Wachtwoorden zijn nog steeds de wereld niet uit en blijven dus een essentieel onderdeel van elk informatiebeveiligingssysteem. Veel bedrijven verplichten hun medewerkers om meerdere keren per jaar hun wachtwoord te wijzigen, en terecht. Het is één van de redelijke voorzorgsmaatregelen voor grote bedrijven met duizenden medewerkers die elk mogelijk risico willen beperken. Echter, het menselijk gedrag is voorspelbaar en hiervan maken hackers graag gebruik.
Hackers begrijpen dat mensen niet voor elke website een uniek wachtwoord kunnen onthouden en dat het lastig is om steeds sterke wachtwoorden te bedenken wanneer bedrijven hen vragen deze te wijzigen. Dit leidt tot voorspelbare patronen. Vaak maken mensen eenvoudige aanpassingen, zoals het toevoegen van een cijfer of het vervangen van een teken. Een wachtwoord als “Wachtwoord123” wordt bij de volgende wijziging bijvoorbeeld “Wachtwoord1234”. Hackers zijn zich hiervan bewust en gebruiken eenvoudige tools om dit soort variaties snel te achterhalen.
Het verplicht regelmatig wijzigen van wachtwoorden veroorzaakt vaak frustraties bij werknemers. Dit kan ertoe leiden dat zij zwakkere wachtwoorden kiezen of deze opschrijven, wat de beveiliging juist verzwakt. Sommige beveiligingsmaatregelen lijken op papier heel efficiënt, maar de realiteit is wat echt telt.
Een sterk wachtwoordbeleid is daarom ook essentieel als één van de bouwstenen van een op maat gemaakte informatiebeveiligingsstrategie voor een bedrijf.
Net zoals de wereld van informatiebeveiliging voortdurend evolueert, veranderen ook de aanbevelingen rond wachtwoorden van diverse bronnen. Om overzicht te behouden, beschrijf ik hier best practices die aansluiten bij de meest recente aanbevelingen, met een focus op het vinden van een gezonde balans tussen beveiliging en gebruiksgemak.
Best practices voor een sterk wachtwoordbeleid
Het wordt aangeraden om binnen het bedrijf wachtwoordmanagers te promoten, aangezien deze de zorgen van veel medewerkers verlichten, zoals: hoe kunnen we voor elk systeem een complex wachtwoord onthouden? Daarnaast adviseren we dat wachtwoorden minimaal 8 tekens lang zijn, met een maximum van 64 tekens. Hoewel wachtwoorden langer mogen zijn, willen we voorkomen dat systemen buitensporig veel tijd nodig hebben om een wachtwoord te verwerken. Het is sterk af te raden om eindgebruikers de mogelijkheid te geven om bij hun inlogpoging een hint op te slaan, zoals bijvoorbeeld “de plek waar je geboren bent.” In het slechtste geval gebruiken mensen dergelijke hints en vullen ze hun wachtwoord zelf in om op te slaan.
Tijdens het verwerken van een nieuw wachtwoord van een gebruiker in een systeem zou naar het volgende moeten worden gekeken:
- Komt het wachtwoord voor in een lijst met veel voorkomende wachtwoorden e.g.: wachtwoord123
- Komt het wachtwoord voor in een lijst met eerder gelekte wachtwoorden
- Bestaat het wachtwoord uit repetitieve of opeenvolgende tekens e.g.: 111111111111
- Bestaat het wachtwoord uit contextspecifieke woorden, zoals de naam van de applicatie, de gebruikersnaam en/of afgeleiden daarvan.
Indien later blijkt dat het wachtwoord van een medewerker is gelekt, zou de medewerker verplicht moeten worden om zijn wachtwoord te wijzigen.
Daarnaast adviseren we om voor gebruikte systemen een limiet in te stellen voor het aantal foutieve inlogpogingen, zodat hackers slechts een beperkt aantal kansen hebben om toegang te krijgen tot het account. Zorg er wel voor dat beheerders de “locked” accounts kunnen ontgrendelen, anders kunnen hackers mogelijk alle gebruikers van het systeem blokkeren.
Medewerkers zouden in staat moeten zijn om hun wachtwoorden in het invoerveld van een applicatie te plakken. Dit vergemakkelijkt het gebruik van wachtwoordmanagers, wat de kans vergroot dat gebruikers sterkere en unieke wachtwoorden kiezen.
Sommige lezers hadden wellicht verwacht dat we aanraden om in elk wachtwoord minstens één hoofdletter, cijfer, enzovoort verplicht te stellen, of om werknemers elk jaar hun wachtwoord te laten wijzigen. We doen deze aanbeveling echter niet, omdat dit vaak resulteert in zwakkere wachtwoorden voor mensen die geen gebruik maken van wachtwoordmanagers. Wij geven de voorkeur aan lengte boven complexiteit.
Het gebruik van multi-factor authenticatie (MFA) en Single Sign-On (SSO) wordt ten zeerste aanbevolen, maar de reden waarom dit belangrijk is, wordt in een andere blog verder toegelicht.
