We hebben het allemaal weleens gezien: je begint aan een nieuwe baan of bezoekt een kantoor voor een salesgesprek en ziet dat het gedeelde wifiwachtwoord op elk whiteboard staat geschreven. Zelfs als het niet overal is opgeschreven, is het waarschijnlijk makkelijk te raden – probeer de bedrijfsnaam met 123 erachter, of vervang de E's door 3'en.
Zelfs bij bedrijven met moeilijk te raden draadloze wachtwoorden is de kans klein dat het wachtwoord de laatste keer dat iemand het bedrijf verliet, is gewijzigd. Het is tenslotte een grote verstoring van de productiviteit.
Dit is duidelijk geen goede wachtwoordhygiëne; een gedeeld wachtwoord (dat mogelijk makkelijk te raden is) en zelden wordt gewijzigd, is allesbehalve veilig.
Maar maakt het echt uit?
Het antwoord is, zoals bij bijna alles, “dat hangt ervan af.” Er zijn scenario's waarin een gecompromitteerd draadloos netwerk een reële bedreiging vormt voor het productiesysteem, en er zijn scenario's waarin het kantoornetwerk (door zorgvuldig ontwerp) helemaal geen wachtwoord nodig heeft.
Voor de meeste bedrijven is netwerkbeveiliging echter van cruciaal belang, en onveilige wachtwoorden kunnen een grote kwetsbaarheid vormen.
Wat is er mis met een gedeeld draadloos wachtwoord?
Er zijn verschillende grote risico's verbonden aan een gedeeld wifiwachtwoord. Een gedeeld wachtwoord vergroot de kans dat een aanvaller het ontdekt en toegang krijgt tot je bedrijfs-LAN.
Hoewel minder bedrijven vertrouwelijke middelen op hun bedrijfs-LAN onderhouden, vormt je kantoor nog steeds een concentratie van medewerkers, die mogelijk de bestandsdeling of firewalldiensten op hun laptops hebben versoepeld. Sommige bedrijven gebruiken lokale network attached storage (NAS) voor back-ups. Zelfs als hackers geen toegang krijgen tot vertrouwelijke bronnen, kan een aanvaller nog steeds “pwn3d” op je kantoorprinter afdrukken totdat het papier op is.
In het meest waarschijnlijke geval kan de aanvaller profiteren van een verhoogd toegangsniveau dat wordt verleend door verkeer via het openbare IP-adres van je kantoor te sturen. Veel bedrijven whitelisten toegang tot productieservers en resources op basis van het IP-adres van het kantoor of stellen multi-factor authentication vrij voor verkeer vanaf IP-adressen van het kantoor. In deze gevallen heeft een aanvaller vanuit je parkeerplaats een route om je gevoelige gegevens aan te vallen, en je zult dat waarschijnlijk niet opmerken.
SSH-toegang vanaf kantoor naar je servers die op de whitelist staat, brengt relatief weinig risico met zich mee, maar een van de grootste gaten is een webinterface voor "admin" naar je productieservice die vanaf kantoor op de whitelist staat. Beheerwebinterfaces staan meestal erg laag op de prioriteitenlijst voor beveiligingspatches, omdat ze "alleen voor intern gebruik" zijn. Maar een beheerinterface waarop code draait met bekende kwetsbaarheden is een gemakkelijk doelwit om je volledige productiedatabase te compromitteren.
Een ex-medewerker met een appeltje te schillen kan een ander risico vormen. Bedrijven zijn hier extra kwetsbaar, omdat zo'n medewerker specifieke kennis zou hebben van je bedrijf en je architectuur. Ze kunnen nog steeds toegang krijgen tot je netwerk zonder het gebouw zelfs maar binnen te gaan, en deze kennis gebruiken om een bekende zwakke plek aan te vallen.
Wanneer is een gedeeld wachtwoord of geen wachtwoord oké?
Een draadloos netwerk zonder wachtwoord kan handig zijn voor gastnetwerken. Gastnetwerken mogen niet hetzelfde openbare IP-adres gebruiken als je werknemernetwerken, en deze netwerken moeten waarschijnlijk strikte bandbreedtelimieten hebben. De gegevens worden niet versleuteld, maar omdat zoveel verkeer via SSL loopt, is dit niet zo'n groot punt van zorg meer als vroeger.
Voor kantoren is een gedeeld wachtwoord prima, zolang je het wachtwoord wijzigt telkens wanneer een medewerker vertrekt. Uit voorzorg is het aan te raden dat je geen lokale apparaten hebt en het IP-adres nergens op de witte lijst zet. Iedereen die toegang heeft tot productiebronnen moet zijn of haar werknemersgegevens gebruiken (vergeet multi-factor authentication niet!) en/of een VPN gebruiken om er toegang toe te krijgen.
Hoe stap ik af van een gedeeld draadloos wachtwoord?
De volgende stap in draadloze beveiliging is overstappen op een inlogsysteem dat om een gebruikersnaam en wachtwoord vraagt.
Elk belangrijk besturingssysteem heeft hiervoor ingebouwde ondersteuning. Dit betekent dat wanneer je computer probeert zich aan te melden bij een netwerk met WPA2-Enterprise, er niet om het gedeelde wachtwoord van het netwerk wordt gevraagd (dat je inmiddels wel gewend bent te zien), maar dat er in plaats daarvan een dialoogvenster verschijnt waarin om de unieke gebruikersnaam en het wachtwoord van de medewerker wordt gevraagd. Aan de backend communiceert je access point die naam en dat wachtwoord met een RADIUS-server, die "ja" teruggeeft als de naam en het wachtwoord geldig zijn, of anders "nee".
Daardoor kunnen organisaties hun netwerken veilig houden en ongeautoriseerde gebruikers blokkeren, terwijl medewerkers eenvoudiger dan ooit kunnen inloggen en verbinding maken.
Hiervoor is een RADIUS-server vereist. Als je er geen hebt, zijn er cloudgebaseerde RADIUS-oplossingen (zoals Foxpass) die gebruikersnamen en wachtwoorden kunnen valideren aan de hand van interne databases of externe bronnen (zoals Google Apps-accounts).
Als je veilige netwerktoegang en beveiliging wilt, is Foxpass de juiste keuze en biedt het cloud RADIUS en toegangscontrole voor bedrijven van elke omvang. Foxpass heeft een gratis proefperiode van 30 dagen en een supergemakkelijk installatieproces, dus er is geen reden waarom je deze bescherming niet vandaag al kunt hebben. We zijn ook gratis voor organisaties met minder dan 10 gebruikers!
Wi-Fi is een handelsmerk van Wi-Fi Alliance®
