Wachtwoorden hoeven niet meer te verlopen
Het regelmatig laten verlopen van wachtwoorden was lange tijd een standaardmaatregel om IT-systemen veilig te houden. Maar uit recente inzichten blijkt dat dit beleid vaak averechts werkt: gebruikers kiezen hierdoor simpelere of voorspelbare wachtwoorden, wat de beveiliging juist verzwakt. In deze blogpost leggen we uit waarom het tijd is om afscheid te nemen van deze verouderde praktijk en hoe moderne beveiligingsmethoden veel effectiever zijn.
Verlopen wachtwoorden
Iedereen kent het wel; je komt terug van vakantie en je wachtwoord is verlopen, maar ook regelmatig de welbekende grappen over dat het seizoen is veranderd en dat het weer tijd is om je wachtwoord te veranderen van Zomer2024! naar Herst2024!.
Door te vaak te vereisen dat gebruikers hun wachtwoorden moeten veranderen is men sneller geneigd om een cijfer in het wachtwoord op te hogen, er een leesteken bij te plakken of een makkelijk te onthouden wachtwoord te verzinnen.
NIST regelgeving
Het Amerikaanse NIST (National Institute of Standards and Technology) schrijft een wachtwoordbeleid voor waarin het in twee gevallen nodig om te vereisen van gebruikers dat ze hun wachtwoord wijzigen:
- In het geval dat het duidelijk is dat er een wachtwoord gecompromitteerd is door bijvoorbeeld phishing of een datalek – waarbij het volkomen logisch is dat het wachtwoord veranderd moet worden
- Eens per jaar; hierdoor wordt het voor de gebruiker een stuk minder storend en zullen ze een beter wachtwoord verzinnen – en is er vaak veel meer begrip over waarom dit moet gebeuren
MFA
Een essentieel ondereel van de beveiligingsstrategie hierbij moet dan natuurlijk wel zijn dat er MFA (Multi-Factor Authentication) wordt gebruikt én afgedwongen.
Hierbij worden de gebruikersnaam & wachtwoord van de gebruiker niet meer de enige sleutel tot informatie, maar komt eren factor bij door middel van een notificatie via een app, een OTP (One Time Password) of een (hardware-)token zoals een Yubikey. Door deze extra laag wordt het wachtwoord een stuk minder belangrijk.
Passkeys
Een andere oplossing is het gebruik van een passkey; wat feitelijk inhoudt dat er kan worden ingelogd met de combinatie van een private key en een public key die cryptografisch gegenereerd worden. Het grootste voordeel hiervan is dat deze keys gebonden zijn aan een URL of service en dus, mits goed geïmplementeerd, zeer goed bestend zijn tegen phishing.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Zero Trust: SegmentatieMet segmentatie kun je laterale beweging, het verplaatsen van het ene naar het andere systeem, binnen de organisatie beperken. Dit zorgt ervoor dat geautoriseerde gebruikers voor hen benodigde delen kunnen bereiken maar ook dat aanvallen beperkt blijven tot één systeem en geen verdere schade kunnen aanrichten.
- Zero Trust: Identity & Access Management (IAM)Met Identity & Access Management (IAM) draait het om het controleren van wie er waar en wanneer toegang heeft tot welke resources. Dit omvat onder andere authenticatie, autorisatie en audit trails (AAA model).
- Cybercriminelen gebruiken Microsoft Teams om contact te leggen met gebruikersCybercriminelen doen zich voor als IT-support via Teams na spam-e-mails. Wees alert en voorkom dat ze toegang krijgen tot bedrijfsdata.
- Meetbaar voldoen aan normeringen?Met het RiskGuardian-platform voldoe je aan normeringen zoals NEN7510 en ISO27001, en toon je maatregelen aan voor klanten, leveranciers en auditors.
- Wachtwoorden hoeven niet meer te verlopenWachtwoorden laten verlopen verhoogt niet de veiligheid, maar leidt juist tot zwakkere wachtwoorden. Ontdek waarom deze verouderde praktijk niet werkt.