Wachtwoordbeleid: wat is wijsheid?
Wist je dat een gemiddelde medewerker bij meer dan honderd websites en applicaties moet inloggen met een gebruikersnaam en wachtwoord? En dat de gemiddelde medewerker maar drie tot zeven wachtwoorden gebruikt om op al die plekken in te loggen? Geen wonder dat wachtwoorden zo vaak achterhaald of gekraakt worden.
Door: Jelle Wieringa, security awareness advocate bij KnowBe4
Kun je dat een medewerker kwalijk nemen? Niet echt. Het is gewoonweg niet te doen om meer dan honderd verschillende wachtwoorden te onthouden. Zeker als een medewerker vanuit goede intenties een complex wachtwoord kiest, wordt het voor hem of haar verleidelijker om dat wachtwoord vaker te gebruiken. Maar juist daarmee wordt het risico van een gekraakt wachtwoord een stuk groter.
Als management wil je dat de informatie in je organisatie goed beschermd is. Vrijwel iedere organisatie heeft tot op zekere hoogte een wachtwoordbeleid, al houdt dat soms niet veel meer in dan het sturen van reminders naar medewerkers wanneer het tijd is om hun wachtwoord te wijzigen. Nog lang niet alle bedrijven stellen eisen aan wachtwoorden van medewerkers, laat staan dat ze een wachtwoordbeleid aanvullen met andere security-toepassingen zoals multifactorauthenticatie (daar komen we ze nog op terug).
We kunnen kort zijn over waarom dat niet gebeurt. Wij mensen zijn vreselijk slecht in het inschatten van risico’s. En dus realiseren we ons ook niet hoe risicovol het is om eenvoudige wachtwoorden te gebruiken. Maar bedenk eens hoeveel informatie er prijsgegeven wordt als een internetcrimineel met één achterhaald wachtwoord toegang krijgt tot verschillende softwareprogramma’s en databases van het bedrijf? Dan is het (schrik)beeld ineens een stuk duidelijker. Dit is dan ook het juiste moment om te vertellen dat 20 procent van de wachtwoorden wereldwijd maar 6 karakters heeft. Zo’n wachtwoord kunnen hackers in een paar seconden kraken.
Het gebruik van sterke wachtwoorden is dus essentieel. Maar wat is dan een sterk wachtwoord? En wat is een passend wachtwoordbeleid voor de organisatie?
Mijn collega’s en ik bevelen onderstaande opties aan, waarbij vaststaat dat de eerste optie de beste bescherming biedt.
1. Gebruik multifactorauthenticatie (MFA)
Simpel gezegd: de gebruiker moet twee of meer stappen succesvol doorlopen om in te loggen. Wij raden ten zeerste aan om phishing resistant MFA te gebruiken. Net als de Amerikaanse overheid trouwens. Als na het invullen van het wachtwoord de authenticatie vervolgens alleen gebeurt met een code per sms of een app als Microsoft Authenticator, is het voor internetcriminelen namelijk te gemakkelijk om de code te achterhalen. Door middel van een phishing mail – of een sms of telefoontje – kunnen gebruikers op slinkse wijze overtuigd worden de code te delen met de criminelen. Wel veilig is MFA met een fysieke sleutel (zoals een pasje) of met biometrische toegangsmethoden.
Ik begrijp dat zulke systemen voor sommige organisaties te complex of te duur zijn. Als je echt geen MFA kunt gebruiken:
2. Zorg voor unieke wachtwoorden
Wachtwoorden die lang én complex zijn, zijn het moeilijkst om te kraken. Stel bijvoorbeeld het gebruik van een wachtwoordzin met voldoende cijfers en leestekens verplicht. Belangrijk is dat het wachtwoord niet makkelijk te raden is. Zorg ook dat wachtwoorden niet voor meerdere sites of applicaties tegelijk gebruikt worden, en dat medewerkers hun wachtwoorden minstens een keer per jaar veranderen.
3. Gebruik een wachtwoordmanager
Met die eisen zijn we al snel weer terug bij het probleem dat mensen niet tientallen wachtwoorden kunnen onthouden. Raad medewerkers daarom aan een wachtwoordmanager te gebruiken (Wired Magazine legde onlangs uit welke wachtwoordmanagers het beste zijn). Een wachtwoordmanager maakt volkomen willekeurige wachtwoorden van 12 tekens of langer die voldoende complex zijn om niet gekraakt te kunnen worden. En slaat ze op. Zo hoeft de medewerker zelf alleen nog het wachtwoord van de wachtwoordmanager te onthouden.
4. Stel minimumeisen
Als organisaties ervoor kiezen geen wachtwoordmanager te gebruiken en medewerkers zelf hun wachtwoord te laten verzinnen, stel dan verplicht dat wachtwoorden minstens 12 tekens en liever 16 tekens moeten zijn en niet hergebruikt mogen worden.
5. Als je echt veilig wil zitten met je wachtwoorden…
Dan moeten wachtwoorden tussen 20 en 30 tekens lang zijn (en weer enige complexiteit hebben). Tot nu toe zijn hackers die voor overheden en geheime diensten werken er nog niet in geslaagd om wachtwoorden van die lengte te kraken. Maar of je medewerkers hier blij van worden?
Als management kun je uit bovenstaande opties een bewuste en passende keuze maken voor de organisatie. Heb daarbij wel de ambitie om toe te werken naar de meest veilige optie, phishing resistant MFA.
Het is mijn hoop dat wachtwoorden in de toekomst niet meer nodig zijn. Organisaties zijn beter beschermd als inloggen gebeurt via bijvoorbeeld biometrische oplossingen en fysieke toegangsmethoden. Het probleem dat nu bij de gebruiker terechtkomt – een sterk wachtwoord verzinnen en onthouden – kan worden weggenomen als de beveiliging straks zit ingebakken in de applicaties en devices die we gebruiken. Maar weet je te wapenen tot het zover is.