Beheer

Security
wachtwoorden

Vandáág is het check-je-wachtwoord-dag, en morgen weer

Security is als sport; moet je niet één keertje per jaar wat aan doen.

25 november 2021

Officieel was het gisteren check-je-wachtwoord-dag. Een jaarlijkse dag met bijbehorend marketinggeweld en PR-pitches om mensen meer bewust te maken van het belang van een goed, krachtig wachtwoord. Maar ik zeg dat het elke dag wachtwoorddag is, of: moet zijn. (En dan niet per se om je wachtwoord te veranderen.)

Welkom01 en Welkom2021, dat doen we toch niet meer? Mag ik hopen. Want anders doen we zeer waarschijnlijk ook aan Welkom02 en Welkom2022. Zucht! Aan eindgebruikers de taak om betere, krachtige wachtwoorden te gebruiken. En/of een passwordmanager. Aan IT'ers de taak om het die gewone gebruikers niet onnodig moeilijk te maken.

Oud nieuws, al jaren

Dus geen verplichte maandelijkse wachtwoordresets, geen té machinale vereisten voor gebruik van letters en leestekens, maar ook weer niet te beperkte (of: ouderwetse) invoermogelijkheden voor wachtwoordtekens. Maar natuurlijk wel verplichte resets van wachtwoorden na een datalek. En versleutelen van opgeslagen wachtwoorden, plus Control-V toestaan voor wachtwoordinvoer. Het is allemaal niks nieuws, dit en nog veel meer zinnig security-advies. Toch is het nu in 2021 nog altijd nodig.

De jaarlijkse check-je-wachtwoord-dag en de eveneens jaarlijkse cybersecuritymaand (net in oktober geweest) hebben daar niet genoeg verandering in weten te brengen. Een cynicus zou zeggen dat zulke 'vieringen' niet meer dan marketinginitiatieven zijn van op verkoop beluste securityleveranciers. Maar dat is ook weer niet zo.

Basisbegrip

Zo af en toe stilstaan bij iets belangrijks is juist goed. En heus niet alleen voor de verkoop van aanbieder X of Y. Ook voor betere beveiliging, die vaak in de kleine dingen zit. Of eigenlijk: in de basis. Alleen: basis kan voor sommige mensen een verkeerd woord zijn; basis is voor hun het begin, en daar ben je toch wel voorbij? Een blik op wachtwoorden, wachtwoordbeleid en wachtwoordgebruik kan een heel ander beeld geven. Doe dat nu eens, voor jouw domein. En dan niet volgend jaar pas nog een keer. Security is immers net als sport: je moet blijven trainen en blijven streven.

Reactie toevoegen
2
Reacties
WL van Geldrop 27 november 2021 10:53

Het wordt tijd dat we afstappen van wachtwoorden. Het is ook met een wachtwoordmanager vrijwel onwerkbaar geworden. Ik doe het zelf 'goed' met een ww manager, voor mijn +100 accounts, die de wachtwoorden genereert en ik voeg vaak braaf 2FA toe, maar de werkbaarheid laat te wensen over. Mijn vrouw en kinderen (10 en 8jr) worden er radeloos van. Wat het wel moet zijn? Geen idee, maar dit kan toch niet het eindstation van security zijn.

Een wenselijk tussenstation zou de verplichting zijn waar account verificatie aan zou moeten voldoen:
- altijd één of meerdere authenticatie providers toestaan: openid, google, apple, facebook, etc
- ww lengte > 20 tekens toestaan
- verbeterde communicatie tussen ww manager extensie en de website die probeert te verifieren
- geautomatiseerd ww reset
- etc

Vloeiende ervaring en toch veilig zonder achterlijke veiligheidsdrempels, zoals inderdaad geen Ctrl-V toestaan voor wachtwoord plakken.

Erik Erik 25 november 2021 15:02

Ook wachtwoordmanagers vertrouw ik niet volledig. Ik gebruik in mijn wachtwoorden altijd minimaal 1 teken dat ik moet vervangen door een 'pincode'. Bv de eerste/laatste 'a' in een wachtwoord moet ik vervangen door 'naarB' oid. Op deze manier kan ik veel unieke ww opslaan in een manager, maar toch is nog een tweede stap nodig bij het invullen. Nadeel is dat wwmanager geen ww direct kan invullen in browser, maar dat neem ik dan maar voor lief.