Innovatie & Strategie

Dit is een bijdrage van KnowBe4
Security
St0p m3t h3t g3bru1k v@n w@chtw00rd3n!

St0p m3t h3t g3bru1k v@n w@chtw00rd3n!

Van wachtwoord naar wachtzin: 3 praktische tips voor het beschermen van je bedrijfsdata

16 december 2020
Door: KnowBe4, partner

Van wachtwoord naar wachtzin: 3 praktische tips voor het beschermen van je bedrijfsdata

Op 24 november was het Verander je Wachtwoord-Dag, een dag die in het leven is geroepen om mensen aan te sporen zorgvuldiger om te gaan met hun gekozen wachtwoorden. Voor de gemiddelde ICT'er is dat gesneden koek. Maar laten we eerlijk zijn: geldt dat ook voor alle medewerkers in je organisatie? Waarschijnlijk niet. De risico’s die hierdoor ontstaan zijn groot. Uit onderzoek van Verizon blijkt bijvoorbeeld dat 81 procent van de hacks en datalekken is te wijten aan gestolen en/of zwakke wachtwoorden. Als je medewerkers de volgende praktische tips aanreikt, dan wordt het voor cybercriminelen alweer een stuk lastiger om toegang te krijgen tot je bedrijfskritische data.

  1. Gebruik geen wachtwoord, maar een wachtzin

Bij het opstellen van een wachtwoord kiezen veel mensen voor een woord dat ze makkelijk onthouden, al dan niet aangevuld met een cijfer of bijzonder teken. Of ze verruilen een letter in dat woord voor een karakter dat er op lijkt. Stel, je bent fan van de filmserie ‘Star Wars’. Best aannemelijk dat je ‘st@rw@rs’ als wachtwoord gebruikt. Handig voor jou? Absoluut. Handig voor de cybercrimineel? Net zo goed. Want een beetje hacker heeft dankzij ‘password guessing’ jouw wachtwoord binnen no time gekraakt. Wat kun je hier tegen doen? Een best practice is om je medewerkers te adviseren niet langer wachtwoorden, maar ‘wachtzinnen’ te laten gebruiken. Of om in Star Wars-taal te blijven spreken: gebruik niet langer ‘st@rwars’, maar ‘Maytheforce_be_withyou’. Je zult je erover verbazen wat het verschil is in de tijd die het kost om beide wachtwoorden te kraken. Misschien moeten je medewerkers wat langer typen voordat ze zijn ingelogd, maar zo’n wachtzin is uiteindelijk net zo makkelijk te onthouden als een wachtwoord natuurlijk. Kijk maar naar de titel van dit verhaal :-).

  1. Combineer Multi Factor Authenticatie met een password manager

Bij de meeste online omgevingen is het mogelijk om Multi Factor Authenticatie toe te passen (MFA). Door het inbouwen van deze extra controlestap verhoog je de moeilijkheidsgraad en de tijdsdruk waaronder cybercriminelen zich toegang tot een account proberen te verschaffen. Want hoewel MFA niet onfeilbaar is, zijn de codes die medewerkers gebruiken meestal wel tijdsgebonden. En daar heeft een cybercrimineel dus ook mee te maken. Nog beter is het combineren van MFA met een password manager. Eén keer inloggen na het invoeren van een sterke wachtzin en de code van je authenticator is dan voldoende om toegang te krijgen tot al je accounts. Door een password manager te gebruiken stimuleer je medewerkers om verschillende complexe wachtzinnen (of codes) in te stellen voor al hun accounts, waarbij ze er maar ééntje hoeven te onthouden. Die van de password manager zelf. Er zijn diverse (gratis) tools beschikbaar die je daarvoor kunt inzetten.

  1. Leer de trucs achter phishing-e-mails herkennen

Een wachtwoord per mail of chat met iemand delen, dat doet toch niemand? Helaas, in de praktijk gebeurt dat nog regelmatig. Zeker als cybercriminelen het slim aanpakken. Zo zetten ze geregeld social engineering in om je medewerkers te manipuleren. Denk aan phishing-berichten, die al dan niet afkomstig lijken te zijn van een iemand met een hoge functie in de organisatie. De e-mails lijken op het eerste oog authentiek en zeker wanneer er een beetje druk op de ketel komt te staan - ‘ik heb het wachtwoord NU nodig omdat ik zo een belangrijke meeting inga’ - gaat niet meteen bij iedereen een belletje rinkelen. De complexiteit van je wachtwoord of -zin, maakt dan het verschil niet meer. Tegen social engineering kun je je wapenen door je medewerkers op regelmatige basis trainen in het herkennen van deze tactieken. Er zijn oplossingen beschikbaar waarin je je medewerkers gesimuleerde phishing-berichten kunt versturen om zo hun opgedane kennis in de praktijk toetsen.

Reactie toevoegen