Wachtwoorden níet regelmatig verversen, is nieuwe NIST-richtlijn

Het Amerikaanse NIST (National Institute of Standards and Technology) stelt technologiestandaarden op die wereldwijd worden gevolgd. Niet alleen door en voor overheden, maar ook ICT-leveranciers en ICT-gebruikende bedrijven en nonprofits. In de recent uitgebrachte tweede draft van de Digital Identity Guidelines is een opvallende veranderingen te vinden.

Ommekeer voor staande praktijk

Het lijvige en complexe document (wat ongeveer 35.000 woorden telt, zo meldt Ars Technica) brengt in het segment over wachtwoorden een ommekeer voor de staande praktijk bij veel organisaties en bedrijven. Namelijk het afschaffen van de vereiste dat eindgebruikers op periodieke basis hun wachtwoorden moeten veranderen voor bestaande accounts.

Kiezen voor krachtige wachtwoorden is veel effectiever dan regelmatig wisselen van wachtwoorden, die dan telkens wel onthoudbaar moeten zijn en dus menselijkerwijs minder complex zijn. In de prakijk zijn uit datalekken al vaak genoeg inzichten gekomen dat gewone mensen gewoon kiezen voor bijvoorbeeld welkom01 in januari, welkom02 in februari, enzovoorts. Ook het toevoegen van een uitroepteken, of twee, aan een eerder wachtwoord wordt in de praktijk wel gedaan om te voldoen aan de vereiste van wachtwoordverversing.

En weg met leestekens

Naast de NIST-verandering voor juist minder vaak verandering van wachtwoorden bevat de draft voor de nieuwe richtlijn ook afschaffing voor verplicht gebruik van leestekens. Die verplichting voor eindgebruikers levert namelijk vaak ook juist ónveiligere wachtwoorden op. Bijvoorbeeld doordat mensen simpelweg kiezen om een i te vervangen door een uitroepteken, of een e door een 3. De lengte van wachtwoorden is veel belangrijker voor security dan het gebruik van letters, cijfers en leestekens.