Selecteer een pagina

Regelmatig veranderen van wachtwoord levert meer risico dan voordeel op. Maar wat helpt dan wel?

In veel organisaties is het verplicht om regelmatig wachtwoorden te wijzigen.

Sommige ICT-afdelingen laten medewerkers om de 60 of 90 dagen een nieuw wachtwoord bedenken.

In het kader van de AVG lijkt dat logisch, maar uit onderzoek blijkt dat de nieuwe wachtwoorden wellicht juist voor meer risico zorgen.

Elke 60 of 90 dagen wachtwoord veranderen?

Elke 60 of 90 dagen knippert er na het inloggen een vriendelijk, doch dringend en irritant verzoek op het beeldscherm. Je moet het wachtwoord veranderen.

Bij veel mensen zorgt dat voor stress. Ze worden gek van alle wachtwoorden en pincodes die ze voor tal van dingen moeten onthouden.

Een wachtwoord wijzigen betekent bovendien vaak dat de instellingen op diverse apparaten tegelijkertijd moeten worden aangepast.

Stress! Zelfde wachtwoord op meerdere apparaten

Als het bijvoorbeeld om het wachtwoord voor je mailbox gaat moet dat niet alleen worden gewijzigd op de computer op de zaak, maar ook op je mobiele telefoon, je tablet, in Outlook thuis, in Microsoft-teams en andere gerelateerde toepassingen.

Als je al de gewijzigde gegevens niet tijdig op alle apparaten invoert komt het volgende stressmoment… Omdat de vergeten tablet op de achtergrond telkens met het oude, nu onjuiste wachtwoord, inlogt blokkeert de mailbox automatisch.

De eigenaar heeft niet in de gaten waarom. Staat er niet bij stil dat hij de tablet vergeten is.

Enige oplossing: weer een nieuw wachtwoord bedenken. Het hele circus begint opnieuw.

Het resultaat: geen veiligheidswinst

Verschillende wetenschappelijkers hebben onderzocht of de gedwongen reguliere wachtwoordwijzigingen bij bedrijven, overheden of universiteiten echt voordelen hebben.

In 2010 analyseerde de Universiteit van North Carolina in Chapel Hill de gegevens van meer dan 10.000 studenten en medewerkers die hun wachtwoorden regelmatig moesten wijzigen. Het resultaat: geen veiligheidswinst.

De meeste studenten en medewerkers veranderden hun wachtwoorden door na elke wijziging getallen toe te voegen en deze te verhogen of een kwartaal-ID toe te voegen.

Dat heeft weinig zin als het om veiligheid gaat.

Complex wiskundig onderzoeksmodel 

Informaticawetenschappers aan de Carleton University in Ottawa, Canada, hebben een complex wiskundig model ontwikkeld voor het kwantificeren van de winst op het gebied van beveiliging door middel van regelmatige wachtwoordwijzigingen.

Uitkomst: de voordelen zijn relatief en rechtvaardigen de extra inspanning niet.

Sterker nog, de wachtwoordwijzigingen zouden hackers zelfs kunnen helpen bij het ontwikkelen van algoritmen die het hacken van wachtwoorden van buitenaf gemakkelijker maken.

Het is zelfs mogelijk aan de hand van gestolen wachtwoorden toekomstige nieuwe wachtwoorden te voorspellen.

En in dat geval is het wijzigen van wachtwoorden absurd.

Datalekken en hackers

Wie de vele meldingen van datalekken de afgelopen tijd heeft gevolgd zal het zijn opgevallen dat de meeste grote hackeraanvallen niet gericht zijn op gewone bedrijven en persoonlijke accounts, maar op dienstverleners met miljoenen klantenaccounts, zoals Linkedin, Myspace, Adobe, Ebay, Yahoo en anderen.

Bedrijven die slordig een back-up van hun databases hadden gemaakt.

Alle studies bevestigen dat de dwang om wachtwoorden te veranderen regelmatig leidt tot een vermindering van de kwaliteit van het wachtwoord, omdat men op de hoogte is van de vergankelijkheid ervan.

Gebruik jij een moeilijk te onthouden wachtwoord?

Mensen bedenken geen slim ingewikkeld wachtwoord, maar een wachtwoord dat gemakkelijk onthouden kan worden.

Veel gebruikers kiezen wel een wachtwoord dat voldoet aan de eisen qua lengte en moeilijkheid, maar doen dat zo dat het voor hackers eenvoudig te kraken is.

Je herkent het vast zelf ook wel… Triviale wachtwoorden zoals “Ghjk098#” als een reeks letters op de middelste rij van het toetsenbord gevolgd door cijfers in omgekeerde volgorde.

Vergeet je niet zo snel. Makkelijk te visualiseren.

Cybercriminelen gebruiken intelligente hacktools

Hackers weten dat. Dit zijn de eerste combinaties die door de hacksotfware van cybercriminelen worden geprobeerd.

Zelfs het gegeven advies om zoveel mogelijk getallen, hashtags en andere speciale tekens te combineren is niet bestand tegen de slimme software die hackers gebruiken.

Uit wiskundig onderzoek blijkt dat een goed wachtwoord zeker geen namen, woorden of woordfragmenten mag bevatten.

Maar wat helpt dan wel? Wachtwoordmanagers!

Heel simpel. Maak gebruik van wachtwoordmanagers als LastPass of 1Password.

Bedenk voor deze passwordtools een wachtwoordzin met cijfers of speciale tekens.

En die zin moet minimaal 10 tekens bevatten. Meer lengte is altijd beter dan meer cijfers en speciale tekens.

Zelfs de snelste computers met de meest geavanceerde hacksoftware hebben jaren nodig om de code met meer dan 10 tekens te kraken.

Vervolgens maak je met de wachtwoordtool moeilijke veilige wachtwoorden die je zelf niet hoeft te onthouden. Die je niet in notitieblokken of “strategisch” in onder je contacten op je telefoon moet opslaan om ze te kunnen terugvinden.

Nieuw wachtwoord voor iedere toepassing

Laat de wachtwoordmanager gewoon voor iedere toepassing waar een wachtwoord voor nodig is automatisch een cryptisch wachtwoord van meer dan 10 tekens genereren.

Dat hoef je dan zelf niet meer te onthouden. En als er ooit een database wordt gehackt hoef je alleen dat ene wachtwoord voor die toepassing te wijzigen.

2FA met bijvoorbeeld Google Authenticator

En pas ten slotte zo veel mogelijk two-factor authenticatie toe. Gebruik Google Authenticator ook wel bekend als 2FA.

Zelfs als je wachtwoord wordt gekraakt kan de cybercrimineel dan nog niets beginnen. En jij krijgt op je telefoon meteen een waarschuwing dat iemand probeert digitaal in te breken bij jou.

Dat is beter dan het voortdurend wijzigen van wachtwoorden.

Phishing aanvallen volledig elimineren met verplichte 2-factor authenticatie groot succes bij Google

Hoe voorkom je phishing aanvallen door cybercriminelen? Maak net als Google voortaan standaard gebruik van 2-factor identificatie.

Google verplicht 85.000 werknemers sinds begin 2017 tot het gebruik van twee-factor-authenticatie. Er blijkt sindsdien geen enkele succesvolle aanval op Google-medewerkers te hebben plaatsgevonden.

Organisaties zijn sinds de invoering va de Algemene Verordening Gegevensbescherming (AVG) verplicht om maatregelen te treffen om persoonsgegevens die zij verwerken te beschermen tegen aanvallen van cybercriminelen.

Het eerste waar bedrijven dan aan denken is het installeren van een actuele virusscanner en een firewall. Twee-factor-authenticatie is vaak nog een ondergeschoven maatregel. Veel medewerkers vinden de maatregel omslachtig. Irritant.

Het succes van de verplichte twee-factor-authenticatie voor medewerkers van Google bewijst dat de negatieve gebruikservaring in het niet valt bij het positieve beveiligingseffect. De kans op een succesvolle phishingaanval is dankzij twee-factor-authenticatie nihil.

Als u uw online accounts effectief wilt beschermen tegen aanvallen, kunt u authenticatie met twee factoren daarom niet langer vermijden.

Phishing-aanvallen zijn de laatste jaren veel geavanceerder geworden. Vroeger verstuurden cybercriminelen bulkmails in de wetenschap dat er altijd een paar geadresseerden in de phishi gval zouden trappen. Wie goed oplette kon deze phishingmails zelf met het blote oog wel herkennen.

Tegenwoordig werken de cybercriminelen geraffineerder. Ze versturen individueel aangepaste mails. Ze maken daarbij gebruik van persoonlijke informatie die elders op het web is verzameld over de persoon die ze willen aanvallen. Daarnaast maken ze gebruik van replica’s van de inlogpagina’s van Gmail, iCloud en Co. die nauwelijks te onderscheiden zijn van de originele websites.

Twee-factor authenticatie voorkomt dat een cybercrimineel kan inloggen op een account met inloggegevens die via een phishingaanval zijn onderschept.

Als twee-factorfunctie geactiveerd is zijn de inloggegevens alleen niets meer waard voor criminelen omdat ze hun identiteit ook nog eens moeten bevestigen met een authenticator app die gekoppeld is aan een persoonlijke smartphone.

Daarnaast zijn er ook beveiligingssleutels beschikbaar in de vorm van een USB-stick en modellen met NFC- en Bluetooth-ondersteuning.

Ook bestaat er twee-factor authenticatie op basis van SMS. Deze beveiliging wordt echter als veel minder veilig beschouwd, omdat er verschillende manieren zijn om toegang te krijgen tot het telefoonnummer van een persoon en daar de corresponderende codes te onderscheppen.