Wachtwoorden hoeven niet meer te verlopen

Wachtwoorden hoeven niet meer te verlopen

Het regelmatig laten verlopen van wachtwoorden was lange tijd een standaardmaatregel om IT-systemen veilig te houden. Maar uit recente inzichten blijkt dat dit beleid vaak averechts werkt: gebruikers kiezen hierdoor simpelere of voorspelbare wachtwoorden, wat de beveiliging juist verzwakt. In deze blogpost leggen we uit waarom het tijd is om afscheid te nemen van deze verouderde praktijk en hoe moderne beveiligingsmethoden veel effectiever zijn.

Verlopen wachtwoorden

Iedereen kent het wel; je komt terug van vakantie en je wachtwoord is verlopen, maar ook regelmatig de welbekende grappen over dat het seizoen is veranderd en dat het weer tijd is om je wachtwoord te veranderen van Zomer2024! naar Herst2024!.

Door te vaak te vereisen dat gebruikers hun wachtwoorden moeten veranderen is men sneller geneigd om een cijfer in het wachtwoord op te hogen, er een leesteken bij te plakken of een makkelijk te onthouden wachtwoord te verzinnen.

NIST regelgeving

Het Amerikaanse NIST (National Institute of Standards and Technology) schrijft een wachtwoordbeleid voor waarin het in twee gevallen nodig om te vereisen van gebruikers dat ze hun wachtwoord wijzigen:

  • In het geval dat het duidelijk is dat er een wachtwoord gecompromitteerd is door bijvoorbeeld phishing of een datalek – waarbij het volkomen logisch is dat het wachtwoord veranderd moet worden
  • Eens per jaar; hierdoor wordt het voor de gebruiker een stuk minder storend en zullen ze een beter wachtwoord verzinnen – en is er vaak veel meer begrip over waarom dit moet gebeuren

MFA

Een essentieel ondereel van de beveiligingsstrategie hierbij moet dan natuurlijk wel zijn dat er MFA (Multi-Factor Authentication) wordt gebruikt én afgedwongen.
Hierbij worden de gebruikersnaam & wachtwoord van de gebruiker niet meer de enige sleutel tot informatie, maar komt eren factor bij door middel van een notificatie via een app, een OTP (One Time Password) of een (hardware-)token zoals een Yubikey. Door deze extra laag wordt het wachtwoord een stuk minder belangrijk.

Passkeys

Een andere oplossing is het gebruik van een passkey; wat feitelijk inhoudt dat er kan worden ingelogd met de combinatie van een private key en een public key die cryptografisch gegenereerd worden. Het grootste voordeel hiervan is dat deze keys gebonden zijn aan een URL of service en dus, mits goed geïmplementeerd, zeer goed bestend zijn tegen phishing.

Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?

Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.

Meer weten? Neem contact met ons op!

Meer artikelen

  • Schaduw AI: innovatie & verborgen gevaren
    Het is in steeds meer software en oplossingen terug te vinden: AI. Binnen organisaties worden deze AI-oplossingen ook steeds meer als hulpmiddel gebruikt om diverse taken uit te oefenen zoals het genereren van teksten of zelfs hele presentaties. Maar wie gebruikt er AI binnen de organisatie en welke AI-oplossingen worden er ingezet?
  • Proof-of-concept exploit laat Windows Domain Controllers crashen
    Er is een proof-of-concept exploit uitgebracht welke misbruik maakt van het al gedichtte lek in Microsoft Windows onder noemer CVE-2024-49113. Door deze PoC kunnen kwetsbare Domain Controllers crashen en rebooten door een speciaal gefabriceerd LDAP-request te sturen.
  • Zero-day kwetsbaarheid in meerdere Windows-versies
    Onderzoekers van beveiligingsbedrijf 0patch hebben een kwetsbaarheid ontdekt in meerdere Windows-versies waarbij hashes van credentials van gebruikers kunnen lekken door alleen een speciaal gemaakt bestand te openen. Deze hashes kunnen vervolgens gekraakt worden door de verouderde encryptie in het NTLM-protocol.
  • Hackers gebruiken beschadigde Office-documenten in nieuwe aanval
    Onderzoekers van cybersecurity-bedrijf Any.run hebben een phishing-campagne waargenomen waarbij beschadigde Office-documenten worden ingezet om e-mail- & endpoint-security oplossingen te omzeilen.
  • Zero Trust: Segmentatie
    Met segmentatie kun je laterale beweging, het verplaatsen van het ene naar het andere systeem, binnen de organisatie beperken. Dit zorgt ervoor dat geautoriseerde gebruikers voor hen benodigde delen kunnen bereiken maar ook dat aanvallen beperkt blijven tot één systeem en geen verdere schade kunnen aanrichten.