Zoals de meeste IT-gebruikers kreeg ik altijd te horen dat het erg belangrijk is om je wachtwoord regelmatig te wijzigen, het supercomplex te maken en niets te gebruiken dat je eerder hebt gebruikt. Als een brave jongen heb ik dat beleid natuurlijk altijd tot op de letter gevolgd! Of toch niet?! Ik heb al zoveel accounts regelmatig moeten resetten, dat kan iedereen verleiden om de fout in te gaan.
Wat doe je dan?
Je begint manieren te bedenken om complexe wachtwoorden te maken die gemakkelijk te onthouden zijn en zodra je ze weer moet wijzigen, voeg je gewoon een cijfer aan het einde toe. Ik werk voor Valid Infra Pro's, dus een geweldig goed en complex wachtwoord zou beginnen met V@L1D toch? Misschien maak ik het M@ur1c3-V@L1D1?! Bijna elk systeem zou dat accepteren, maar maakt dat het veilig? Het antwoord is natuurlijk nee. Het vervangen van @ voor A of 3 voor E is zo gebruikelijk dat geen hacker of hacktool daar ooit door voor de gek zal worden gehouden.
Bottom line is dat het dwingen van mensen om wachtwoorden te veranderen met regelmatige tussenpozen, aanmoedigt om voorspelbare wachtwoorden te gebruiken of erger, wachtwoorden op onveilige plaatsen te bewaren (ik wil niet weten hoeveel bomen er stierven voor al die post-it's met wachtwoorden er op).
Waarom regelmatig veranderen?
Het belangrijkste argument was vroeger dat hoe langer je hetzelfde wachtwoord gebruikt, hoe groter de kans dat het wordt gekraakt. SANS legt heel duidelijk uit dat dit een verouderd dreigingsmodel is onder andere omdat:
- Slechte wachtwoorden zeer snel worden gekraakt. Wat vroeger 90 dagen kostte, kan nu in enkele seconden.
- “Oogsten” van wachtwoorden nog veel waarschijnlijker is dan kraken. Criminelen infecteren PC’s met keyloggers of verzamelen wachtwoorden via phishing en social engineering.
- Criminelen geen 90 dagen wachten om verkregen wachtwoorden te gebruiken. Dus tegen de tijd dat het veranderd moet worden, is het al te laat.
Als dit nog steeds niet overtuigend genoeg is, zijn er tal van bronnen die de aanbeveling ondersteunen om te stoppen met het afdwingen van regelmatige wachtwoordwijzigingen! Microsoft, NIST en SANS werken allemaal hun aanbevelingen bij. Het British Governments National Cyber Security Centre publiceerde wachtwoordbeleid: het bijwerken van uw aanpak die niet alleen aangeeft geen password expiration te gebruiken, maar ook goede aanbevelingen biedt over hoe je wachtwoorden op een veiligere manier kunt gebruiken. De huidige aanbeveling van Microsoft is deels het tegenovergestelde van wat we allemaal hebben geleerd (en gehaat):
- Een minimale lengtevereiste van 8 tekens behouden (langer is niet noodzakelijkerwijs beter);
- Geen verplichte samenstelling van tekens. Bijvoorbeeld *&(^%$;
- Geen verplichte periodieke wachtwoordreset voor gebruikersaccounts;
- Veel-gebruikte wachtwoorden worden verboden om de meest kwetsbare wachtwoorden uit uw systeem te houden;
- Leidt gebruikers op om hun organisatiewachtwoorden niet opnieuw te gebruiken voor niet-werkgerelateerde doeleinden;
- Gebruik Multi Factor Authentication;
- Gebruik op risico's gebaseerde voorwaardelijke toegang waar mogelijk.
Wat ga jij doen met deze informatie?
Ga jij gewoon door met het gebruik van het beleid waarmee je vertrouwd bent geraakt? Of overweeg je dit te moderniseren door het verlopen van het wachtwoord te stoppen? Ik weet zeker dat de gebruikers en servicedesk je zeer dankbaar zullen zijn als je voor het laatste kiest, maar ik hoop dat je na het lezen van deze blog ook de beveiligingsvoordelen ziet.
In ieder geval adviseren en helpen de consultants van Valid Infra Pro je graag met een beleid, maar ook met de implementatie van bijvoorbeeld (FIDO2) Windows Hello for Business (met of zonder hardwaretokens of biometrische gegevens), slechte wachtwoorddetectie en voorwaardelijke toegang. Neem hier contact met ons op of laat hieronder een berichtje achter.
