Het gebruik van sterke wachtwoorden.

De wereld wordt steeds digitaler. Naast je ‘gewone’ identiteit heb je tegenwoordig ook een digitale identiteit. Deze identiteit creëer je als je gebruik maakt van online accounts. Dat bepaald wie je bent, wat je mag en welke gegevens je mag benaderen. Juist vanwege die gegevens is jouw identiteit interessanter dan ooit voor hackers en mensen die kwaadwillen.. 

In 2015 was dat volgens Dashlane gemiddeld 90 accounts. In 2018 waren dat er al 191 en door de coronacrisis versneld deze trend.

Om toegang te krijgen tot je digitale identiteit heb je gebruikersnamen en wachtwoorden. Het aantal accounts per persoon stijgt al jaren. In 2015 was dat volgens Dashlane gemiddeld 90 accounts. In 2018 waren dat er al 191 en door de coronacrisis versneld deze trend. Om misbruik tegen te gaan worden accounts steeds vaker voorzien van een twee-stap-verificatie of vervangen door passwordless authentificatie zoals je vingerafdruk of gezichtsherkenning. Wachtwoorden blijven belangrijk zolang twee-staps-verificatie of passwordless authentificatie nog geen gemeen goed is.  

Het belang van sterke wachtwoord

Het belang van sterke wachtwoorden wordt continue onder de aandacht gebracht. Toch zijn volgens een onderzoek van Info Security Magazine (juni 2020) nog 39% van de gebruikte wachtwoorden onveilig. Logisch, want het is verleidelijk om voor elke app, website of apparaat hetzelfde wachtwoord te gebruiken. Een wachtwoord wat je zelf ook nog eens eenvoudig kunt onthouden. Maar als jij dit wachtwoord makkelijk kunt onthouden, dan kan een hacker deze ook makkelijk kraken. Hoe kun je nu toch zorgen voor sterke wachtwoorden?

Wat verstaan we onder een sterk wachtwoord?

Een sterk wachtwoord is niet te raden en moeilijk te kraken door een computer. Toch zijn er veel verschillende meningen over een sterk wachtwoord en het beleid wat daarvoor geldt. Een ding is wel duidelijk: een wachtwoordenbeleid moet regelmatig onder de loep genomen worden. Software om wachtwoorden te achterhalen wordt steeds beter, computers worden sneller en hackers slimmer. Intern kun je met een wachtwoordbeleid het gebruik van sterke wachtwoorden afdwingen. Externe partijen hebben echter vaak zelf een eigen wachtwoordenbeleid. Zorg dat gebruikers zich bewust zijn van de risico’s en ook bij deze externe partijen een sterk wachtwoord gebruiken.

Een wachtwoordenbeleid schept helderheid binnen de organisatie en zorgt dat je sterke wachtwoorden kunt afdwingen.

Het opstellen van een goed wachtwoordenbeleid

Om je op weg te helpen met een goed wachtwoordenbeleid hebben we de volgende 7 tips voor je

1. Gebruik zoveel mogelijk verschillende wachtwoorden. Vertel gebruikers dat ze een zakelijke wachtwoord nooit bij een privé account gebruiken.
2. Vermijd het gebruik van generiek wachtwoorden of een herhaling van die wachtwoorden. In de lijst van meest gebruikte wachtwoorden van 2019 staan 12345, 123456, 123456789, test1, password, 12345678, qwerty en asdf nog steeds in de top 10.
3. Zorg dat wachtwoorden lang genoeg zijn. Het kraken van een wachtwoord van 8 karakters (0-9,a-z, A-Z,%-$) duur tegenwoordig maximaal 3 uur. Voor wachtwoorden geldt: hoe langer hoe beter! Elk jaar worden computers sneller en de tijd om een wachtwoord te kraken korter.  IT Security Kompas adviseert om minimaal 12 karakters te gebruiken, eventueel zonder speciale karakters. Het kraken duurt dan maximaal 1.000 jaar. Bekijk ook eens de  wachtwoordkraak test van Veiliginternetten.nl.
4. Maak eventueel gebruik van speciale karakters, dus zowel numeriek, hoofd- en kleine letters en speciale karakters zoals %,@ of $. Het verhogen van de maximale lengte van een wachtwoord met 1 extra karakter creëert een veiliger wachtwoord dan het afdwingen van het gebruik van speciale karakters.
5. Blokkeer een account na maximaal 5 foutieve inlogpogingen. Deblokkeer het account na 10 minuten. Dit ontlast de helpdesk.
6. Vermijd hergebruik van wachtwoorden door de gebruikers in te lichten. Kijk ook naar een wachtwoordmanager of Single Sing On..
7. Zorg dat gebruikers hun wachtwoorden nooit ergens opslaan en met iemand hoeven te delen. Ook niet met de IT-afdeling! Communiceer dat goed naar de gebruiker zodat ze het wachtwoord ook nooit delen.

Hoe kun je het gebruik van sterke wachtwoorden stimuleren?

Sterke wachtwoorden zijn moeilijk te onthouden. Dat is ook de bedoeling. Geef de gebruiker daarom de volgende tips mee zodat het gebruik van sterke wachtwoorden makkelijker wordt.
Combineer een persoonlijk, goed te onthouden zin met enkele persoonlijke kenmerken. Hiermee creëer je geen wachtwoord, maar een wachtzin. Als je deze wachtzin vervolgens op een eigen manier bewerkt dan heb je een bijzonder sterk wachtwoord. Als voorbeeld: “Over de muur, over het ijzeren gordijn, 1984.” wordt “Ovdemu,ovheijgo,1984”.
Gebruik 3 willekeurige woorden om een wachtwoord te creeren en vul die aan met getallen en eventueel symbolen. Vermijdt hierbij woorden zoals de naam van familieleden of huisdieren, geboortedatums, geboorteplaats of andere woorden die gemakkelijk te vinden zijn op sociale media. Bijvoorbeeld “6Fiets=leeg10rozen”.

Extra TIP: Maak binnen jouw organisatie zoveel mogelijk gebruik van Single Sign-On. Dat beperkt het aantal accounts en dus het aantal wachtwoorden aanzienlijk

Frequentie voor het veranderen van een wachtwoord

Het heeft weinig nut om gebruikers elke maand hun wachtwoord te laten wijzigen. Dit bevordert namelijk het gebruik van voorspelbare wachtwoorden. IT Security Kompas adviseert om het wachtwoord elke 6 maanden te laten wijzigen. Is het wachtwoord van een van je accounts mogelijk gestolen? Verander het dan direct en wacht er niet mee.

In een volgend artikel gaan we in op het gebruik van wachtwoord managers en Multi-factor authentificatie (MFA). Heb je in de tussentijd vragen over een wachtwoordenbeleid of over sterke wachtwoorden? Laat het ons dan gerust weten!