Wachtwoorden, het kan anders!

Wanneer stapt uw organisatie over op een moderner en beter passend wachtwoordbeleid? Rond 2004 zijn organisaties vanuit verschillende normeringen verplicht gesteld om complexiteitseisen te stellen aan de wachtwoorden voor hun computersystemen.

Deze eisen verplichten een gebruiker een wachtwoord te kiezen van minimaal acht karakters en tekens uit drie van de volgende vier categorieën:

  • Hoofdletters (A tot en met Z)
  • Kleine letters (a tot en met z)
  • Cijfers uit het tientallig getallenstelsel (0 tot en met 9)
  • Niet-alfanumerieke tekens (zoals, !, $, #, %)

De grondslag voor deze eisen komt voort uit een artikel geschreven door Bill Burr, een voormalig manager van het National Institute of Standards and Technology (NIST). Deze legde in een acht pagina’s tellende bijlage uit waar volgens hem een veilig wachtwoord uit moest bestaan.

Wat destijds niet gerealiseerd werd is de hoeveelheid wachtwoorden die we tegenwoordig hebben en de problemen die dit met zich meebrengt. Spreek ik voor mij persoonlijk dan heb ik meer dan 400 wachtwoorden, waarvan ik er minimaal 15 tot 25 dagelijks gebruik.

Mede door deze complexiteit eisen vinden we wachtwoorden op post-it’s, onder toetsenborden, op whiteboards of in kasten. Om dit te doorbreken hebben we mijn inziens twee opties:

  • Proberen als organisatie om zoveel mogelijk diensten vanuit één account (identiteitsprovider) aan te bieden zoals bijvoorbeeld een DigiD of Active Directory aanbiedt.
  • Zorgen dat onze wachtwoorden makkelijker te onthouden zijn.

De eerste oplossing is nogal tijdrovend, complex en mogelijk kostbaar voor uw organisatie. Terwijl de tweede optie eenvoudiger is dan u misschien denkt.

Stap 1: Pas uw wachtwoordbeleid aan. Maar schakel de complexiteitseisen uit en pas tevens de standaard geldigheid aan naar twaalf maanden. Maar benadruk dat een wachtwoord wijziging geforceerd kan worden indien daar een aanleiding voor is.
Stap 2: Moedig uw eindgebruikers aan vier of vijf compleet willekeurige woorden aan elkaar te plakken of gebruik te maken van een voor hun eenvoudig te onthouden zin.

Bijgaande afbeelding geeft weer waarom dit zoveel effectiever is dan de huidige eisen. Daarnaast heeft onderzoek uitgewezen. Dat te vaak wachtwoorden wijzigen ervoor zorgt dat deze zwakker worden door het gebruik van volgnummers of andere ezelsbruggetjes.

Als u overgaat op een moderne wachtwoordenbeleid zult u minder wachtwoorden op ongewenste locaties aantreffen en zal de kwaliteit en diversiteit van wachtwoorden omhoog gaan.

Probeer het zelf met de wachtwoord calculator.

Wachtwoorden

Met deze vernieuwde inzichten, pas het wachtwoordenbeleid vandaag nog aan!

Auteur:Maikel Roolvink

Manager Security Services