Wachtwoorden zijn nog steeds de wereld niet uit en blijven dus een essentieel onderdeel van elk informatiebeveiligingssysteem. Veel bedrijven verplichten hun medewerkers om meerdere keren per jaar hun wachtwoord te wijzigen, en terecht. Het is één van de redelijke voorzorgsmaatregelen voor grote bedrijven met duizenden medewerkers die elk mogelijk risico willen beperken. Echter, het menselijk gedrag is voorspelbaar en hiervan maken hackers graag gebruik.
Hackers begrijpen dat mensen niet voor elke website een uniek, sterk wachtwoord kunnen onthouden en dat het lastig is om steeds sterke wachtwoorden te bedenken wanneer bedrijven hen vragen deze te wijzigen. Dit leidt tot voorspelbare patronen. Vaak maken mensen eenvoudige aanpassingen, zoals het toevoegen van een cijfer of het vervangen van een teken. Een wachtwoord als “Wachtwoord123” wordt bij de volgende wijziging bijvoorbeeld “Wachtwoord1234”. Hackers zijn zich hiervan bewust en gebruiken eenvoudige tools om dit soort variaties snel te achterhalen.
Het verplicht regelmatig wijzigen van wachtwoorden veroorzaakt vaak frustraties bij werknemers. Dit kan ertoe leiden dat zij net zwakkere i.p.v. sterkere wachtwoorden kiezen of deze opschrijven, wat de beveiliging juist verzwakt. Sommige beveiligingsmaatregelen lijken op papier heel efficiënt, maar de realiteit is wat echt telt.
Een sterk wachtwoordbeleid is daarom ook essentieel als één van de bouwstenen van een op maat gemaakte informatiebeveiligingsstrategie voor een bedrijf.
Net zoals de wereld van informatiebeveiliging voortdurend evolueert, veranderen ook de aanbevelingen rond wachtwoorden van diverse bronnen. Om overzicht te behouden, beschrijf ik hier best practices die aansluiten bij de meest recente aanbevelingen, met een focus op het vinden van een gezonde balans tussen beveiliging en gebruiksgemak.
Best practices voor een sterk wachtwoordbeleid
Wachtwoordmanagers
Veel mensen gebruiken dezelfde wachtwoorden voor meerdere accounts, wat riskant is. Als één account gehackt wordt, kunnen hackers toegang krijgen tot andere accounts. Een wachtwoordmanager genereert en bewaart sterke, unieke wachtwoorden voor elke website. Het wordt aangeraden om binnen het bedrijf wachtwoordmanagers te promoten, aangezien deze de zorgen van veel medewerkers verlichten, zoals: hoe kunnen we voor elk systeem een complex wachtwoord onthouden? In plaats van tientallen wachtwoorden te onthouden, hoef je alleen maar één hoofdwachtwoord te onthouden om toegang te krijgen tot de wachtwoordmanager.
Daarnaast adviseren we dat wachtwoorden minimaal 8 tekens lang zijn, met een maximum van 64 tekens. Hoewel wachtwoorden langer mogen zijn, willen we voorkomen dat systemen buitensporig veel tijd nodig hebben om een wachtwoord te verwerken. Het is sterk af te raden om eindgebruikers de mogelijkheid te geven om bij hun inlogpoging een hint op te slaan, zoals bijvoorbeeld “de plek waar je geboren bent.” In het slechtste geval gebruiken mensen dergelijke hints en vullen ze hun wachtwoord zelf in om op te slaan.
Medewerkers zouden in staat moeten zijn om hun wachtwoorden in het invoerveld van een applicatie te plakken. Dit vergemakkelijkt het gebruik van wachtwoordmanagers, wat de kans vergroot dat gebruikers sterkere en unieke wachtwoorden kiezen.
Multi-Factor Authenticatie (MFA) en Single Sign-On (SSO)
Wat is Multi-Factor Authenticatie (MFA)?
MFA voegt een extra beveiligingslaag toe aan je accounts door naast een wachtwoord ook een tweede verificatiemethode te vereisen. Dit kan een eenmalige code via SMS, een authenticator-app of biometrische verificatie (zoals een vingerafdruk) zijn. Hierdoor wordt het voor hackers veel moeilijker om toegang te krijgen, zelfs als ze je wachtwoord hebben.
Voordelen van MFA?
Extra beveiliging: Beschermt tegen wachtwoordlekken en phishing-aanvallen.
Lagere kans op accountdiefstal: Hackers hebben meer nodig dan alleen een wachtwoord.
Naleving van regelgeving: Veel bedrijven zijn verplicht MFA te implementeren om te voldoen aan beveiligingsnormen.
Wat is Single Sign-On (SSO)?
SSO stelt gebruikers in staat om met één set inloggegevens toegang te krijgen tot meerdere applicaties en platforms. Dit vermindert de noodzaak om meerdere wachtwoorden te onthouden en verlaagt het risico op zwakke of hergebruikte wachtwoorden. Het is belangrijk dat je unieke en sterke wachtwoorden gebruikt voor je SSO-account.
Door MFA en SSO te combineren, profiteer je van zowel sterke authenticatie als gebruiksgemak. Met SSO verminder je het aantal wachtwoorden dat een gebruiker nodig heeft, terwijl MFA zorgt voor een extra beveiligingslaag als extra verificatie vereist is.
Limiet op het aantal foutieve inlogpogingen
Daarnaast adviseren we om voor gebruikte systemen een limiet in te stellen voor het aantal foutieve inlogpogingen, zodat hackers slechts een beperkt aantal kansen hebben om toegang te krijgen tot het account. Zorg er wel voor dat beheerders de “locked” accounts kunnen ontgrendelen, anders kunnen hackers mogelijk alle gebruikers van het systeem blokkeren.
Veel voorkomende fouten
Tijdens het verwerken van een nieuw wachtwoord van een gebruiker in een systeem zou naar het volgende moeten worden gekeken:
- Komt het wachtwoord voor in een lijst met veel voorkomende wachtwoorden e.g.: wachtwoord123
- Komt het wachtwoord voor in een lijst met eerder gelekte wachtwoorden
- Bestaat het wachtwoord uit repetitieve of opeenvolgende tekens e.g.: 111111111111
- Bestaat het wachtwoord uit contextspecifieke woorden, zoals de naam van de applicatie, de gebruikersnaam en/of afgeleiden daarvan.
Indien later blijkt dat het wachtwoord van een medewerker is gelekt, zou de medewerker verplicht moeten worden om zijn wachtwoord te wijzigen.
Sommige lezers hadden wellicht verwacht dat we aanraden om in elk wachtwoord minstens één hoofdletter, cijfer, enzovoort verplicht te stellen, of om werknemers elk jaar hun wachtwoord te laten wijzigen. We doen deze aanbeveling echter niet, omdat dit vaak resulteert in zwakkere wachtwoorden voor mensen die geen gebruik maken van wachtwoordmanagers. Wij geven de voorkeur aan lengte boven complexiteit.
