde kortetermijngebruik. Deze wachtwoorden worden doorgaans ingesteld om te worden vervangen door de gebruiker na hun eerste login; deze cruciale stap kan echter over het hoofd worden gezien of worden gemist vanwege verschillende redenen, zoals nalatigheid van de gebruiker of technische problemen tijdens het onboardingproces. Wanneer tijdelijke wachtwoorden niet worden bijgewerkt, blijven ze kwetsbaar voor aanvallen omdat ze meestal zwakker en voorspelbaarder zijn.
De risico’s die gepaard gaan met tijdelijke wachtwoorden worden nog groter doordat ze vaak eenvoudig zijn of voorspelbare patronen volgen, waardoor ze makkelijke doelwitten zijn voor brute force- of woordenboekaanvallen. Specops-onderzoek vond tienduizenden door malware gestolen inloggegevens met basistermen als ‘welkom’, ‘gast’, ‘gebruiker’ en ‘wijzigen’ van alleen al het afgelopen jaar. Eindgebruikers wijzigen deze wachtwoorden mogelijk niet vanwege een gebrek aan kennis over beveiligingspraktijken of omdat het systeem een wachtwoordwijziging niet afdwingt bij de eerste aanmelding. Bovendien kunnen deze wachtwoorden, als ze in platte tekst worden gedeeld, worden onderschept door onbevoegde partijen.
Een echt voorbeeld van een inbreuk als gevolg van het misbruik van tijdelijke wachtwoorden is het incident met het softwarebedrijf SolarWinds. Aanvallers konden toegang krijgen tot het Orion-platform van het bedrijf met behulp van een eenvoudig, publiekelijk bekend wachtwoord: “solarwinds123”. Dit wachtwoord was bedoeld als tijdelijk wachtwoord, maar werd nooit bijgewerkt, wat leidde tot een enorme en beruchte cyberaanval die veel organisaties trof.
Risico’s van traditioneel wachtwoord delen
Traditioneel hebben organisaties vertrouwd op twee hoofdmethoden om wachtwoorden voor de eerste dag te delen met nieuwe werknemers, elk met zijn eigen set beveiligingsrisico’s. De eerste methode omvat het delen van wachtwoorden in platte tekst, meestal via e-mail of sms. Deze aanpak is eenvoudig en wordt vaak gebruikt vanwege de eenvoud en het gemak. Het brengt echter aanzienlijke beveiligingsrisico’s met zich mee. Communicatie in platte tekst kan door cybercriminelen worden onderschept via man-in-the-middle-aanvallen. Eenmaal onderschept, kunnen deze inloggegevens worden gebruikt om ongeautoriseerde toegang te krijgen tot bedrijfssystemen, wat mogelijk kan leiden tot datalekken en andere beveiligingsincidenten.
De tweede traditionele methode is het mondeling delen van wachtwoorden op de startdatum van de werknemer. Dit kan zowel persoonlijk als telefonisch gebeuren. Hoewel deze methode het risico op onderschepping vermindert in vergelijking met platte tekst digitale communicatie, kent het nog steeds kwetsbaarheden. Verbaal delen is sterk afhankelijk van de beschikbaarheid en coördinatie tussen IT-personeel en de nieuwe werknemer, wat logistiek uitdagend en foutgevoelig kan zijn. Bovendien introduceert het een extra risicolaag als het wachtwoord wordt gedeeld via een derde partij, zoals een manager, waarbij het wachtwoord verkeerd kan worden behandeld of onbedoeld kan worden vrijgegeven.
Beide methoden, hoewel vaak toegepast, bieden geen veilige en betrouwbare manier om gevoelige informatie zoals wachtwoorden te verwerken. Ze stellen organisaties bloot aan mogelijke beveiligingsinbreuken en sluiten niet aan bij best practices voor informatiebeveiligingsbeheer.
Veilig nieuwe gebruikers aan boord nemen zonder tijdelijke wachtwoorden
Het is cruciaal om nieuwe gebruikers op een veiligere manier te onboarden om organisatiegegevens vanaf het begin te beschermen. Specops Software biedt nu de First Day Password-functie aan als onderdeel van Specops uReset om de beveiligingslekken aan te pakken die inherent zijn aan traditionele wachtwoorddistributiemethoden tijdens het onboardingproces van werknemers.
Deze tool revolutioneert de manier waarop wachtwoorden worden behandeld door de noodzaak te elimineren om initiële wachtwoorden rechtstreeks met nieuwe gebruikers te delen. In plaats van een tijdelijk wachtwoord te ontvangen dat kan worden onderschept of onveilig kan worden behandeld, krijgen nieuwe werknemers de bevoegdheid om hun eigen wachtwoorden in te stellen via een beveiligd systeem.
Dit is hoe het werkt: bij toetreding ontvangen nieuwe werknemers een inschrijvingslink via sms, persoonlijke e-mail of via een “reset mijn wachtwoord”-link op hun domeingekoppelde apparaat. Deze link brengt hen naar een verificatiescherm waar ze hun identiteit bevestigen met hun persoonlijke e-mail of mobiele nummer. Na verificatie gaan ze naar een dynamisch feedbackscherm waar ze hun eigen wachtwoord kunnen maken in overeenstemming met het wachtwoordbeleid van de organisatie.
Deze methode beveiligt niet alleen het wachtwoordcreatieproces, maar integreert ook naadloos met andere Specops-producten zoals Specops Password Policy met Breached Password Protection. Deze tool verbetert de beveiliging verder door het creëren van langere wachtwoorden aan te moedigen en het gebruik van meer dan 4 miljard bekende gecompromitteerde wachtwoorden te blokkeren. Deze uitgebreide aanpak zorgt ervoor dat eindgebruikers vanaf dag één veilige, conforme wachtwoorden hebben, waardoor het risico op cyberdreigingen aanzienlijk wordt verminderd.
Door Specops’ First Day Password en de geïntegreerde beveiligingsfuncties te gebruiken, kunnen organisaties een veiligere onboarding-ervaring bieden die zowel de nieuwe gebruiker als de digitale activa van het bedrijf beschermt. Praat met een expert om te ontdekken hoe First Day Password bij uw organisatie past.
