Skip to end of banner
Go to start of banner

BIN - Inloggen en wachtwoorden

Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Current »

Inleiding

Dit document beschrijft het inloggen en de specificatie voor wachtwoorden. Aan het inloggen zijn vooraf aan het ontwikkeltraject geen andere eisen gesteld, dan dat two-factor-authenticatie (2FA) vereist was. Gedurende het ontwikkelen heeft het inloggen vorm gekregen. Enkele wensen die daaruit zijn ontstaan, zijn nog niet ingevuld of is verbetering wenselijk.

Beschrijving

Zie voor een beschrijving van de gebruikers document ‘BRL - Beheerdersrollen’.

BIN - Eisen (en aanbevelingen) inloggen

Eisen (en aanbevelingen) inloggen:

#

Eis

001

Gebruikersnaam is minimaal 6 karakters en alfanumeriek, zonder spaties en tekens.

002

Gebruikersnaam mag na aanmaken niet gewijzigd worden.

003

Toegang met Two-Factor Authenticatie (2FA) voor beheerders is vereist en mag niet uitgeschakeld kunnen worden.

004

Wachtwoord moet voldoen aan de eisen van security. Zie specificaties hieronder.

005

Het moet mogelijk zijn om testusers aan te maken.

006

Ingevoerde nieuwe wachtwoord moet herhaald worden voor verificatie.

007

Bij eerste keer aanloggen of op verzoek gebruiker wordt een QR code getoond, die ingescand kan worden in een authenticator app, zodat het account gekoppeld kan worden aan de app.

008

Er zijn geen restricties m.b.t. welke authenticator app gebruikt mag worden.

009

Indien een verkeerd wachtwoord of een verkeerde 2FA code wordt ingevoerd verschijnt de melding: 'Het aanmelden is mislukt. Dit kan komen doordat uw gegevens onjuist zijn en/of uw account geblokkeerd is.' (Er kan geen onderscheid gemaakt worden tussen een ongeldige gebruikersnaam/wachtwoord/code en een account dat geblokkeerd is.)

010

Wordt voor de 5e keer fout ingelogd dan verschijnt '503 service unavailable' pagina. (Dit is standaard IRIS gedrag.) (In de tst omgeving is dat een '403 Forbidden' pagina.)

011

De ingelogde user is zichtbaar op het scherm, en heeft de mogelijkheid om uit te loggen uit de beheerapplicatie.

012

Een mislukte aanlog poging moet zichtbaar worden in de application log. In dit geval moet een log regel gemaakt worden met “Foutieve inlogpoging“, datum/tijd, eventuele gebruiker.
In de details van de log regel moet de afzender staan (indien beschikbaar).

N.B. Het is niet mogelijk om met 2 verschillende user binnen dezelfde browser aan te loggen. Dit heeft met de cookies in de browser te maken.

 

Er staan nog verschillende verbeterpunten open die nog gespecificeerd moeten worden, o.a.:

  • Toevoegen functie als 'Wachtwoord vergeten?'

  • Notificatie-email naar oude emailadres bij wijzigen emailadres.

  • Specificeren verlopen wachtwoord na 60(?) dagen en wat dan.

Dit betekent dat voor veel acties contact met KT Support opgenomen moet worden.

N.B. voor het wijzigen van wachtwoorden emailadressen is door KT Support een (tijdelijke) procedure afgesproken. Tevens is er een procedure afgesproken voor de jaarlijkse controle van gebruikers door KT Support.

Van Security zijn de volgende algemene specificaties voor wachtwoorden ontvangen:

#

Eis

001

Voor gewone gebruikers: Een sterk wachtwoord is een wachtwoord bestaande uit minimaal 12 karakters, bestaande uit letters, minimaal 1 hoofdletter, 1 cijfer en 1 leesteken. Het is niet toegestaan om herhaalde of opeenvolgende tekens (bijvoorbeeld 'aaaaaa', '1234abcd') te gebruiken. Deze instellingen moeten worden afgedwongen. --> N.B. Deze eis is in overleg, n.a.v. ondervonden problemen, voor Koppeltaal aangepast: Het is mogelijk om 2 zelfde of opeenvolgende tekens te gebruiken.

002

Voor het wijzigen van wachtwoorden wordt de periode afgestemd op het risicoprofiel. Best practices bij NIST geven nu zelfs grote termijn aan (2 jaar). Bij het wijzigen moeten afgedwongen worden dat niet hetzelfde wachtwoord gebruikt kan worden (wachtwoord historie van 10 vorige wachtwoorden).

003

Wachtwoorden worden in beveiligde vorm (onleesbaar/gehashed en gesalt) opgeslagen in systemen.

004

Standaard wachtwoorden en accounts moeten direct worden gewijzigd.

005

Gebruikers worden geïnstrueerd wachtwoorden geheim te houden, niet hetzelfde wachtwoord op meerdere plekken te gebruiken, niet te delen met anderen en niet te gebruiken bij zelf gemaakte inlogprocessen via b.v. scripts of macro’s.

006

Wachtwoorden voor accounts met admin (root) rechten worden bij voorkeur éénmalig uitgegeven met een vooraf gedefinieerde expiratie tijd (one time password en Account Checkout).

007

Wachtwoorden voor service accounts en local admin accounts zijn door één beheerder aangemaakt, minimaal 20 karakters lang en worden bewaard in een password manager.

008

Voor functionele accounts, zoals een service-/local admin accounts, dient een natuurlijk persoon aangewezen te worden die er voor verantwoordelijk is.

009

Na 10 foutieve inlogpogingen wordt de account gelock. --> N.B. Deze eis is anders geimplementeerd in Koppeltaal: Het account wordt uitgeschakeld na 5 keer invoeren fout wachtwoord en/of 5 keer invoeren van een foute 2FA code.

  • No labels