Wachtwoorden hoeven niet meer te verlopen
Het regelmatig laten verlopen van wachtwoorden was lange tijd een standaardmaatregel om IT-systemen veilig te houden. Maar uit recente inzichten blijkt dat dit beleid vaak averechts werkt: gebruikers kiezen hierdoor simpelere of voorspelbare wachtwoorden, wat de beveiliging juist verzwakt. In deze blogpost leggen we uit waarom het tijd is om afscheid te nemen van deze verouderde praktijk en hoe moderne beveiligingsmethoden veel effectiever zijn.
Verlopen wachtwoorden
Iedereen kent het wel; je komt terug van vakantie en je wachtwoord is verlopen, maar ook regelmatig de welbekende grappen over dat het seizoen is veranderd en dat het weer tijd is om je wachtwoord te veranderen van Zomer2024! naar Herst2024!.
Door te vaak te vereisen dat gebruikers hun wachtwoorden moeten veranderen is men sneller geneigd om een cijfer in het wachtwoord op te hogen, er een leesteken bij te plakken of een makkelijk te onthouden wachtwoord te verzinnen.
NIST regelgeving
Het Amerikaanse NIST (National Institute of Standards and Technology) schrijft een wachtwoordbeleid voor waarin het in twee gevallen nodig om te vereisen van gebruikers dat ze hun wachtwoord wijzigen:
- In het geval dat het duidelijk is dat er een wachtwoord gecompromitteerd is door bijvoorbeeld phishing of een datalek – waarbij het volkomen logisch is dat het wachtwoord veranderd moet worden
- Eens per jaar; hierdoor wordt het voor de gebruiker een stuk minder storend en zullen ze een beter wachtwoord verzinnen – en is er vaak veel meer begrip over waarom dit moet gebeuren
MFA
Een essentieel ondereel van de beveiligingsstrategie hierbij moet dan natuurlijk wel zijn dat er MFA (Multi-Factor Authentication) wordt gebruikt én afgedwongen.
Hierbij worden de gebruikersnaam & wachtwoord van de gebruiker niet meer de enige sleutel tot informatie, maar komt eren factor bij door middel van een notificatie via een app, een OTP (One Time Password) of een (hardware-)token zoals een Yubikey. Door deze extra laag wordt het wachtwoord een stuk minder belangrijk.
Passkeys
Een andere oplossing is het gebruik van een passkey; wat feitelijk inhoudt dat er kan worden ingelogd met de combinatie van een private key en een public key die cryptografisch gegenereerd worden. Het grootste voordeel hiervan is dat deze keys gebonden zijn aan een URL of service en dus, mits goed geïmplementeerd, zeer goed bestend zijn tegen phishing.
Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.
Meer weten? Neem contact met ons op!
Meer artikelen
- Meetbaar voldoen aan normeringen?Met het RiskGuardian-platform voldoe je aan normeringen zoals NEN7510 en ISO27001, en toon je maatregelen aan voor klanten, leveranciers en auditors.
- Wachtwoorden hoeven niet meer te verlopenWachtwoorden laten verlopen verhoogt niet de veiligheid, maar leidt juist tot zwakkere wachtwoorden. Ontdek waarom deze verouderde praktijk niet werkt.
- 8% van de mensen veroorzaakt 80% van de security incidenten8% van de medewerkers veroorzaakt 80% van de security incidenten. Gericht trainen van deze groep kan de cyberveiligheid aanzienlijk verbeteren.
- Aanvallers misbruiken Microsoft Sway in grootschalige campagneIn een grootschalige phishing-campagne worden QR-codes die een gebruiker moeten verleiden om zijn of haar credentials te overhandigen gehost op een Microsoft Sway-webpagina. Hierdoor lijkt het alsof het een valide Microsoft-loginpagina is.
- Kritieke kwetsbaarheid in Linux systemen gevondenIn de veel gebruikte applicatie OpenSSH, die wordt gebruikt om onder andere veilige Secure Shell (SSH) verbindingen op te bouwen, is een kritieke kwetsbaarheid gevonden. Deze kwetsbaarheid wordt regreSSHion genoemd en is enorm risicovol omdat OpenSSH in vrijwel elke Linux-distributie zit en doordat SSH zeer veel gebruikt wordt.