Beheer

Security
wachtwoord

Wachtwoordregels? Vergeet ze! Hier zijn drie radicaal nieuwe

Het National Institute of Standards and Technology (NIST) gooit in een nieuw advies alle irritante regels overboord.

© Pixabay Public Domain CC0,  Thomas Breher
20 april 2017

Het National Institute of Standards and Technology (NIST) gooit in een nieuw advies alle irritante regels overboord.

Wie krijgt niet een punthoofd van alle regels waaraan een wachtwoord moet voldoen? Dan hanteren ook verschillende organisaties weer andere, soms conflicterende eisen. En toch zijn wachtwoorden als '12345678' en 'password' nog steeds de meestgebruikte. NIST bedacht simpele regels die aan deze situatie een einde aan moeten maken.

Tot nog toe was de trend gebruikers te vragen steeds ingewikkelder wachtwoorden te onthouden. Dat werd nog eens bemoeilijkt doordat de wachtwoorden met regelmaat gewisseld moeten worden. NIST heeft nu een concept opgesteld om het allemaal anders te doen.

Nu schrijft NIST niemand de wet voor, maar voor Amerikaanse overheidsorganisaties en in het kielzog daarvan veel grote en kleinere organisaties op internet, zijn de adviezen van NIST een zeer belangrijke factor in hun beleidsbepaling.

NIST stelt de volgende drie veranderingen voor:

 AG tekstballon-1Geen periodieke verandering van wachtwoorden meer. Het was al uit verschillende studies duidelijk dat het vaak wisselen van wachtwoorden niet helpt de veiligheid te vergroten. Om ze niet te vergeten schrijven mensen de wachtwoorden op en laten die vervolgens slingeren.

 AG tekstballon-2Geen complexiteit meer afdwingen. Het is niet langer nodig persé een combinatie van hoofd- en kleine letters, cijfers en speciale tekens te gebruiken. Mensen gingen daar creatief mee om door bijvoorbeeld 'Password1$' te gebruiken. Dat helpt de veiligheid niet te vergroten.

 AG tekstballon-3Wel: Validatie afdwingen. Elk nieuw ingegeven wachtwoord wordt vergeleken met een dynamische lijst van 'slechte wachtwoorden'. Daardoor is het dus onmogelijk wachtwoorden te gebruiken die hackers makkelijk kunnen achterhalen.

De vraag is hoe relevant de adviezen van NIST nog zijn nu organisaties als zij hun wachtwoord beleid aanpassen eerder het gebruik van authenticatie op basis van twee factoren (two factor authentication) overwegen. In dat geval moet naast de combinatie van gebruikersnaam en wachtwoord ook nog een code worden ingevoerd die bijvoorbeeld via SMS wordt toegezonden.

De invoering van two factor authentication is echter technisch complexer dan het toepassen van de nieuwe NIST-regels. Ook is het gebruik van two factor authentication voor de gebruiker ingewikkelder waardoor klanten op een e-commercewebsite eerder hun aankoop staken. Met de NIST-regels wordt bovendien ook two factor authentication beter bestand tegen aanvallen.

Lees meer over
Zie ook Beheer op AG Connect Intelligence
13
Reacties
Anoniem 25 april 2017 16:48

Mijn favoriet is nog steeds een iris-scan. Niet erg moeilijk te maken: met de smartphone die allemaal een camera hebben. Of per USB-aansluiting een klein dingetja (camera) en wat software die mijn iris herkent.
Beter dan vingerafdruk: met een uitgerukt oog valt dit niet te manipuleren, een afgehakte vinger wel! Bovendien: mijn iris laat nergens een ongewild spoor achter zoals een vingerafdruk. Het zou ook bij paspoortcontroles, een meldi gsplicht voor bijv. voetbalvandalen/stadionverboden kunnen dienen ("kijkertje" buiten het politiebureau - ontlast de agenten, fraude-ongevoelig, en bedenk maar meer voordelen - ik kan geen nadelen zien) Is als een soort "flappentapper" buiten het politiebureau, op luchthavens en bij allerlei toegangs-plaatsen kan worden geïnstalleerd. Wellicht kan op basis van mijn iris een password worden gemaakt, dat electronisch kan worden overgeseind, zodat dat ook mijn toegangsrecht 100 % zeker/veilig kan worden vastgesteld.
Iedereen heeft toch wel minstens één oog, ook de meeste blinde mensen hebben dat!

Kees Noorlander 22 april 2017 17:35

Inloggen via een code per e-mail is ook een goed alternatief.
Maar fijn als er in elk geval niet steeds wordt verwacht dat we wachtwoorden wijzigen.

D. B. Hendriks 22 april 2017 17:24

SMS als 2e factor is bij NIST overigens ook niet meer als voldoende veilig beoordeeld.

DCC Nederland 21 april 2017 11:00

Laat medewerkers de wachtwoorden ook niet zelf verzinnen, en al helemaal niet opschrijven.
Zorg ervoor dat er automatisch sterke wachtwoorden worden gegenereerd, afgeschermd van medewerkers of externe. Onthouden hoeft dan niet meer! En op basis van RBAC de juiste rechten en autorisaties toebedelen zodat niet iedereen overal bij kan.

DCC Nederland 21 april 2017 11:00

Laat medewerkers de wachtwoorden ook niet zelf verzinnen, en al helemaal niet opschrijven.
Zorg ervoor dat er automatisch sterke wachtwoorden worden gegenereerd, afgeschermd van medewerkers of externe. Onthouden hoeft dan niet meer! En op basis van RBAC de juiste rechten en autorisaties toebedelen zodat niet iedereen overal bij kan.

K. Dijkstra 20 april 2017 23:41

Persé schrijven in het Nederlands als de Latijnse uitdrukking per se.

Jan van der Zanden 20 april 2017 22:09

Vooral nr. 1 . Ik riep dat al in 1991. De experts van PWC en KPMG waren het met me eens, maar ze keurden mijn betere beleid bij KvK-NL toch af.

Ronald Kunenborg 20 april 2017 21:49

Eindelijk! Dit roepen security professionals al jaren. Blij dat die nu eindelijk worden gehoord!

Erik 20 april 2017 14:02

Zo'n lijst krijg je er natuurlijk bij als je de oplossing koopt. Die lijst wordt voor je dynamisch bij gehouden dat doe je zelf niet en het is onmogelijk om dus de kwaliteit van je lijst te bepalen.

Anoniem 20 april 2017 12:51

Zegt een organisatie die zo lek is als een mandje

R.J. Tuijnman 20 april 2017 12:39

Hoe kom ik aan zo'n lijst met 'standaard wachtwoorden'? Ik kan natuurlijk zelf wel aan het verzinnengaan, maar er bestaan vast wel lijsten die hackers ook gebruiken als 'dictionary'...

Reactie toevoegen