Eindgebruikers moet je niet tergen met complexe wachtwoorden
Eindgebruikers hebben een hekel aan complexe wachtwoorden. En helemaal als ze die periodiek moeten wijzigen. Gelukkig blijken zowel complexe wachtwoorden als ook periodieke wijziging onnodig: dat beveiligingsbeleid is al jaren achterhaald. Dus stop ermee!
© Shutterstock
Shutterstock
Het begon bijna 20 jaar geleden. Toen, in 2003, werkte Bill Burr voor het National Insitute of Standards and Technology (NIST) een goed geacht wachtwoordbeleid uit in het document ‘Electronic Authentication Guideline (SP 800-63)’. Daaruit volgen de eisen aan sterke wachtwoorden die we inmiddels allemaal wel kennen. Goede, sterke wachtwoorden:
- Bestaan uit minimaal 8 tekens
- Gebruiken afwisselend hoofd- en kleine letters
- Bevatten minimaal één getal of speciaal teken
- Veranderen regelmatig, bijvoorbeeld iedere 90 dagen
Deze eisen zijn gestoeld op het vergroten van het aantal mogelijkheden die een hacker moet doorlopen om alle mogelijke combinaties uit te proberen. Een wachtwoord dat alleen uit 8 kleine (onderkast) letters bestaat, heeft 26 tot de macht 8 mogelijkheden. Hoofdletters erbij betrekken, vergroot het aantal mogelijkheden naar 52 tot de macht 8.
Alleen beschermen sterke wachtwoorden eindgebruikers níet tegen alternatieve methoden om wachtwoorden te achterhalen. Denk aan het afluisteren van het toetsenbord of klembord, social engineering en phishing. Deze alternatieve hackmogelijkheden zijn tegenwoordig behoorlijk gangbaar.
Wat gebruikers doen
Bovendien staat er in het NIST-document uit 2003 een belangrijke kanttekening: "Unfortunately, we do not have much data on the passwords users choose under particular rules". Bijna twee decennia later weten we heel goed wat voor wachtwoorden gebruikers kiezen om aan deze regels te voldoen: wachtwoorden opschrijven en bij iedere verplichte wijziging een nummertje ophogen.
Het ophogen van een nummer draagt helaas niet bij aan de beoogde ‘entropie’ van een wachtwoord; hoe willekeurig en dus moeilijk te raden het is. Sterker nog, aan de hand van een gestolen verlopen wachtwoord is het nieuwe geldige wachtwoord met grote zekerheid te raden.
Bill Burr heeft in een interview met The Wall Street Journal in 2017 aangegeven dat het in 2003 geformuleerde wachtwoordadvies niet goed was. In ‘NIST Special Publication 800-63B Appendix A - Strength of Memorized Secrets’ is het beleid dan ook herzien naar alleen ‘lange’ wachtwoorden, plus de maatregel om die te controleren tegen een zwarte lijst.
Moderne tijd, moderne maatregelen
Auditors baseren zich helaas nog vaak op het NIST-beleid uit 2003. Microsoft heeft het beleid voor het verlopen van wachtwoorden mede daarom uit zijn Security Baseline gehaald. De argumentatie daarbij is:
- Als een wachtwoord niet is gestolen, hoeft het niet te verlopen
- Als je weet dat een wachtwoord is gestolen, wil je direct maatregelen nemen
- Als je dénkt dat een wachtwoord is gestolen, wil je binnen de gangbare termijnen van 42, 60, 90 of 180 dagen maatregelen nemen
In plaats van de 2003-aanpak die in de praktijk niet goed blijkt te zijn, stuurt Microsoft aan op moderne maatregelen zoals multifactor-authenticatie, een zwarte lijst van wachtwoorden en het detecteren van vreemde inlogpogingen. Dit zijn maatregelen die beter beschermen tegen de gangbare methoden die hackers en cybercriminelen gebruiken én die eindgebruikers niet onnodig wachtwoordwerk bezorgen. Stop dus met het tergen van je eindgebruikers.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee