'Dwing gebruikers niet regelmatig hun wachtwoord te wijzigen'

Want de opbrengsten van zo'n dwangmaatregel zijn onduidelijk, terwijl de negatieve effecten inmiddels wel aangetoond zijn.

Haar eerste nagel aan de doodskist van de gedwongen wachtwoordwissel is de constatering,dat een hacker die zich ongeoorloofd toegang tot een systeem verschaft, in de regel niet zal nalaten om een key logger te plaatsen. In dat geval heeft het veranderen van wachtwoord geen enkel effect - tenzij vooraf het systeem op key loggers zou worden gecontroleerd, natuurlijk.

Vaste patronen

De tweede is dat inmiddels algemeen bekend is dat gebruikers die gedwongen worden periodiek hun wachtwoord te wijzigen, daar vaste patronen bij volgen. Onderzoek aan de universiteit van North Carolina liet dat al weer 6 jaar terug zien. Bij de gedwongen wissel veranderen gebruikers de positie van de bijzondere tekens - zoals het uitroepteken van achter naar voor, zetten ze letters om in corresponderende tekens - zoals e in €, of ze voegen jaartal en kwartaalnummer toe. Door die patronen wordt het voor hackers eerder makkelijker dan moeilijker om een wachtwoord te raden. Dat geldt zeker wanneer de hacker al een wachtwoord heeft bemachtigd; dan heeft de hacker regelmatig aan 5 pogingen genoeg om het nieuwe wachtwoord te raden - mocht hij hebben nagelaten om na zijn eerste kraak een key logger op het systeem te zetten.

Makkelijker wachtwoorden

Nagel 3 is misschien iets minder hard, maar wel suggestief: er zijn aanwijzingen dat mensen die weten dat ze hun wachtwoord periodiek moeten wijzigen, minder sterke wachtwoorden kiezen. Onderzoek van de universiteit van Carleton waar Cranor zelf bij betrokken was toonde aan, dat wachtwoorden van mensen die het aangaven dat ze het maken van wachtwoorden vervelend vonden, 46 procent sneller te kraken waren dan de wachtwoorden van mensen die daar niet mee konden zitten.

Cranors blogbijdrage - die uitdrukkelijk niet de visie van de FTC weergeeft - is te lezen op de website van de FTC.