Blog

(Leestijd: 3 - 5 minuten)

Is het tijd om de houdbaarheidsdatum van wachtwoorden te vergeten?

Nog vaak zien wij organisaties die een wachtwoordhoudbaarheidsdatum instellen van 60 of 90 dagen. Op zich logisch te verklaren omdat jaren geleden nog werd gedacht dat wachtwoorden zo’n 90 dagen duurden om gekraakt te worden. Het werd ‘de norm’ en helaas is deze norm niet met de tijd meegegaan. Hackers wél.

Risico’s van het vaak veranderen van wachtwoorden

Meerdere onderzoeken in de afgelopen jaren hebben al aangetoond dat het vaak veranderen van wachtwoorden meer slecht dan goeds doet. Sterker nog, het lijkt erop dat uw risk exposure (blootstelling aan risico’s) alleen maar toeneemt.

 

Verouderde dreigingsmodel

In de afgelopen 20 jaar zijn zowel technologie las het dreigingsmodel sterk veranderd. Waar het vroeger inderdaad 90 dagen duurde om een wachtwoord te kraken duurt het tegenwoordig slechts enkele seconden, dankzij AWS.

Oogsten in plaats van kraken

Het grootste risico voor uw wachtwoord is niet langer het kraken ervan maar het ‘oogsten’ (harvesting). Manieren om uw gegevens te ‘oogsten’:

  • Cybercriminelen infecteren uw computer met zogeheten ‘keystroke loggers’. { Een keylogger is een programma of een stuk hardware waarmee men de toetsaanslagen tot zelfs de muisbewegingen van een computergebruiker kan registreren – bron Wikipedia}
  • ‘Oogsten’ / verzamelen data via phishing websites. Phishing websites zijn nep-websites die sprekend lijken op de website waar u hoopte op te belanden, bijvoorbeeld van uw bank. Het is soms niet goed te zien dat u op een phishing website bent beland.
  • Mensen delen of hergebruiken wachtwoorden
    Niet voor niets wordt er gewaarschuwd voor wachtwoorden als ‘password123’ en ‘secret’. De mens is een gewoontedier en heeft tegenwoordig ontzettend veel inloggegevens nodig voor allerlei websites. Een gewoontedier zal natuurlijk geen aparte wachtwoorden bedenken voor al die 100 verschillende websites. Dat zullen variaties zijn op één of twee wachtwoorden. Dat beseffen gewoontedieren zich vaak niet omdat men niet meteen (o überhaupt) iets merkt van ‘gehackt’ te zijn, maar hackers beseffen zich dit maar al te goed en maken hier flink gebruik van.
  • Social Engineering aanvallen via de telefoon. Social Engineering is pure manipulatie om mensen zover te krijgen handelingen te laten verrichten die vertrouwelijke informatie verschaft aan de hacker. Een datalek!

The Human Factor Risk

Hierboven hadden wij het al over mensen die op links klikken en op phishing websites komen, mensen die ergens op klikken en zo keyloggers verwelkomen zonder dat zij het zelf weten, dat mensen gewoontedieren zijn met veel variaties op één of twee bekende wachtwoorden en dat men via telefonische social engineering vertrouwelijke data kan verschaffen aan kwaadwillenden. De mens is hier, de zwakste schakel. En daar maken hackers dankbaar gebruik van.

H3}Het is tijd om niet alleen onze systemen, maar ook onze kennis te updaten!

We weten nu dat de mens een groot risicofactor is. De kans dat uw 90 dagen verzoek om een nieuw wachtwoord telkens hele sterke wachtwoorden genereerd, is zeer klein. Wachtwoordhoudbaarheid had ooit een nut. Maar dat is nu verleden tijd en u zou er verstandig aan doen om deze ‘eis’ uit uw organisatie te faseren.

Een aantal tips:

Allereerst moet u weten dat u er goed aan doet om onderstaande tips te gebruiken maar dat u nog steeds risico loopt als u uw personeel niet óók een Cybersecurity Awareness Training geeft en regelmatig dit als agendapunt benoemd tijdens allerlei vergadermomenten. Daarmee ‘leeft’ het meer in uw organisatie en snapt men (dankzij een cybersecurity awareness training) de risico’s en verkleint u de risico’s voor uw organisatie.

  • Wachtzinnen zijn aan te raden. Het gaat hierbij om lengte en niet zozeer om complexiteit.
  • Zorg dat elk bedrijfsaccount een uniek wachtwoord heeft. Zo kunt u, in geval van een aangetast wachtwoord, de andere accounts beschermen.
  • Gebruik password managers. Dit zijn programma’s die uw wachtwoorden in een zogenaamde kluis bewaren, encrypten en beveiligd weergegeven worden tijdens het inlogproces.
  • Gebruik waar mogelijk twee-factor authenticatie, ook wel 2FA genaamd of in het Engels Two Factor Authentication of Multi-factor. Het principe van twee factoren voor een inlogproces maakt gebruik van iets dat u weet (uw wachtwoord) en iets wat u heeft (uw mobiele telefoon of vingerafdruk, etc.). Heeft een hacker uw wachtwoord, dan kunnen zij er niets mee omdat zij niet uw mobiele telefoon of vingerafdruk hebben.
  • Gebruik tenminste één symbool
  • Vermijd vindbare persoonlijke informatie zoals, naam van uw huisdier of de meisjesnaam van uw moeder.
  • Voorkom herhalingen en variaties van wachtwoorden
  • Deel uw wachtwoord niet. Ook niet met collega’s.
  • Schrijf uw wachtwoorden niet op.
  • Wilt u meer informatie?

    CPRM helpt u graag om uw risco's in kaart te brengen en passende organisatorische en technische maatregelen te implementeren. Neem vrijblijvend contact met ons op voor meer informatie of bekijk onze trainingen.

    Image source

    Bron: Sans Security Awareness