Een veilig wachtwoord dat óók werkbaar is: kan dat?

/Een veilig wachtwoord dat óók werkbaar is: kan dat?

Afgelopen week heb ik onder mijn vrienden een kleine enquête gehouden. Ik heb ze gevraagd wat een veilig wachtwoord is. Ik kreeg mooie antwoorden. Sommigen zeiden dat een veilig wachtwoord minimaal 8 karakters moet hebben. Anderen dat het een combinatie van letters, cijfers en tekens moet zijn. En weer anderen lieten weten dat je je wachtwoord om de paar maanden moet wijzigen. En oh ja, je mag het niet opschrijven of met anderen delen.

Als je echter de top 25 van meest gebruikte wachtwoorden bekijkt, die zijn samengesteld op basis van gehackte databases, dan zie je vooral voor de hand liggende cijfercombinaties en makkelijk te raden wachtwoorden. Ook mijn vrienden gaven met enige schroom toe dat ze hun kennis over veilige wachtwoorden in de praktijk niet naleven.

Hoe komt het toch dat we wel weten wat een veilig wachtwoord is, maar het niet gebruiken? Als ik deze vraag aan medewerkers bij bedrijven stel dan krijg ik steevast het antwoord: ‘Dat kan ik toch allemaal niet onthouden!’ Nu het World Password Day is, is het een mooi moment om het traditionele wachtwoordbeleid eens onder de loep te nemen.

Wil je een veilig wachwoord? Ga voor een wachtzin!

Een wachtwoord met 8 karakters is al lang niet meer afdoende. Volgens de laatste onderzoeken duurt het gemiddeld 2,5 uur om een sterk wachtwoord van 8 karakters te kraken. Wil je een moeilijk te kraken wachtwoord? Ga dan voor veel tekens. Gebruik bij voorkeur een wachtzin, die bestaat uit meerdere woorden. Dat is beter dan een kort complex wachtwoord.

Verplicht wachtwoord wijzigen: is dat nog van deze tijd?

De meest bedrijven verplichten je om iedere 2 maanden je wachtwoord te wijzigen. Heb je, net als ik, veel wachtwoorden? Mag je hetzelfde wachtwoord niet meerdere keren gebruiken voor verschillende applicaties? En moeten al je wachtwoorden uit lange wachtzinnen bestaan? Dan snap je waarom mensen voor de hilarisch eenvoudige wachtwoorden uit de top 25 kiezen.

In navolging van de NIST 800-63B publicatie uit 2017 heeft Microsoft deze week aangekondigd de verplichte wachtwoordwijzigingen af te gaan schaffen. Eindelijk komt de mens centraal te staan. En wordt er niet meer gekeken naar wat in theorie een sterk wachtwoord is, maar wat voor mensen werkbaar is.

Stel two-factor authentication in

Laten we eens een andere benadering kiezen en uitgaan van de risico’s. De meeste hacks beginnen met een phishingmail. Klik je op de link? Dan word je naar een landingspagina gestuurd waar om je inloggegevens wordt gevraagd. Verbazingwekkend veel mensen trappen hier nog steeds in. Zonder enige moeite worden zo de meest complexe wachtwoorden achterhaald.

De enige manier om phishingaanvallen te stoppen, is mensen vaardigheden bijbrengen om phishingaanvallen te herkennen. Ook moet je ervoor zorgen dat achterhaalde wachtwoorden niet kunnen worden hergebruikt. Hiervoor kan je two-factor authentication (2FA) inzetten. In het verleden werd hierbij vaak SMS gebruikt. Tegenwoordig zie je vaker een authenticator app. Bijna alle belangrijke clouddiensten zoals Office365, Gmail, Facebook en LinkedIn ondersteunen 2FA. Op Two Factor Auth List vind je de applicaties die 2FA ondersteunen en hoe je dit kunt instellen. Met 2FA voorkom je ook dat je hackers je wachtwoord kunnen gebruiken als ze dit achterhalen via ‘shoulder surfing’, ofwel door mee te kijken als je je wachtwoord intypt.

Gebruik een passwordmanager

Kan je al die verschillende wachtwoorden niet onthouden? Dan biedt een passwordmanager uitkomst. Het voordeel is dat een passwordmanager je wachtwoorden automatisch invult. Je wachtwoorden zijn daardoor niet zichtbaar voor de mensen om je heen. Omdat de passwordmanager al je wachtwoorden onthoudt, hoef je je ook niet druk te maken om de lengte van het wachtwoord. De meeste passwordmanagers kunnen automatisch lange complexe wachtwoorden voor je genereren. Op internet zijn verschillende onderzoeken te vinden die verschillende passwordmanagers vergelijken.

Veel mensen zijn bang om passwordmanagers te gebruiken omdat alle wachtwoorden in één systeem staan. Maar zoals de Australische security onderzoeker Troy Hunt zo mooi zei: ‘Password managers don’t have to be perfect, they just have to be better than not having one.’

Check of je wachtwoord is gehacked

Hoe veilig je ook met je wachtwoorden omgaat, ze kunnen altijd op straat komen te liggen, zonder dat je daar zelf iets aan kunt doen. Zo kan een webwinkel waarbij je klant bent, gehacked worden. Soms worden daarbij hele databases met wachtwoorden buitgemaakt. Houd daarom in de gaten welke websites gehacked zijn en of jouw wachtwoord daarbij betrokken is. Alleen dan weet je of je je wachtwoord moet veranderen.

Er zijn verschillende websites waar je kan checken of jouw wachtwoord bij een hack betrokken is. De meest bekende website is Have I been Pwned van de Australische Troy Hunt. Je kan hier ook je e-mailadres achterlaten, zodat je automatisch een berichtje ontvangt als je account in een gehackte database verschijnt. Houd je het liever dicht bij huis? Maak dan gebruik van Scattered Secrets van de Nederlandse Rickey Gevers en Jeroen van Beek. Hun dienst brengt je tegen een kleine vergoeding automatisch op te hoogte als je account in een gehackte database verschijnt.

Laten we World Password Day aangrijpen om afscheid te nemen van het idee dat mensen iedere 2 maanden tientallen uiterst ingewikkelde wachtwoorden kunnen verzinnen en onthouden. In een user-centric security organisatie staat de medewerker centraal. Door goede opleiding en medewerkers met de juiste tooling te ondersteunen, zijn wachtwoorden wel veilig én gebruiksvriendelijk te gebruiken.

Meer weten?

Wil je je medewerkers ondersteunen bij veilig én werkbaar wachtwoordgebruik? Vul dan het contactformulier in of neem contact op met Wilbert Pijnenburg.
jvyoreg.cvwaraohet@orbarqrirybczrag.pbz
✆ +31 (0)6 109 62 719

2019-05-02T14:53:43+01:002 mei 2019|
mattis massa libero velit, mi, non ut