Verander je wachtwoorden-dag.

Hoe veilig zijn je wachtwoorden? Moet je een wachtwoord veranderen en zo ja, wanneer en hoe vaak? Wat is de ideale lengte? Als Netwerk en Security consultant bij Centralpoint krijgt Eric Meurs veel verschillende vragen op het gebied van security. Hij helpt en adviseert klanten bij het bepalen van het securitybeleid, bijvoorbeeld met betrekking tot authenticatie.

Met authenticatie toon je aan dat jij jij bent en daarmee krijg je toegang tot een informatiesysteem, applicatie of dienst. Wat de juiste authenticatie is, is afhankelijk van welk data je wil beschermen, gebruiksvriendelijkheid en kosten. Hoe gevoeliger de data, zoals persoonsgegevens, financiële gegevens of bedrijfsgeheimen, hoe beter de authenticatie moet zijn. “Bij gevoelige data adviseer ik Multi Factor Authenticatie (MFA) of One Time Password”, vertelt Eric. “Je gebruikt je gebruikersnaam, eventueel een wachtwoord en je smartphone met Authenticator App of een SMS of e-mail met een eenmalige code. Elke keer dat je inlogt, geldt een andere code. Zonder code krijg je geen toegang, een hacker dus ook niet.”

Ik hoor je denken: Is een wachtwoord hiermee overbodig? Eric legt uit: “Nee, nog niet. De meest gebruikte vorm is een combinatie van gebruikersnaam en wachtwoord. Op je laptop of mobiel hoef je zelfs vaak alleen een wachtwoord of pincode in te toetsen. Klanten moeten dus goed nadenken over een wachtwoord policy of beleid.”

Lengte
Allereerst is het belangrijk om na te denken over de lengte en complexiteit van een wachtwoord. Hoe meer karakters, hoe moeilijker te kraken. Door één extra karakter toe te voegen, duurt het kraken vijftig keer langer. Een complexer wachtwoord is minder makkelijk te raden. Maar een lang en complex wachtwoord is lastiger te onthouden. Het gevaar is dat de gebruiker het wachtwoord op een post-it op de monitor of onder het toetsenbord plakt. Dilemma.

In de Stanford-beleidseisen wordt een balans gemaakt tussen de lengte en de complexiteit van een wachtwoord. Waarbij geldt: hoe langer, hoe minder complex. Een veel gebruikte oplossing is een wachtzin. Die zijn lang en toch makkelijk te onthouden. Je kan bijvoorbeeld 4 willekeurige woorden gebruiken: paardbakjebureaufiets

Verander je wachtwoord
Zelfs een langer of complexer wachtwoord kan geraden of gekraakt worden. Of iemand kijkt over je schouder mee als jij je wachtwoord intoetst. Om de kans of in ieder geval de tijd dat het wachtwoord misbruikt kan worden te verkleinen, adviseert Eric om wachtwoorden periodiek te wijzigingen.

“Ook dit is afhankelijk van de gevoeligheid van de data en de rechten die een gebruiker heeft. Een ‘gewone’ gebruiker zou bijvoorbeeld halfjaarlijks zijn wachtwoord kunnen wijzigen en de beheerder iedere maand. Waar MFA gebruikt wordt, kan een uitzondering gemaakt worden.”

Wachtwoord database
Daarnaast adviseert Eric om voor ieder systeem een ander wachtwoord te gebruiken en privé en zakelijke wachtwoorden uniek te houden. Het probleem is dat het aantal te onthouden wachtwoorden per gebruiker enorm groeit. “De oplossing is een wachtwoord database als KeePass. Hier sla je alle wachtwoorden op en je hoeft alleen het wachtwoord van deze tool te onthouden. Let op: die moet natuurlijk wel lang genoeg, makkelijk te onthouden en moeilijk te kraken zijn!”

 

 

Vacatures