iso27diy-corp/Corpus/Standards/ISO-27002-OST/ISO27002-NL-2022/a-8.5-Beveiligde-authenticatie.md

#iso27002/2022/NL

Standard: ISO 27002:2022 NL

+------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+=====================================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- _en_toegangsbeheer | #Bescherming | +------------------------+----------------------------------------------------+----------------------+-------------------------------------+---------------------+

Beheersmaatregel

Er behoren beveiligde authenticatietechnologieën en -procedures te worden geïmplementeerd op basis van beperkingen van de toegang tot informatie en het onderwerpspecifieke of aanvullende beleid inzake toegangsbeveiliging.

Doel

Bewerkstelligen dat een gebruiker of een entiteit veilig wordt geauthenticeerd wanneer toegang tot systemen, toepassingen en diensten wordt verleend.

Richtlijn

Om de geclaimde identiteit van een gebruiker, software, berichten en andere entiteiten te bewijzen behoort een passende authenticatietechniek te worden gekozen.

De sterkte van authenticatie behoort passend te zijn voor de classificatie van de informatie waartoe toegang wordt verleendngeval krachtige verificatie en authenticatie van de identiteit is vereist, behoren andere authenticatiemethoden dan wachtwoorden te worden gebruikt, zoals digitale certificaten, chipkaarten, tokens of biometrische middelen.

Authenticatie-informatie behoort vergezeld te gaan van aanvullende authenticatiefactoren voor toegang tot essentiële informatiesystemen (ook bekend als multifactorauthenticatie)et gebruik van een combinatie van meerdere authenticatiefactoren, zoals wat je weet, wat je hebt en wat je bent, beperkt de mogelijkheid van onbevoegde toegangultifactorauthenticatie kan worden gecombineerd met andere technieken die aanvullende factoren onder specifieke omstandigheden vereisen, op basis van vooraf gedefinieerde regels en patronen, zoals toegang vanaf een ongebruikelijke locatie, een ongebruikelijk apparaat of op een ongebruikelijk tijdstip.

Biometrische authenticatie-informatie behoort ongeldig te worden gemaakt als deze ooit wordt gecompromitteerdet is mogelijk dat biometrische authenticatie niet beschikbaar is, afhankelijk van de gebruiksomstandigheden (bijvocht of veroudering)m hierop voorbereid te zijn, behoort biometrische authenticatie van ten minste één alternatieve authenticatietechniek vergezeld te gaan.

De procedure om in een systeem in te loggen, behoort zo te worden ontworpen dat het risico op onbevoegde toegang zo klein mogelijk wordt gemaaktr behoren inlogprocedures en -technologieën te worden geïmplementeerd waarbij het volgende in overweging wordt genomen:

a) gevoelige systeem- of toepassingsinformatie pas tonen nadat het inlogproces op geslaagde wijze is

afgerond om zo te vermijden dat een onbevoegde onnodig wordt geholpen;

b) een algemene waarschuwing tonen dat het systeem of de toepassing of dienst alleen toegankelijk is

voor bevoegde gebruikers;

c) geen hulpmeldingen geven tijdens de aanmeldprocedure die een onbevoegde gebruiker zouden helpen (bijvls er zich een fout voordoet, behoort het systeem niet aan te geven welk gedeelte van de gegevens correct of niet correct is);

d) de inloginformatie pas na invoer van alle gegevens valideren;

e) bescherming bieden tegen bruut geweld bij aanmeldpogingen met gebruikersnamen en wachtwoorden (bijvoor gebruik te maken van CAPTCHA, te eisen dat een wachtwoord opnieuw wordt ingesteld na een vooraf bepaald aantal mislukte pogingen of de gebruiker na een maximumaantal fouten te blokkeren);

f) niet-succesvolle en succesvolle pogingen registreren;

g) een beveiligingsgebeurtenis genereren wanneer een potentiële poging tot of succesvolle inbreuk op aanmeldbeheersmaatregelen wordt gedetecteerd (bijven waarschuwing naar de gebruiker en de systeembeheerders van de organisatie sturen wanneer een bepaald aantal verkeerde wachtwoordpogingen is bereikt);

h) de volgende informatie op een apart kanaal tonen of verzenden nadat het inloggen met succes is

voltooid:

1. datum en tijdstip waarop de vorige keer met succes is ingelogd;

2. details van niet-succesvolle pogingen om in te loggen sinds de vorige succesvolle poging om in te

loggen;

i) een wachtwoord terwijl het wordt ingevoerd niet als leesbare tekst tonen; in bepaalde gevallen kan het nodig zijn deze functionaliteit uit te schakelen om de gebruiker te laten inloggen (bijvanwege toegankelijkheidsredenen of om te vermijden dat gebruikers worden geblokkeerd doordat ze meermaals fouten hebben gemaakt);

j) wachtwoorden niet als onversleutelde tekst via een netwerk verzenden om zo te voorkomen dat zij

door een snifferprogramma op het netwerk worden onderschept;

k) inactieve sessies na een bepaalde tijd van inactiviteit beëindigen, vooral op locaties met een hoog risico, zoals openbare of externe locaties die buiten het beveiligingsbeheer van de organisatie vallen, of op 'endpoint devices' van gebruikers;

l) de verbindingsduur beperken om extra beveiliging te bieden voor toepassingen met een hoog risico

en de mogelijkheden voor onbevoegde toegang te verkleinen.

Overige informatie

Aanvullende informatie over de borging van de authenticatie van entiteiten is te vinden in ISO/IEC 29115.