Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief

Size does matter (bij wachtwoordbeleid van bedrijven)

12 september 2022 - 09:215 minuten leestijdOpinieGovernance & PrivacyGoogleMicrosoft
Jort Kollerie
Jort Kollerie

Premier Mark Rutte en veel andere ministers moesten de voorbij weken toegeven regelmatig privémailadressen en -telefoons te gebruiken voor zakelijke gesprekken. De reden? Veiligheidsrestricties maakten werken met goedgekeurde apparaten praktisch onmogelijk. It-managers zijn soms geneigd vanuit de techniek te denken en medewerkers van een organisatie te dwingen tot gebruiksonvriendelijke oplossingen. Terwijl een gemakkelijk te volgen wachtwoordbeleid hartstikke veilig kan zijn.

Wachtwoorden vormen al sinds de uitvinding ervan een probleem voor gebruikers ervan. In elke organisatie van elke branche, wereldwijd, hebben mensen moeite om lange, complexe wachtwoorden te onthouden. It-beleidsvoerders werken al decennia met de aanname dat een wachtwoord per se complex moet zijn. Iets als ‘ediVgdgrnei’ is volgens hun denkwijze een beter wachtwoord dan ‘Verdediging’. Beide bestaan uit dezelfde letters, maar je kunt wel raden welk wachtwoord iemand beter onthoudt. Ze zijn allebei best veilig, maar kunnen véél beter.

Cybercriminelen die een organisatie password sprayen proberen in te loggen met een al bekende username en elke mogelijke combinatie van wachtwoorden. Zie het ‘raden’ naar het wachtwoord als het draaien aan een cijferslot. Elke letter is een cijfertje, en door hoofdletters en leestekens toe te voegen vergroot je het aantal mogelijke ‘letters’. Hoe langer de reeks, des te meer combinaties moet de password-bot nagaan en des te meer tijd is hij kwijt goed te gokken. Het is een simpele rekensom.

Tweehonderd jaar

Het wachtwoord ‘Verdediging’ heeft een hoofdletter en telt elf karakters. Volgens securityspecialist Hive Systems doet een computer er in 2022 gemiddeld vijf maanden over dit wachtwoord te kraken. Voeg een ‘1’ toe (‘Verdediging1’, twaalf tekens), en dit springt naar tweehonderd jaar. Een eerste advies voor organisaties die worstelen met hun wachtwoordbeleid luidt daarom: maak een wachtwoord langer, niet complexer, en voeg een cijfer en zelfs spaties toe. ‘Verdediging1’ is dan nog onnodig kort: ‘CyberSecurity01’ zou volgens Hive Systems pas in 46 miljoen jaar te kraken zijn.

Waar deze versimpeling aan voorbijgaat, is dat a) bekende combinaties als woorden wat gemakkelijker te raden zijn, en b) de rekenkracht van computers nog altijd exponentieel groeit. Over een aantal jaar zijn ook bovenstaande voorbeelden helaas niet veilig genoeg meer. Quantum computing zou ervoor kunnen zorgen dat die miljoenen jaren een kwestie van dagen of minuten wordt. Organisaties moeten daarom een dubbel slot op hun deur schroeven, en medewerkers zich twee (of méér) keer laten identificeren.

Tweefactorauthenticatie

Wat je wachtwoordbeleid ook is: een juiste combinatie van gebruikersnaam en wachtwoord is meestal genoeg om ‘binnen’ te komen. Dit zien wij in assessments die wij bij organisaties uitvoeren: soms zijn wel zestig tot zeventig procent van de wachtwoorden snel te kraken en is er géén ‘tweefactorauthenticatie (2fa) ingesteld: een externe app die een gebruiker twee keer laat bewijzen écht te zijn, wie hij zegt te zijn. 2fa negeren is een vergissing, want als organisatie wil je niet dat dat je digitale veiligheid van één pijler afhankelijk is.

Met 2fa trek je een externe beveiliger aan de mouw die als het ware de tweede deur beveiligt. Ben je binnen, dan moet je nog langs deze uitsmijter om bij de kroonjuwelen van de organisatie te kunnen. Voor hackers en andere cybercriminelen zijn ze haast niet te passeren: ze zouden dan (naast de eerste inlogggegevens die ze buit maakten) ook in de telefoon van de gebruiker moeten komen, of de 2fa-tool van Google, Microsoft of welke aanbieder dan ook moeten kraken. Dat lukt ze niet.

Luie inbrekers

Cybercriminelen zijn vaak luie inbrekers. Als ze zien dat een password spray niet snel werkt, en dat ze bij een zeldzame doorbraak alsnog tegen 2fa aanlopen, gaan ze vaak op zoek naar een gemakkelijker doelwit. Cybersecurity is dan ook een kwestie van je basis goed op orde hebben. Lange, unieke wachtwoorden in combinatie met 2fa stuurt ze naar organisaties die de deur wél op een kier hebben staan. Tijd is namelijk geld, óók in de wereld van de cyberaanvallers.

Voor it’ers is de oproep dan ook simpel. Wil je dat jouw collega’s geen maatregelen omzeilen en gewoon veilig werken? Raad ze dan aan een lang, maar gemakkelijk wachtwoord te kiezen en maak 2fa noodzakelijk. Zo houd je inbrekers buiten de deur, maar hoef je ook niet zelf eens in de paar maanden een account te resetten omdat een gebruiker ‘AJbdau**bXadANh’ niet kon onthouden. Het is hierbij belangrijk je medewerkers mee te nemen in dit proces en ze te vertellen wáárom het belangrijk is een goed wachtwoord te hebben. Organisaties hebben meer waardevolle data dan ooit. De digitale deur dichthouden heeft daarom de hoogste prioriteit, en werknemers willen niet degene zijn die hem op een kiertje zet.

(Auteur Jort Kollerie is manager security architecture bij Orange Cyberdefense.)

Meer over

AppsAuthenticatieCybercrimeHacking

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Beveiliging en IT samen sterk tegen bedreigingen

    Deze paper geeft concrete strategieën en handvatten om IT en Security effectiever te integreren.

    Computable.nl

    Slimme toegang vs. onzichtbare cyberrisico’s in de Zorg

    In zorginstellingen is een constante stroom van personeel, patiënten en bezoekers. Maar hoe zorg je ervoor dat gevoelige gebieden beschermd blijven zonder de dagelijkse gang van zaken te verstoren? Hoe herken je eventuele zwakke plekken in het netwerk?

    Computable.nl

    Strategische alternatieven voor VMware

    Ontdek 3 strategieën voor een succesvolle overstap

    Meer lezen

    AdvertorialInnovatie & Transformatie

    Opbouw wachtwoord cruciaal

    OpinieSecurity & Awareness

    Wachtwoordbeleid: sleutel tot sterke toegangsbewaking

    ActueelInnovatie & Transformatie

    KPMG: wachtwoordvrij werken is nog ver weg

    OpinieCloud & Infrastructuur

    Ons wacht (eindelijk) een wachtwoordvrije toekomst

    OpinieCloud & Infrastructuur

    Aan deze voorwaarden (8) voldoet een passwordmanager

    OpinieCloud & Infrastructuur

    Passkeys is sleutel tot veilig inlogproces

    Eén reactie op “Size does matter (bij wachtwoordbeleid van bedrijven)”

    1. Een Oudlid schreef:
      13 september 2022 om 15:13

      Complexiteit telt, niet de lengte als ik kijk naar de afbeelding. Verder vrees ik dat we nog lang niet van de wachtwoorden verlost zijn omdat ze goedkoop, eenvoudig te wijzigen en makkelijk te delen zijn. En wat betreft laatste heeft het weinig nut om de digitale voordeur dicht te houden als de achterdeur open staat door service accounts want veiligheidsrestricties zijn ook alleen maar lastig.

      Login om te reageren

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs