Wachtwoordbeveiliging is een cruciaal onderdeel van cyberbeveiliging voor organisaties. Deze gids biedt essentiële tips voor het maken en beheren van sterke wachtwoorden, waaronder het gebruik van wachtwoordbeheerders en meervoudige authenticatie.
Lees meer over veelvoorkomende kwetsbaarheden van wachtwoorden en best practices voor het opleiden van medewerkers op het gebied van wachtwoordbeveiliging. Inzicht in wachtwoordbeveiliging is essentieel voor het beschermen van gevoelige informatie en het voorkomen van ongeoorloofde toegang.
Het wachtwoord van een gebruiker is de sleutel tot zijn account. Afhankelijk van de rechten die dat gebruikersaccount binnen een systeem heeft, kan die sleutel inderdaad zeer krachtig zijn. Als ik het wachtwoord voor uw online bankieren heb, kan ik toegang krijgen tot uw account en alle gegevens die daarin staan. Dat zou voor u een hoop gedoe betekenen. Maar als ik het wachtwoord van de systeembeheerder voor de online bank op serverniveau kan achterhalen, kan ik niet alleen uw gegevens, maar ook die van alle andere gebruikers in handen krijgen. Zo ontstaan er verrassend veel datalekken.
Wat goede wachtwoordbeveiliging zo belangrijk maakt, is dit: je hoeft niet bijzonder technisch onderlegd te zijn om iemands wachtwoord te misbruiken als je het eenmaal hebt. Andere soorten beveiligingsinbreuken, of het nu gaat om achterdeurtjes, het op afstand installeren van malware of het injecteren van kwaadaardige code op webservers, vereisen een behoorlijke hoeveelheid expertise. Maar een wachtwoord? Dat is de gemakkelijkste manier om toegang te krijgen tot gegevens die niet van jou zijn. Daarom is er een markt voor wachtwoorden op het dark web, waardoor het moeilijke deel (inbreken) wordt overgelaten aan degenen die weten hoe dat moet, en het daadwerkelijk aanrichten van schade aan iemand die niets anders dan kwaad in de zin heeft. Credential stuffing, password spraying en andere soorten aanvallen op basis van wachtwoorden kunnen vaak worden tegengehouden door gewoon goede wachtwoordbeveiliging te gebruiken.
Aanbevelingen voor wachtwoordbeveiliging van het NIST
Het National Institute of Science and Technology (NIST) heeft deze kwestie onderzocht om de beveiliging op federaal niveau te verbeteren. Het instituut heeft een ontwerp gepubliceerd met voorgestelde wijzigingen in het wachtwoordbeveiligingsbeleid van het land om het systeem van de federale overheid beter te beveiligen. Zodra deze beleidsmaatregelen van kracht worden, hebben ze alleen gevolgen voor gebruikers die bij een federale instantie werken. Ze moeten echter serieus worden genomen door iedereen die verantwoordelijk is voor de beveiliging van hun IT-infrastructuur (of persoonlijke accounts).
Sommige aanbevelingen gaan in tegen de gangbare opvattingen over wachtwoordbeveiliging:
1. Maak het gemakkelijker voor uw gebruikers om wachtwoorden te maken die ze kunnen onthouden
Stel geen beperkingen aan het formaat van het wachtwoord. Wanneer u dingen verplicht stelt, zoals het gebruik van ten minste één hoofdletter, één cijfer of speciale tekens, of wanneer u aangeeft dat het wachtwoord te lang is, frustreert u mensen alleen maar, waardoor ze op zoek gaan naar gemakkelijke oplossingen. Als John Smith besluit om 'johnsmith' als wachtwoord te gebruiken, is dat niet acceptabel. Maar door een specifieke indeling te eisen, moedigt u hem aan om binnen die beperkingen te werken en iets te bedenken als 'J0hnsm1th!", wat niet echt beter is. Iedereen die bedreven is in het ontcijferen/decoderen van wachtwoorden kan deze variant snel achterhalen.
Geef John in plaats daarvan meer ruimte bij het bedenken van zijn wachtwoord. Moedig het gebruik van een langere zin aan (64 tekens is nu het aanbevolen maximum, niet 16) en zorg ervoor dat het systeem alle tekens kan verwerken die je invoert, niet alleen ASCII-tekst, maar ook alles wat Unicode is, inclusief emoji's. Dit werkt het beste als je een woordenboek hebt met bekende slechte wachtwoorden die het systeem kan controleren. Wanneer Johns eerste poging om een wachtwoord te creëren – "johnsmith" – wordt afgewezen, kan hij zijn frustratie omzetten in iets veel veiligers, zoals deze 49 tekens: "Onze systeembeheerder is een vervelende lastpost in de ????."
Natuurlijk dat is vrij eenvoudig Engels, maar het is willekeuriger dan alleen letters vervangen door gelijksoortige cijfers.
Laat wachtwoorden ook niet meer verlopen en dwing gebruikers niet om ze te wijzigen. Elke keer dat u dat doet, wordt de kans groter dat de wachtwoorden gemakkelijker te kraken zijn. Bovendien, ongeacht de vervaldatum – 30 dagen, 6 maanden, 1 jaar – als je zo lang hebt gedaan zonder dat het wachtwoord is gestolen, betekent dit dat je iets goed doet.
Niemand vervangt jaarlijks de sloten van zijn huis voor extra bescherming. Als niemand in het huis heeft kunnen komen, betekent dit dat u nog steeds de enige bent met een sleutel. U vervangt ze alleen als u weet dat iemand die geen toegang zou moeten hebben, uw sleutel in handen heeft gekregen. Hetzelfde geldt voor wachtwoorden.
2. Gebruik geen wachtwoordhints meer
We doen dit al zo lang dat het contra-intuïtief lijkt om ermee te stoppen. Maar als je erover nadenkt, is het instellen van hints en mechanismen om een wachtwoord te verkrijgen of te resetten juist onlogisch. Het hele punt van een hint is om het gemakkelijker te maken om tot een antwoord te komen.
Stel je voor dat je een bank binnenloopt waarvan je weet dat Bill Gates er een rekening heeft en je probeert 1 miljoen dollar op te nemen. De bankmedewerker vraagt om je identiteitsbewijs, dat je niet hebt omdat je niet Bill Gates bent. Maar in plaats van je weg te sturen, wordt je gevraagd: "Wat is de naam van de stad waar je bent geboren?" Dat is informatie die veel gemakkelijker te verkrijgen en lijkt een vreselijke methode om activa te beveiligen.
Sterke wachtwoorden zijn de eerste stap in het beschermen van digitale activa (en in veel gevallen vertegenwoordigen die digitale activa toegang tot echt geld). Als iemand een wachtwoord niet weet, is het beter om aan te nemen dat daar een reden voor is dan om hem of haar te helpen.
3. Maak komaf met tweefactorauthenticatie via sms
Tweefactorauthenticatie, of zelfs meervoudige authenticatie, is zeker een must. Maar biometrische gegevens, zoals vingerafdrukken of netvliesscans, zijn een veel betere manier om uw account te beveiligen – en het is niet langer de futuristische scifi-technologie van morgen. Morgen is al aangebroken.
Dit via sms doen is een vrij slechte manier om dit aan te pakken. Wat obstakels betreft, is het versturen van autorisatiecodes naar een mobiele telefoon via sms als een paard vragen om over een hindernis van vijftien centimeter te springen. Zoals dit bericht laat zien dat iemand die slim genoeg is om je wachtwoord te bemachtigen, ook slim genoeg is om een manier te vinden om sms-authenticatiecodes te omzeilen.
En nu iedereen weet dat deze methode niet effectief is, denken en schrijven beveiligingsbloggers over de verschillende manieren dit type bescherming kan worden doorbroken.
4. Beheerders moeten slimmer omgaan met de opslag van wachtwoorden
In 2013 beschreef de blog Naked Security hoe Adobe, een van de grootste softwarebedrijven ter wereld, 150 miljoen van zijn gebruikers in de steek liet met vreskelijke praktijken om wachtwoorden te beschermen.
Behalve dat hiermee duidelijk werd hoe zinloos wachtwoordbeveiligingstips zijn, werd ook duidelijk dat Adobe vrij eenvoudige versleuteling gebruikte en geen andere beveiligingen had toegevoegd. Het resultaat was een soort eenvoudig decoderingsproces dat niet veel geavanceerder was dan wat kinderen vroeger met speelgoedspionagesets konden doen.
In onze met wachtwoorden beveiligde wereld blijkt beveiliging ieders verantwoordelijkheid te zijn. Het beleid moet goed doordacht zijn, gebruikers moeten zich eraan houden en beheerders moeten het juiste doen voor de gebruikers door er niet vanuit te gaan dat indringers in de eerste plaats geen wachtwoorden kunnen stelen. De nieuwe aanbevelingen en bevindingen van het NIST zijn zeker een goed uitgangspunt voor iedereen.
Wachtwoordbeheerders: De voor- en nadelen afwegen
Wachtwoordbeheerders zijn een andere manier waarop individuen en organisaties het risico van het gebruik van wachtwoorden proberen te verminderen. Net als andere beveiligingstools kunnen wachtwoordbeheerders helpen, maar ze zijn geen complete oplossing die uw organisatie vrijwaart van wachtwoordgerelateerde risico's. Een ander aspect om rekening mee te houden is dat de meeste wachtwoordbeheerders in de loop der jaren kwetsbaarheden bleken te hebben of zelfs inbreuken hebben gehad.
Door een wachtwoordbeheerder in te zetten voor uw team, legt u uw beveiliging in handen van deze tools. Enkele opmerkelijke beveiligingsincidenten zijn onder meer LastPass, My1Login, KeePass, OneLogin, PasswordBox, MyPasswords, Avast Passwords en RoboForm. Tavis Ormandy van Google Project Zero heeft een aantal van deze kwetsbaarheden bekendgemaakt, waaronder kwetsbaarheden in hun browserplugins.
Onze aanbevelingen? Wachtwoordbeheerders kunnen helpen om de IT-kosten voor het opvragen van wachtwoorden te minimaliseren, maar ze introduceren ook een andere potentiële supply chain-aanval op organisaties.
Identiteitsrisico's in uw hele organisatie verminderen
Detecteer en reageer in realtime op aanvallen met holistische oplossingen voor Active Directory en Entra ID.
Vraag een demo aanConclusie
In onze met wachtwoorden beveiligde wereld omvat een sterk beveiligingsbeleid zowel de leveranciers als de mensen in elk team. Het beleid moet goed doordacht zijn, gebruikers moeten zich eraan houden en beheerders moeten het juiste doen voor de gebruikers door er niet vanuit te gaan dat indringers in de eerste plaats geen wachtwoorden kunnen stelen. De aanbevelingen en bevindingen van het NIST zijn een goed uitgangspunt voor iedereen.
"Veelgestelde vragen over wachtwoordbeveiliging
Wachtwoordbeveiliging verwijst naar de praktijken en hulpmiddelen die uw wachtwoorden beschermen tegen aanvallers. U kunt het zien als een digitaal slot dat uw accounts beschermt tegen ongeoorloofde toegang. Wachtwoordbeveiliging omvat het maken van sterke wachtwoorden, het veilig opslaan ervan en het gebruik van aanvullende beveiligingsmaatregelen zoals meervoudige authenticatie.
Zonder goede wachtwoordbeveiliging kunnen aanvallers gemakkelijk inbreken op uw accounts en uw gegevens of geld stelen.
Wachtwoordbeveiliging is belangrijk omdat zwakke wachtwoorden de belangrijkste oorzaak zijn van datalekken. Als aanvallers uw wachtwoord kraken, krijgen ze toegang tot uw persoonlijke gegevens, financiële gegevens en zakelijke accounts. Slechte wachtwoordpraktijken kunnen leiden tot identiteitsdiefstal, financieel verlies en ernstige reputatieschade.
Wanneer u sterke wachtwoordbeveiliging gebruikt, creëert u een barrière die het voor cybercriminelen veel moeilijker maakt om u aan te vallen.
U kunt de veiligheid van uw wachtwoord controleren met behulp van verschillende tools voor het testen van wachtwoordsterkte. Deze tools analyseren de lengte en complexiteit van uw wachtwoord en controleren of het is blootgesteld aan datalekken. Ze vertellen u hoe lang het zou duren voordat aanvallers uw wachtwoord kunnen kraken met behulp van brute force-aanvallen. Gebruik deze tools om uw bestaande wachtwoorden te testen en zwakke wachtwoorden te verbeteren.
U kunt uw wachtwoorden veilig maken door minimaal 12-15 tekens te gebruiken met een combinatie van hoofdletters, kleine letters, cijfers en symbolen. Maak unieke wachtwoorden voor elk account en gebruik ze nooit voor meerdere sites. Gebruik een wachtwoordbeheerder om complexe wachtwoorden te genereren en veilig op te slaan.
Schakel waar mogelijk meervoudige authenticatie in om een extra beveiligingslaag toe te voegen. Gebruik geen persoonlijke informatie of veelvoorkomende woorden in uw wachtwoorden.
U kunt de wachtwoordbeveiliging verbeteren door over te stappen op langere wachtzinnen in plaats van complexe korte wachtwoorden. Gebruik wachtwoordbeheerders om unieke, willekeurige wachtwoorden voor al uw accounts te maken. Stel meervoudige authenticatie in voor alle belangrijke accounts, met name bank- en e-mailaccounts.
Controleer regelmatig of uw wachtwoorden zijn gecompromitteerd bij datalekken met behulp van tools zoals SentinelOne en Have I Been Pwned. Vervang zwakke of hergebruikte wachtwoorden onmiddellijk en werk ze bij als ze zijn blootgesteld.
De beste praktijken voor wachtwoordbeveiliging zijn onder meer het gebruik van wachtwoorden die minimaal 12 tekens lang zijn en verschillende soorten tekens bevatten. Gebruik wachtwoorden nooit voor verschillende accounts en maak voor elke dienst unieke wachtwoorden aan. Gebruik gerenommeerde wachtwoordbeheerders om uw wachtwoorden veilig te genereren, op te slaan en automatisch in te vullen.
Schakel multi-factor authenticatie in op alle accounts die dit ondersteunen. Schrijf wachtwoorden niet op en sla ze niet op op onbeveiligde plaatsen, zoals spreadsheets. Controleer uw wachtwoorden regelmatig en vervang wachtwoorden die gecompromitteerd zijn.
