Regelmatig veranderen van wachtwoord levert meer risico dan voordeel op. Maar wat helpt dan wel?
In veel organisaties is het verplicht om regelmatig wachtwoorden te wijzigen.
Sommige ICT-afdelingen laten medewerkers om de 60 of 90 dagen een nieuw wachtwoord bedenken.
In het kader van de AVG lijkt dat logisch, maar uit onderzoek blijkt dat de nieuwe wachtwoorden wellicht juist voor meer risico zorgen.
Elke 60 of 90 dagen wachtwoord veranderen?
Elke 60 of 90 dagen knippert er na het inloggen een vriendelijk, doch dringend en irritant verzoek op het beeldscherm. Je moet het wachtwoord veranderen.
Bij veel mensen zorgt dat voor stress. Ze worden gek van alle wachtwoorden en pincodes die ze voor tal van dingen moeten onthouden.
Een wachtwoord wijzigen betekent bovendien vaak dat de instellingen op diverse apparaten tegelijkertijd moeten worden aangepast.
Stress! Zelfde wachtwoord op meerdere apparaten
Als het bijvoorbeeld om het wachtwoord voor je mailbox gaat moet dat niet alleen worden gewijzigd op de computer op de zaak, maar ook op je mobiele telefoon, je tablet, in Outlook thuis, in Microsoft-teams en andere gerelateerde toepassingen.
Als je al de gewijzigde gegevens niet tijdig op alle apparaten invoert komt het volgende stressmoment… Omdat de vergeten tablet op de achtergrond telkens met het oude, nu onjuiste wachtwoord, inlogt blokkeert de mailbox automatisch.
De eigenaar heeft niet in de gaten waarom. Staat er niet bij stil dat hij de tablet vergeten is.
Enige oplossing: weer een nieuw wachtwoord bedenken. Het hele circus begint opnieuw.
Het resultaat: geen veiligheidswinst
Verschillende wetenschappelijkers hebben onderzocht of de gedwongen reguliere wachtwoordwijzigingen bij bedrijven, overheden of universiteiten echt voordelen hebben.
In 2010 analyseerde de Universiteit van North Carolina in Chapel Hill de gegevens van meer dan 10.000 studenten en medewerkers die hun wachtwoorden regelmatig moesten wijzigen. Het resultaat: geen veiligheidswinst.
De meeste studenten en medewerkers veranderden hun wachtwoorden door na elke wijziging getallen toe te voegen en deze te verhogen of een kwartaal-ID toe te voegen.
Dat heeft weinig zin als het om veiligheid gaat.
Complex wiskundig onderzoeksmodel
Informaticawetenschappers aan de Carleton University in Ottawa, Canada, hebben een complex wiskundig model ontwikkeld voor het kwantificeren van de winst op het gebied van beveiliging door middel van regelmatige wachtwoordwijzigingen.
Uitkomst: de voordelen zijn relatief en rechtvaardigen de extra inspanning niet.
Sterker nog, de wachtwoordwijzigingen zouden hackers zelfs kunnen helpen bij het ontwikkelen van algoritmen die het hacken van wachtwoorden van buitenaf gemakkelijker maken.
Het is zelfs mogelijk aan de hand van gestolen wachtwoorden toekomstige nieuwe wachtwoorden te voorspellen.
En in dat geval is het wijzigen van wachtwoorden absurd.
Datalekken en hackers
Wie de vele meldingen van datalekken de afgelopen tijd heeft gevolgd zal het zijn opgevallen dat de meeste grote hackeraanvallen niet gericht zijn op gewone bedrijven en persoonlijke accounts, maar op dienstverleners met miljoenen klantenaccounts, zoals Linkedin, Myspace, Adobe, Ebay, Yahoo en anderen.
Bedrijven die slordig een back-up van hun databases hadden gemaakt.
Alle studies bevestigen dat de dwang om wachtwoorden te veranderen regelmatig leidt tot een vermindering van de kwaliteit van het wachtwoord, omdat men op de hoogte is van de vergankelijkheid ervan.
Gebruik jij een moeilijk te onthouden wachtwoord?
Mensen bedenken geen slim ingewikkeld wachtwoord, maar een wachtwoord dat gemakkelijk onthouden kan worden.
Veel gebruikers kiezen wel een wachtwoord dat voldoet aan de eisen qua lengte en moeilijkheid, maar doen dat zo dat het voor hackers eenvoudig te kraken is.
Je herkent het vast zelf ook wel… Triviale wachtwoorden zoals “Ghjk098#” als een reeks letters op de middelste rij van het toetsenbord gevolgd door cijfers in omgekeerde volgorde.
Vergeet je niet zo snel. Makkelijk te visualiseren.
Cybercriminelen gebruiken intelligente hacktools
Hackers weten dat. Dit zijn de eerste combinaties die door de hacksotfware van cybercriminelen worden geprobeerd.
Zelfs het gegeven advies om zoveel mogelijk getallen, hashtags en andere speciale tekens te combineren is niet bestand tegen de slimme software die hackers gebruiken.
Uit wiskundig onderzoek blijkt dat een goed wachtwoord zeker geen namen, woorden of woordfragmenten mag bevatten.
Maar wat helpt dan wel? Wachtwoordmanagers!
Heel simpel. Maak gebruik van wachtwoordmanagers als LastPass of 1Password.
Bedenk voor deze passwordtools een wachtwoordzin met cijfers of speciale tekens.
En die zin moet minimaal 10 tekens bevatten. Meer lengte is altijd beter dan meer cijfers en speciale tekens.
Zelfs de snelste computers met de meest geavanceerde hacksoftware hebben jaren nodig om de code met meer dan 10 tekens te kraken.
Vervolgens maak je met de wachtwoordtool moeilijke veilige wachtwoorden die je zelf niet hoeft te onthouden. Die je niet in notitieblokken of “strategisch” in onder je contacten op je telefoon moet opslaan om ze te kunnen terugvinden.
Nieuw wachtwoord voor iedere toepassing
Laat de wachtwoordmanager gewoon voor iedere toepassing waar een wachtwoord voor nodig is automatisch een cryptisch wachtwoord van meer dan 10 tekens genereren.
Dat hoef je dan zelf niet meer te onthouden. En als er ooit een database wordt gehackt hoef je alleen dat ene wachtwoord voor die toepassing te wijzigen.
2FA met bijvoorbeeld Google Authenticator
En pas ten slotte zo veel mogelijk two-factor authenticatie toe. Gebruik Google Authenticator ook wel bekend als 2FA.
Zelfs als je wachtwoord wordt gekraakt kan de cybercrimineel dan nog niets beginnen. En jij krijgt op je telefoon meteen een waarschuwing dat iemand probeert digitaal in te breken bij jou.
Dat is beter dan het voortdurend wijzigen van wachtwoorden.