Wachtwoorden hoeven niet meer te verlopen

Het regelmatig laten verlopen van wachtwoorden was lange tijd een standaardmaatregel om IT-systemen veilig te houden. Maar uit recente inzichten blijkt dat dit beleid vaak averechts werkt: gebruikers kiezen hierdoor simpelere of voorspelbare wachtwoorden, wat de beveiliging juist verzwakt. In deze blogpost leggen we uit waarom het tijd is om afscheid te nemen van deze verouderde praktijk en hoe moderne beveiligingsmethoden veel effectiever zijn.

Verlopen wachtwoorden

Iedereen kent het wel; je komt terug van vakantie en je wachtwoord is verlopen, maar ook regelmatig de welbekende grappen over dat het seizoen is veranderd en dat het weer tijd is om je wachtwoord te veranderen van Zomer2024! naar Herst2024!.

Door te vaak te vereisen dat gebruikers hun wachtwoorden moeten veranderen is men sneller geneigd om een cijfer in het wachtwoord op te hogen, er een leesteken bij te plakken of een makkelijk te onthouden wachtwoord te verzinnen.

NIST regelgeving

Het Amerikaanse NIST (National Institute of Standards and Technology) schrijft een wachtwoordbeleid voor waarin het in twee gevallen nodig om te vereisen van gebruikers dat ze hun wachtwoord wijzigen:

In het geval dat het duidelijk is dat er een wachtwoord gecompromitteerd is door bijvoorbeeld phishing of een datalek – waarbij het volkomen logisch is dat het wachtwoord veranderd moet worden
Eens per jaar; hierdoor wordt het voor de gebruiker een stuk minder storend en zullen ze een beter wachtwoord verzinnen – en is er vaak veel meer begrip over waarom dit moet gebeuren

MFA

Een essentieel ondereel van de beveiligingsstrategie hierbij moet dan natuurlijk wel zijn dat er MFA (Multi-Factor Authentication) wordt gebruikt én afgedwongen.
Hierbij worden de gebruikersnaam & wachtwoord van de gebruiker niet meer de enige sleutel tot informatie, maar komt eren factor bij door middel van een notificatie via een app, een OTP (One Time Password) of een (hardware-)token zoals een Yubikey. Door deze extra laag wordt het wachtwoord een stuk minder belangrijk.

Passkeys

Een andere oplossing is het gebruik van een passkey; wat feitelijk inhoudt dat er kan worden ingelogd met de combinatie van een private key en een public key die cryptografisch gegenereerd worden. Het grootste voordeel hiervan is dat deze keys gebonden zijn aan een URL of service en dus, mits goed geïmplementeerd, zeer goed bestend zijn tegen phishing.

Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?

Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.

Meer weten? Neem contact met ons op!

Neem contact met ons op

Meer artikelen

Ransomware bende gebruikt webcam om systemen te versleutelen7 maart 2025
Ransomware bende gebruikt webcams om ransomware ongezien in een netwerk te verspreiden.
Malware vermomd als CAPTCHA-verificatie17 februari 2025
Nieuwe malware doet zich voor als een defecte CAPTCHA. Gebruikers volgen herstelinstructies, maar voeren zo onbewust malware uit.
Biometrische authenticatie & deepfakes7 februari 2025
Biometrische beveiliging is kwetsbaar door deepfakes. Geavanceerde AI kan vingerafdrukken, gezichten en stemmen nabootsen, wat serieuze risico’s oplevert.
Schaduw AI: innovatie & verborgen gevaren10 januari 2025
Het is in steeds meer software en oplossingen terug te vinden: AI. Binnen organisaties worden deze AI-oplossingen ook steeds meer als hulpmiddel gebruikt om diverse taken uit te oefenen zoals het genereren van teksten of zelfs hele presentaties. Maar wie gebruikt er AI binnen de organisatie en welke AI-oplossingen worden er ingezet?
Proof-of-concept exploit laat Windows Domain Controllers crashen3 januari 2025
Er is een proof-of-concept exploit uitgebracht welke misbruik maakt van het al gedichtte lek in Microsoft Windows onder noemer CVE-2024-49113. Door deze PoC kunnen kwetsbare Domain Controllers crashen en rebooten door een speciaal gefabriceerd LDAP-request te sturen.