De schijnveiligheid van

password managers

Een aantal jaren terug waren Privileged Access Management (PAM) tools alleen financieel haalbaar voor grote bedrijven met eigen IT teams. Uitgebreide PAM oplossingen met waslijsten aan functionaliteiten waren complex en duur in aanschaf en onderhoud.  Tegelijkertijd werden steeds meer kleinere organisaties, door het ontbreken van wachtwoord management, zich bewust van de beveiligingsrisico’s. Men kwam in de zoektocht naar een goede beveiligingsoplossing al snel uit bij password managers voor consumenten.

Password managers voor consumenten bieden de gebruiker de mogelijkheid om wachtwoorden (onbeveiligd) op te slaan. Maar juist deze oplossingen missen PAM functionaliteiten die voor bedrijven essentieel zijn voor de beveiliging van de organisatie. Consumenten software zal namelijk nooit het gewenste beveiligingsniveau leveren.

Wij zijn van mening dat ieder bedrijf toegang moet hebben tot een Enterprise waardige PAM oplossing. Tegenwoordig zijn tools ontwikkeld met intuïtieve interfaces waardoor ze makkelijk in gebruik zijn, en is ook de installatie niet meer ingewikkeld. Daardoor zijn ze ook meer toegankelijk voor de kleinere organisaties. Cyberattacks op kleinere organisaties gebeuren juist vaker dan je denkt en uit recent onderzoek is gebleken dat 67% van de organisaties met minder dan 1000 werknemers een cyberaanval hebben gehad en 58% zelfs een breach hebben ervaren.

Om een weloverwogen keuze te maken tussen een PAM oplossing en een password manager zou je eerst willen weten wat de verschillen zijn. Om jullie als organisatie te helpen in deze keuze, geven wij graag een toelichting hierop.

Password managers zijn oplossingen die gebruikers eigenlijk alleen user accounts, ID’s en wachtwoorden laten opslaan. In tegenstelling tot een Privileged Access Management oplossing die naast het opslaan van de wachtwoorden ook inzicht geeft in het gebruik, het gebruikersaccount beheert, kwetsbare gegevens beschermt en regelgeving op grote schaal binnen de organisatie toepasbaar maakt.

Als er alleen interesse is in het beschermen van wachtwoorden die aan individuele gebruikers gekoppeld zijn, is een password manager voldoende voor je. Maar ben je een groeiende, veranderende organisatie met verschillende technologieën in gebruik verdeeld over verschillende afdelingen, dan kan een password manager niet de veranderingen binnen de organisatie bijhouden.

In tegenstelling tot een password manager zal een Privileged Access Management oplossing alle verschillende soorten credentials die toegang geven tot de volledige IT infrastructuur beheren en managen. Een Privileged Access Management oplossing voorziet organisaties niet alleen van een wachtwoordkluis, maar is ook een oplossing die het mogelijk maakt het beheer te doen op gebruikers accounts die niet toegekend zijn aan een normale gebruiker (denk hierbij aan superusers, gedeelde accounts, service accounts enzovoorts)

Een wachtwoord zegt niets over een gebruiker en met een wachtwoord kun je niet aantonen of je ook daadwerkelijk bent wie je zegt dat je bent. Security frameworks vragen vaak om een tweede level van verificatie voordat een gebruiker toegang heeft tot gevoelige informatie. Met een password manager zou je dus two-factor authenticatie moeten instellen.

Met een password manager heeft de IT afdeling geen inzicht in welke wachtwoorden gebruikers opslaan: Zijn dat alle wachtwoorden of is het maar een deel hiervan? Alleen een PAM oplossing kan alle privilege accounts herkennen en managen binnen de organisatie. Hierdoor heb je als beheerder volledige overzicht en inzicht in het beheer van de accounts.

Met een password manager leg je de verantwoording van het wijzigen van wachtwoorden en het up to date houden hiervan in de systemen bij de gebruiker. Dit met als gevolg dat het vaak een ondergeschoven kindje wordt omdat gebruikers dit vergeten of er geen tijd voor hebben.

PAM oplossingen bieden juist de mogelijkheid om centraal en tegelijk wachtwoorden te wijzigen of te rouleren. Waar je met een password manager geen garantie hebt dat je na het wijzigen van een wachtwoord ook nog de betreffende systemen in kan, heb je die garantie met een PAM oplossing wel. Een PAM oplossing kan namelijk aan de hand van dependencies de wachtwoorden roteren op de doelmachine. Hierdoor wijzig je niet alleen het wachtwoord in de kluis, maar zal dit ook meteen op systemen worden aangepast waardoor je de garantie hebt dat je de toegang blijft behouden. Dit in combinatie met de mogelijkheid om regels toe te passen op het wijzigen van wachtwoorden maakt een PAM oplossing een “must have” voor iedere organisatie. Met regels kun je bijvoorbeeld instellen dat na het wijzigen van het wachtwoord dit beschikbaar is voor slechts een bepaalde periode (tijdelijke toegang), kunnen externe consultants inloggen zonder de wachtwoorden te zien,en kun je bijvoorbeeld ook beperken hoeveel mensen tegelijk mogen inloggen.

Het beveiligen van de accounts die toegang geven tot de meest kwetsbare systemen is niet voldoende om een (verplichte) audit succesvol te doorstaan. Hiervoor moet je namelijk kunnen aantonen wanneer er, door wie er, op welke machine ingelogd is en wat de werkzaamheden daar waren. Al deze handelingen en meer worden bijgehouden in logs en reports. Door deze gegevens gedetailleerd beschikbaar te hebben kan een audit succesvol worden afgerond.

Eén van de uitdagingen binnen IT teams is dat er vaak verschillende software en systemen aanwezig zijn die niet samenwerken. Kostbare tijd gaat verloren als je in een password manager de credentials moet aanpassen, maar vervolgens zijn deze nieuwe credentials niet gewijzigd in bijvoorbeeld je SIEM tool. Door integraties met veel gebruikte software bespaard een PAM oplossing veel kostbare tijd en reduceert de kans op fouten en het verstoren van processen.

Wilt u meer informatie over waarom een PAM oplossing een must-have is. De experts van Aditus vertellen u graag meer.

welcome@aditus.nl