Stop met wachtwoorden

Stop met wachtwoorden

DearBytesBlogStop met wachtwoorden

Al jaar en dag gebruiken we wachtwoorden om toegang tot systemen, applicaties en bestanden te beheren. En al jaar en dag falen we in het correct gebruik van wachtwoorden. In december van 2015 was een database van ESA gelekt en bevatte naast telefoonnummers, emailadressen ook wachtwoorden. Uit deze lijst met wachtwoorden was 39% niet langer dan drie karakters. Ja, drie karakters en dan ook voornamelijk simpele combinaties zoals “esa” of “469”. Om even beeld te schetsen hoe snel een drie letterig wachtwoord kan worden achterhaald: dit kost een aanvaller met een desktop pc slechts 0.000004394 seconden. Nu is dit helaas geen eenmalig incident want ook in Nederland is soms het gebruik van wachtwoorden bedroevend slecht.

(Wan)beleid

Nu hebben de meeste organisaties wel een wachtwoordbeleid die bepaalde eisen stelt aan een wachtwoord. Maar controleert u ook met regelmaat uw netwerk, systemen, applicaties en bestanden op dit beleid? En is uw beleid wel nog up to date?
Aanvallers hebben steeds betere middelen en dankzij steeds snellere processortechnieken wordt het achterhalen van wachtwoorden eenvoudiger. U kunt hierop inspelen door uw wachtwoordbeleid aan te passen. In plaats van 8 karakters moet een gebruiker nu 12 tekens opgeven, waarvan drie cijfers, minimaal 3 hoofdletters, een symbool zoals “!” en mag het geen woord vormen. Owja en deze moet u iedere 30 dagen verplicht wijzigen en mag niet lijken op de vorige. Het probleem wat nu ontstaat is dat gebruikers “wachtwoord-moe” raken. Men moet om de 30 dagen een unieke combinatie bedenken en moeten deze onthouden. En hierin schuilt het gevaar. We hebben nu het risico van zwakke wachtwoorden verschoven naar een risico waar de gebruiker wachtwoorden op gaat schrijven in niet-beveiligde bestanden, post-its of externe middelen. U verliest nu eigenlijk de controle over uw wachtwoordbeleid. Kunt u werkelijk van uw gebruikers vragen om complexe wachtwoorden te bedenken én te onthouden?

Mijn antwoord is nee. Veel gebruikers hebben geen affiniteit met beveiliging en willen gewoon werken. Complexe wachtwoorden zijn voor gebruikers eerder een hindernis dan een effectieve maatregel. Het kost de gebruiker tijd en energie en wil hiermee helemaal niet bezig zijn. En ik geef die gebruiker groot gelijk. Stop met informatiebeveiliging als een blokkade voor gebruikers, maar zorg juist voor synergie tussen organisatie en IT beveiliging. Klinkt allemaal mooi en goed, maar hoe dan?

Stop met wachtwoorden

Stop met wachtwoorden. Gebruik ze niet meer. Het is altijd een last geweest voor gebruikers als ze te complex moeten zijn en te gevaarlijk als ze te eenvoudig worden gemaakt. Wachtwoorden hebben hun langste tijd gehad en de tijd is om over te stappen op andere technieken. Biometrische technieken of gezichtsherkenning zijn in snelheid en veiligheid de afgelopen jaren gestegen en vragen aan de gebruiker niets om te onthouden.

Een organisatie maakte ooit de authenticatiecode online beschikbaar voor de gebruiker. Hoe? Door middel van een live verbinding met een webcam op een openbare webpagina. Zo werkt het natuurlijk niet.

Een organisatie maakte ooit de authenticatiecode online beschikbaar voor de gebruiker. Hoe? Door middel van een live verbinding met een webcam op een openbare webpagina. Zo werkt het natuurlijk niet.

Andere vertrouwde technieken zijn smart cards voorzien van Certificate Based Authentication (CBA). Een smartcard is eenvoudig voor een gebruiker. De gebruiker is hiermee immers al bekend bij de bank als pinpas en pincode. Door de gebruiker in te laten loggen met een smartcard en pincode hoeft de gebruiker alleen een code te onthouden en heeft een fysiek middel (de kaart) nodig om toegang te krijgen tot het systeem, applicatie of data.

De aanvaller heeft nu niet alleen de pincode nodig maar ook het certificaat om in te loggen. Dit maakt een aanval een stuk complexer en moeilijker terwijl het voor uw gebruikers eenvoudiger wordt om in te loggen. Ow en als u tokens met One Time Passwords gaat inzetten; DIT is niet de manier. Dat u het even weet..

🙂