Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
[Illustratie: Paper cut design/Shutterstock]

Wachtwoord-policy in het multifactor-tijdperk: keep it simple, stupid

18 oktober 2024 - 11:214 minuten leestijdAchtergrondSecurity & Awareness
William Visterin
William Visterin

De opmars van multifactor-authenticatie (mfa) in organisaties doet het beleid rond paswoorden veranderen. Complexe regels en procedures moeten op de schop.

‘Na twintig jaar zijn we er eindelijk in geslaagd om mensen wachtwoorden te laten kiezen die moeilijk te onthouden zijn, maar makkelijk vallen te raden.’ Het is een bekende quote van Bill Burr, manager bij het National Institute of Standards and Technology – eigenlijk de vader van de wachtwoordregels. Burr gaf met zijn regels indertijd de aanzet om mensen te dwingen om veilige wachtwoordregels te kiezen, en liet die door it-beheerders ook afdwingen. Maar intussen heeft de man al spijt van zijn richtlijnen .

Meeste organisaties hanteren oude regels

Toch klinken de aanpak en richtlijnen rond wachtwoorden in organisaties (en daarbuiten) bekend in de oren. Een veilig wachtwoord verandert regelmatig, is minstens twaalf tekens lang en bevat letters, cijfers en symbolen. ‘In 80 procent van de bedrijven die ik aandoe, hanteren ze nog dergelijke wachtwoordregels’, stelt Reinaert Van de Cruys, ethical hacker en mede-oprichter van Fox & Fish.

Het is ook een klassieker in it, oppert Van de Cruys, die onlangs ook bij gebruikersvereniging SAI een webinar verzorgde rond wachtwoord-policy. ‘Wij hebben de voorbije dertig jaar als it’ers onze gebruikers gedwongen om veilige wachtwoorden te kiezen, en dat op manieren die eenvoudig te checken zijn’, stelt hij. Maar als gebruikers persoonlijke informatie in hun wachtwoord stoppen, zoals naam van partner of kinderen of postcode, valt dat al veel moeilijker te controleren.’

Aangeraden wordt ook om voor de keuze van wachtwoorden om te opteren voor beheerders of generators. ‘Met zoveel wachtwoorden die mensen hebben, is het erg moeilijk voor individuen om unieke, sterke wachtwoorden te hebben voor elk account’, stelde Lorrie Cranor, directeur van CyLab Security and Privacy Institute aan de Carnegie Mellon University enkele maanden geleden naar aanleiding van Password Day. ‘Maar het hergebruiken van wachtwoorden is extreem gevaarlijk’, vindt ze. ‘Een van de beste dingen die u kunt doen om uw gevoelige informatie te beschermen, is een wachtwoordbeheerder gebruiken en deze willekeurig wachtwoorden voor u laten genereren.’

Het nieuwe tijdperk: MFA

Het gebruik van multifactor-authenticatie verandert alvast de aanpak rond wachtwoorden in bedrijven. Omdat mfa extra beveiliging biedt, zoeken bedrijven vandaag meer en meer de balans op tussen beveiliging en gebruiksgemak. Het verplicht stellen van lange, complexe wachtwoorden met speciale tekens en cijfers kan gebruikers ook ontmoedigen of leiden tot slechte praktijken, zoals het opschrijven en fysiek bewaren van wachtwoorden. Met mfa hoeven wachtwoorden niet ook meer extreem complex te zijn, net omdat er een tweede beveiligingslaag is. Bedrijven kunnen daardoor een eenvoudiger wachtwoordbeleid invoeren, met bijvoorbeeld minder frequente verplichte wijzigingen.

Wachtwoorden regelmatig veranderen?

Daarvoor zijn er argumenten pro en contra. Dat kan een goed idee zijn: als wachtwoorden lekken op het darkweb, dan is het niet verkeerd om tijdig een ander wachtwoord aan te maken of dat te hebben gedaan.

Toch stappen meer en meer organisaties ervan af om zo’n regelmatige verandering op te leggen. Want het regelmatig switchen van wachtwoorden, brengt vaak een pervers effect met zich mee. ‘Ik stel vast dat het mensen ertoe brengt om hun wachtwoorden minder serieus te nemen. Sommige gaan ervan uit dat ze hun wachtwoord met een collega kunnen delen, omdat het toch verandert over drie maanden. Een blijvend wachtwoord is daarentegen ‘hun grote geheim’, aldus Reinaert Van de Cruys, die nog een andere reden aanhaalt om wachtwoorden niet of niet vaak te veranderen: het leven van it-systeembeheerders wordt er makkelijker door. Er zullen minder support tickets binnenkomen.

Wachtwoorden blijven ingeburgerd

Bovendien is mfa niet feilloos. Multifactor-authenticatie is een goede oplossing als het goed wordt aangepakt, stelt Van de Cruys. Want er zijn de voorbije jaren gevallen geweest waar criminelen onder meer door social engineering erin slaagden om de mfa te omzeilen en binnen te raken. Waarbij hackers er bijvoorbeeld in slaagden om gebruikers ergens op ‘ja’ te laten klikken of hen een tijdelijke invulcode verklapten. Hij verwijst hierbij op hacks bij onder meer Cisco of Uber.

Bovendien is mfa ook nog lang niet overal ingeburgerd. ‘In tal van gemeentes zijn ze nog volop bezig met de uitrol van multifactor-authenticatie. In veel private bedrijven overigens ook’, vertelt hij. Bovendien zullen er nog lang en vaak toepassingen blijven bestaan, waar deze vorm van authenticatie niet wordt toegepast. Kortom de nood aan een slimme wachtwoord policy blijft bestaan. Maar wel liefst met het kiss-principe in het achterhoofd: keep it simple, stupid.

Dit artikel verscheen eerder in het Engelstalige Cybersec e-Magazine editie 6. Lees hier dit hele e-magazine:

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging begint bij de Server

    Waarom lifecycle-denken cruciaal is voor IT-security

    Computable.nl

    Staat van Digitale Connectiviteit binnen de Bouw- en Installatiebranche 2025

    Digitale connectiviteit is de kern van veel processen in de bouw en volgens insiders van strategisch belang voor de toekomst van de sector. Waar sta jij?

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Meer lezen

    Filter
    OpinieCloud & Infrastructuur

    Ddos-aanvallen (en waarom L3-filtering niet optioneel is)

    ActueelInnovatie & Transformatie

    Kort: Innovatiezone in Almere, grote Defensiedeal Pro Warehouse (en meer)

    AchtergrondSecurity & Awareness

    Dit gaat NIS2 jouw bedrijf aan tijd en geld kosten

    compliance
    OpinieGovernance & Privacy

    Waarom Dora- en NIS2-compliance beginnen met assetmanagement

    OpinieSecurity & Awareness

    5 stappen ter voorbereiding op de verkorte levensduur van TLS-certificaten

    ActueelCarrière

    Kort: Brunel viert 50ste verjaardag, Wortell wint gunning veiligheidsregio (en meer)

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Ontdek de toekomst van IT-support en m...

    Op 16 september 2025 vindt in de Jaarbeurs in Utrecht een gloednieuw event plaats dat volledig is gericht op IT-professionals:...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs