Regelmatig je wachtwoord wijzigen, zinvol of niet?
Mensen blijken zich op een voorspelbare wijze te gedragen wanneer ze een wachtwoord moeten maken wat aan bepaalde vereisten voldoet. Op deze manier werken de eisen die we stellen aan de wachtwoorden die ze bedenken contraproductief, en worden de wachtwoorden dus zwakker.
Afdwingen van lange wachtwoorden werkt niet
Vereisen dat een wachtwoord minimaal 10 karakters lang is, heeft tot gevolg dat wachtwoorden eenvoudiger te raden worden. Mensen hebben namelijk de nijging om korte woorden te herhalen tot de vereiste lengte. Denk aan combinaties als “loginlogin”, “abcabcabc” en “passwordpassword”.
Ook is het waarschijnlijker dat de lengte van een wachtwoord in de buurt van het vereiste minimum aantal karakters ligt. Vereis je tien tekens, dan zullen de meeste wachtwoorden ook tien tekens bevatten. Handig voor iemand die je wachtwoord probeert te achterhalen!
Tot slot wordt de kans groter dat mensen het wachtwoord opschrijven, hergebruiken en/of ergens onversleuteld in een bestand opslaan, als je lange wachtwoorden vereist.
Afdwingen van verschillende karakters werkt niet
Vaak eisen we van een gebruiker dat zijn/haar wachtwoord uit diverse tekens bestaat. Vaak is de minimale eis bijvoorbeeld het toepassen van hoofd- en kleine letters, een cijfer en een speciaal teken (@#!$). Wat blijkt nu uit onderzoek? Ook van deze eisen worden wachtwoorden zwakker. Vraag personen een wachtwoord te bedenken met deze vereisten en de kans is groot dat het wachtwoord begint met een hoofletter, eindigt met een speciaal teken en een cijfer op één van de laatste twee posities. Dit weten hackers ook en zo hoeven zij slechts een relatief beperkt aantal mogelijke wachtwoorden te proberen.
Het laten verlopen van een wachtwoord helpt niet
Uit onderzoek is gebleken dat wanneer je mensen dwingt om regelmatig hun wachtwoord te wijzigen deze wachtwoorden zwakker en dus makkelijke te raden worden. Niet zelden wordt het nieuwe wachtwoord namelijk niet totaal anders, maar wordt één teken aangepast, of het getal met één verhoogd. Uiteraard weten ook hackers dit en zullen bij een verkregen wachtwoord wat niet werkt, eerst een variant proberen. Uit een studie van de University of North Carolina is gebleken dat 17% van de wachtwoorden binnen vijf keer geraden werd als een oud wachtwoord werd gegeven.
Hoe dwing je dan wel een sterk wachtwoord af?
Er zijn eigenlijk slechts twee eisen die je hoeft te stellen als je gebruikers vraagt een wachtwoord aan te maken:
- Je wachtwoord moet minimaal 8 karakters lang zijn, langer is echt niet nodig.
- De mag geen veelvoorkomende, eenvoudige wachtwoorden gebruiken zoals “123456”, “qwertyui”, “abc123”, “wachtwoord” etc.
Gebruik alleen unieke wachtwoorden
Verder is het van belang om gebruikers er bewust van te maken dat zij wachtwoorden (in ieder geval die van het bedrijf) niet moeten hergebruiken bij andere systemen. Op deze manier voorkom je dat wanneer een systeem wordt gehackt en wachtwoorden op straat komen te liggen, deze niet eenvoudig op andere systemen gebruikt kunnen worden.
Multifactor Authenticatie gebruiken
Maak waar mogelijk gebruik van Multi Factor Authenticatie. Dit zorgt ervoor dat wanneer een wachtwoord in verkeerde handen valt, men daarmee nog geen toegang kan krijgen tot het bijhorende account. Voor het inloggen is immers een tweede factor (vaak een code gegenereerd op een telefoon) nodig.
Controle en monitoring
Als bedrijf kan je gebruik maken van de nieuwste technieken in bijvoorbeeld office 365 om frauduleus gebruik van accounts te detecteren en te voorkomen. Een van de mogelijkheden die gebruikt wordt is locatie detectie, het is onmogelijk om nu in Nederland in te loggen, en 10 minuten later in Rusland. Door dashboards, signaleringen en alarmering kan misbruik effectiever worden voorkomen.