Beheer

Security
wachtwoord

Wachtwoordregels? Vergeet ze! Hier zijn drie radicaal nieuwe

Het National Institute of Standards and Technology (NIST) gooit in een nieuw advies alle irritante regels overboord.

© Pixabay Public Domain CC0,  Thomas Breher
20 april 2017

Het National Institute of Standards and Technology (NIST) gooit in een nieuw advies alle irritante regels overboord.

Wie krijgt niet een punthoofd van alle regels waaraan een wachtwoord moet voldoen? Dan hanteren ook verschillende organisaties weer andere, soms conflicterende eisen. En toch zijn wachtwoorden als '12345678' en 'password' nog steeds de meestgebruikte. NIST bedacht simpele regels die aan deze situatie een einde aan moeten maken.

Tot nog toe was de trend gebruikers te vragen steeds ingewikkelder wachtwoorden te onthouden. Dat werd nog eens bemoeilijkt doordat de wachtwoorden met regelmaat gewisseld moeten worden. NIST heeft nu een concept opgesteld om het allemaal anders te doen.

Nu schrijft NIST niemand de wet voor, maar voor Amerikaanse overheidsorganisaties en in het kielzog daarvan veel grote en kleinere organisaties op internet, zijn de adviezen van NIST een zeer belangrijke factor in hun beleidsbepaling.

NIST stelt de volgende drie veranderingen voor:

 AG tekstballon-1Geen periodieke verandering van wachtwoorden meer. Het was al uit verschillende studies duidelijk dat het vaak wisselen van wachtwoorden niet helpt de veiligheid te vergroten. Om ze niet te vergeten schrijven mensen de wachtwoorden op en laten die vervolgens slingeren.

 AG tekstballon-2Geen complexiteit meer afdwingen. Het is niet langer nodig persé een combinatie van hoofd- en kleine letters, cijfers en speciale tekens te gebruiken. Mensen gingen daar creatief mee om door bijvoorbeeld 'Password1$' te gebruiken. Dat helpt de veiligheid niet te vergroten.

 AG tekstballon-3Wel: Validatie afdwingen. Elk nieuw ingegeven wachtwoord wordt vergeleken met een dynamische lijst van 'slechte wachtwoorden'. Daardoor is het dus onmogelijk wachtwoorden te gebruiken die hackers makkelijk kunnen achterhalen.

De vraag is hoe relevant de adviezen van NIST nog zijn nu organisaties als zij hun wachtwoord beleid aanpassen eerder het gebruik van authenticatie op basis van twee factoren (two factor authentication) overwegen. In dat geval moet naast de combinatie van gebruikersnaam en wachtwoord ook nog een code worden ingevoerd die bijvoorbeeld via SMS wordt toegezonden.

De invoering van two factor authentication is echter technisch complexer dan het toepassen van de nieuwe NIST-regels. Ook is het gebruik van two factor authentication voor de gebruiker ingewikkelder waardoor klanten op een e-commercewebsite eerder hun aankoop staken. Met de NIST-regels wordt bovendien ook two factor authentication beter bestand tegen aanvallen.

Lees meer over
Lees meer over Beheer OP AG Intelligence
13
Reacties
Anoniem 25 april 2017 16:48
Anoniem 22 april 2017 17:35
Anoniem 22 april 2017 17:24
Anoniem 21 april 2017 11:00
Anoniem 21 april 2017 11:00
Anoniem 20 april 2017 23:41
Anoniem 20 april 2017 22:36
Anoniem 20 april 2017 22:09
Anoniem 20 april 2017 21:49
Anoniem 20 april 2017 14:02
Anoniem 20 april 2017 12:51
Anoniem 20 april 2017 12:45
Anoniem 20 april 2017 12:39
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.