Beheer

Security
Inlogsscherm

5 maatregelen tegen zwakke wachtwoorden

Gratis tooltje laat zien hoe het er in jouw organisatie voor staat, met de sterkte van wachtwoorden.

© Pixabay Public Domain CC0,  Thomas Breher
17 maart 2017

Gratis tooltje laat zien hoe het er in jouw organisatie voor staat, met de sterkte van wachtwoorden.

Een derde van de wachtwoorden die uitlekten bij LinkedIn, was al eerder gebruikt, en daardoor niet veilig. En de rest? Die zijn veelal zo zwak dat ze makkelijk te kraken zijn. Die conclusie trekt Eran Cohen van Preempt op basis van een analyse van de LinkedIn-wachtwoorden die uitlekten.

Het probleem begint natuurlijk bij de onvolkomendheden van het wachtwoord als beveiligingsmethode. Eén moeilijk te kraken wachtwoord is nog wel te onthouden, twee ook nog wel, maar wie kan anno 2017 toe met twee wachtwoorden? De enige oplossing die het aantal te onthouden wachtwoorden beperkt, is gebruik van een wachtwoordmanager. Maar dat is in een bedrijfssetting niet altijd toegestaan. En lang niet iedereen voelt zich veilig met opslag van al zijn wachtwoorden op één plaats. Dat dat veilig is, laat zich immers moeilijk bewijzen.
 

Volgens Eran Cohen kiezen de meeste mensen voor een pragmatische oplossing. Ze kiezen voor korte wachtwoorden, vaak met makkelijk te raden patronen - zoals de naam van een huisgenoot, huisdier, favoriete voetballer, voetbalclub met een jaartal ervoor of erachter, een hoofdletter aan het begin en een leesteken achteraan. Als ze niet al kiezen voor 111111, abcdef, wachtwoord01 of noem ze maar op uit het lijstje van meest voorkomende wachtwoorden. Daarnaast gebruiken velen wachtwoorden op verschillende plekken, en zijn ze niet erg geneigd om hun wachtwoorden periodiek te verversen.

Onveilig pragmatisme

Die pragmatische oplossing leidt echter wel tot een onveilige situatie. Dat soort wachtwoorden is makkelijk te kraken. De veel voorkomende wachtwoorden zullen hackers als eerste proberen, en meteen daarna de hergebruikte wachtwoorden: de wachtwoorden die beschikbaar zijn in bibliotheken van gehackte klantendatabases. Maar ook als men zijn toevlucht moet nemen tot brute kracht, vallen de meeste wachtwoorden snel om. Een doorsnee wachtwoord in een bedrijf - minder dan 10 tekens waarbij de complexiteitsregels van Microsoft worden afgedwongen - is binnen een dag te kraken, stelt Cohen.

5 maatregelen

Het tegengaan van dit probleem vergt meer dan het verplicht stellen van hoofdletters, kleine letters, cijfers en speciale tekens in het wachtwoord, stelt Cohen. Voorschriften zijn nodig, en technische hulpmiddelen kunnen helpen, maar een oplossing van dit probleem begint bij voorlichting richting gebruikers over het hoe, wat en waarom. Want zonder acceptatie zullen gebruikers altijd terugvallen in onveilig gedrag, simpelweg omdat dat makkelijker is. Daarbij adviseert Cohen 5 maatregelen te nemen:

  1. Stel regels op over complexiteit en expiratiedatum van wachtwoorden en dwing deze af.
     
  2. Verplicht langere wachtwoorden: 8 is slecht, 10 OK en 12 goed
     
  3. Wijs medewerkers er onvermoeibaar op dat ze
    - wachtwoorden niet moeten delen met collega's,
    - niet hetzelfde wachtwoord moeten gebruiken voor verschillende clouddiensten,
    - de verlopen wachtwoorden niet moeten recyclen in het nieuwe wachtwoord, en
    - moeten voorkomen dat wachtwoorden voorspel worden door gebruik van simpele patronen, persoonlijke gegevens of veelgebruikte woorden.
  4. Voeg additionele authenticatiefactoren toe; bij verdachte logins zou je bijvoorbeeld een e-mail of een sms kunnen sturen om de betreffende medewerker erop te wijzen dat iets ongebruikelijks is gesignaleerd.
     
  5. Voer contextgebaseerd beleid. Niet voor iedere gebruiker c.q. iedere toepassing hoeven even zware eisen te gelden. Stel regels en dwing deze af op basis van de activiteiten van gebruikers.

Bijna alle bedrijven voeren natuurlijk al wachtwoordbeleid.Maar de praktijk leert ook dat dat in veel gevallen zijn doel niet bereikt. Preempt stelt organisaties die zichzelf de maat willen nemen, nu een tool ter beschikking om te inventariseren hoe het gesteld is met de robuustheid van wachtwoorden. Dat doet Preempt natuurlijk niet helemaal zonder commerciële bedoelingen. Maar voor zover het zich laat aanzien bestaat de tegenprestatie alleen uit naamsbekendheid. De Preempt Inspector is namelijk gratis te downloaden en te gebruiken.
 

Zie ook Beheer op AG Connect Intelligence
2
Reacties
RJT 20 maart 2017 10:02

Allemaal leuk bedacht en vanuit automatiseringstechnisch oogpunt ook wel logisch. Maar in de praktijk onhaalbaar zonder dat je over de geeltjes met wachtwoorden struikelt. Voor de meest onbenullige zaken moet je een wachtwoord opgeven, en dan liefst ook nog met van die belachelijke regels waardoor je tijdens het verzinnen al een keer of zes van wachtwoord moet wisselen. En áls ie het dan accepteert, dan ben je meteen al weer vergeten welke variant hij nou daadwerkelijk uiteindelijk geaccepteerd heeft.
Ik maak zelf gebruik van een zelfgeschreven wachtwoordmanager die om veiligheidsredenen juist géén verbinding met het internet maakt. Ik zie bij mij in de organisatie dan ook liever goede maar permanente wachtwoorden, dan dat ik de gebruikers ga verplichten om keer op keer weer wat ander te verzinnen. Scheelt ook een hoop werk ten aanzien van het continue moeten resetten van accounts omdat men vijf keer een verkeerd wachtwoord heeft ingetoetst.

jak 17 maart 2017 13:40

Er zijn veel meer methoden voor autenticatie dan een wachtwoord. SSO beperkt al veel, doe het dan wel voor gelijksoortige eisen aan databescherming.
Om te beginnen zou je niet overal een login moeten gaan eisen waar het niet echt nuttig is.

Reactie toevoegen